PE文件操作-末尾添加节

最新推荐文章于 2023-05-28 16:26:40 发布
最新推荐文章于 2023-05-28 16:26:40 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: Win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshahayes/article/details/52155236
版权

有时候为了某些原因,需要在PE末尾添加节,比如加壳,补丁等等,需要对PE文件进行扩展。
在末尾添加节是最简单的方式,只需要做如下修改:

  • 修改FILE_HEADER中的节数目字段
  • 修改OPTIONAL_HEADER中映像大小字段
  • 在节描述符数组中添加新描述符
  • 在文件末尾添加新节数据

首先找到文件最后一个节并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个节的结束:

    //找到文件末尾的节,计算出文件结束位置
    PIMAGE_SECTION_HEADER last_sec_hdr;
    get_section_entry_by_index(ctx, 0, &last_sec_hdr);
    for (int i = 1;i < file_hdr->NumberOfSections;i++)
    {
        PIMAGE_SECTION_HEADER sec_hdr;
        get_section_entry_by_index(ctx, i, &sec_hdr);
        if (sec_hdr->PointerToRawData > last_sec_hdr->PointerToRawData)
            last_sec_hdr
最低0.47元/天 解锁文章
yeshahayes
关注
专栏目录
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1444
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下表新增表的步骤1.判断是否有足够的空间增加一个新.2.表新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增表的属性.Virt.
PE新增
hambaga的博客
05-13 734
测试了几个32位程序,有的能正常工作,有的不行。出错的程序有个共同点是他们最后一个表后面并不是0,而是有一些奇怪的数据,以32位notepad为例,最后一个表后面的数据是这样的: 对于其他程序,如ipmsg,还有一个我自己写的32位GUI程序,新增后都可以正常运行。 对于这个问题,解决方案可以改为扩大最后一个,或者让NT头上移,就是覆盖掉原来dos stub那部分数据,然后改一下e_lfanew,由于不是本次作业的重点,我就不写了。 下面是函数代码,只包含添加的函数,其他函数就不贴了,上一篇博客有
PE文件添加.zip
08-19
使用C语言在PE文件末尾添加并改变PE文件OEP,使得在程序执行前插入一段shellcode
VC往PE文件末尾读写数据
lyshiba的专栏
07-11 1484
//往文件末尾写数据 void CwritePEFileDlg::OnBnClickedButton2() {     TCHAR strPath[MAX_PATH];     wcscpy(strPath, L"d:\\1.exe");     HANDLE handle = CreateFile(strPath, GENERIC_WRITE, FILE_SHARE_WRITE,
PE知识复习之PE新增
weixin_30302609的博客
10-02 432
             PE知识复习之PE新增 一丶为什么新增.以及新增的步骤     例如前几讲.我们的PE文件在空白区可以添加代码.但是这样是由一个弊端的.因为你的空白区属性可能是只读的不能执行.如果你修改了属性.那么程序就可能出现问题.所以新增一个可以实现我们的代码. 等等.   1.新增的步骤     1.在最后一个位置添加一个.如果没有空白位置.自己需要给扩展...
Windows PE 文件 ---------------资源的解刨
counter198的专栏
02-12 2800
时间总是太匆忙,项目总是太多,一直看CSDN,却从来没有写过一篇像样的文章,今天因为一个项目要自定义PE的资源,我们要改变一个PE文件的已有资源数据,在里面添加任何资源,这样不得不改变原来PE文件中关于资源的数据。好了,废话少说,下面开始转入正题! 这里只讨论PE文件的资源,其他格式大家自己去研究吧。PE文件的格式,网上多的是,这些知识简单的T一下: -----------------
windows平台PE文件自定义添加
最新发布
08-17
这通常意味着在文件末尾添加新的数据,并更新文件的大小。 #### 示例代码解析 下面是对示例代码的关键部分进行详细解释: ```cpp // PEEditor.cpp: 此文件包含 "main" 函数。程序执行将在此处开始并结束。 #...
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3695
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
PE新增一个
qq_42363151的博客
08-31 235
新增
PE文件添加并弹出简单的对话框
12-03
PE文件自动添加区,并弹出一个简单的对话框(可以自己修改成其它的东西)
PE(.exe)文件生成器
03-09
.版本 2 .局部变量 段, 段, , "0" .局部变量 表目录, 表目录, , "0" .局部变量 现行位置 .局部变量 段数 .局部变量 段内存地址, , , "0" .局部变量 段占用文件大小 .局部变量 代码入口地址 .局部变量 表的数量, 整数型 .局部变量 计次, 整数型 .局部变量 计次2, 整数型 .局部变量 代码段地址, 整数型 .局部变量 文件对齐度 .局部变量 DOS数据, 字集 .局部变量 首选装载地址, 整数型 .局部变量 控制台程序, 逻辑型 现行位置 = 取字集数据 (文件, #整数型, #MZ头长度 - 3) + 1 ' DOS数据 = 取字集中间 (文件, #MZ头长度 + 1, 现行位置 - #MZ头长度 - 1) .如果真 (取字集数据 (文件, #整数型, 现行位置) ≠ #PE署名) 返回 () .如果真结束 现行位置 = 现行位置 + 2 段数 = 取字集数据 (文件, #短整数型, 现行位置) 重定义数组 (段, 假, 段数) 重定义数组 (段内存地址, 假, 段数) 现行位置 = 现行位置 + 32 代码入口地址 = 取字集数据 (文件, #整数型, 现行位置) 代码段地址 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 首选装载地址 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 4 文件对齐度 = 取字集数据 (文件, #整数型, 现行位置) 现行位置 = 现行位置 + 28 控制台程序 = 取字集中间 (文件, 现行位置, 2) = { 3, 0 } 现行位置 = 现行位置 + 24 表的数量 = 取字集数据 (文件, #整数型, 现行位置) 重定义数组 (表目录, 假, 表的数量) .计次循环首 (表的数量, 计次) 表目录 [计次].地址 = 取字集数据 (文件, #整数型, 现行位置) 表目录 [计次].大小 = 取字集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (段数, 计次) ' 段 [计次].名称 = 取字集中间 (文件, 现行位置, 8) 现行位置 = 现行位置 + 8 段 [计次].内存大小 = 取字集数据 (文件, #整数型, 现行位置) 段内存地址 [计次] = 取字集数据 (文件, #整数型, 现行位置) 段占用文件大小 = 取字集数据 (文件, #整数型, 现行位置) 段 [计次].数据 = 字集删尾空 (取字集中间 (文件, 取字集数据 (文件, #整数型, 现行位置) + 1, 段占用文件大小)) 现行位置 = 现行位置 + 12 段 [计次].属性 = 取字集数据 (文件, #整数型, 现行位置) .计次循环尾 () .计次循环首 (表的数量, 计次) .变量循环首 (段数, 1, -1, 计次2) .如果真 (表目录 [计次].地址 ≥ 段内存地址 [计次2]) 表目录 [计次].段号 = 计次2 表目录 [计次].地址 = 表目录 [计次].地址 - 段内存地址 [计次2] 跳出循环 () .如果真结束 .变量循环尾 () .计次循环尾 () .计次循环首 (段数, 计次) .如果真 (段内存地址 [计次] = 代码段地址) 代码入口地址 = 代码入口地址 - 代码段地址 生成PE文件 (首选装载地址, 段, 计次, 代码入口地址, 文件对齐度, 表目录, DOS数据, 控制台程序) 跳出循环 () .如果真结束 .计次循环尾 ()
<原创>在PE最后一节中插入补丁程序(附代码)
weixin_34043301的博客
03-16 135
完整文件 http://files.cnblogs.com/Files/Gotogoo/在PE最后一节中插入补丁程序.zip 在PE文件最后一节中插入补丁程序,是最简单也是最有效的一种,因为PE最后一节的数据在文件末尾,将代码加到最后一节时,不需要修改太多的内容。 最近在学习python,没时间详细写这个了,有问题看代码,或者在评论区提问,或者看书《Windows PE权威指南》,讲的很详...
PE增加一个
qq_45694932的博客
07-10 399
#define _CRT_SECURE_NO_WARNINGS #include<stdio.h> #include<stdlib.h> #include<string.h> #include<Windows.h> #include<malloc.h> DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer); char file_path[] = "C:\\CTF\\notepad.exe";
PE结构-----新增
mysqld521的博客
05-28 140
1、sizeofheader-(dos头+垃圾数据+DWORD Signature+PE标准头+PE可选头+NumberofSection*表的大小(40字))》=80字。可以直接在最后表的后边添加新增,还要将后面的40个字置00。2、上面的空间不足80个字的时候,DOS_STU是垃圾数据用不到,可以将后面的数据(pe标记signature+pe标准头+Pe可选头)进行迁移。需要两个表的大小(第一个表存放新增表,第二个存放40个00)1.将最后一个表的后40个字进行00的填充。
8.PE文件之新增
kernelhack
10-28 4211
目录 新增PE文件中哪些值会有影响? 新增步骤: 手动新增 代码新增 如果需要在PE文件中构建一端SHELLCODE(默认区剩余空间不足情况下),可以通过新增来解决此问题.通常大部分加壳软件都会新增来移动或者备份各种目录项数据. 新增PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件的数量,如果新增需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增后在内存中的大小
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 410
手工解析PE(新增)
PE文件~
2514804004的博客
04-11 603
表结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
[PE结构] 手工给32位PE文件增加一个新
輚至消亡
07-24 1351
0x01 去除重定位表 为了更好的理解PE文件结构,首先得了解增加一个区需要修改什么,本片博客先去除.reloc区再增加一个新的.new区。 FileHeader.NumberOfSections 区数量 OptionalHeaders.SizeOfHeaders PE头的大小(因为增加了一个新的IMAGE_SECION_HEADER) OptionalHeaders.SizeO...
python处理文件---每行末尾加上字符
05-25
可以使用Python的文件操作来实现每行末尾加上字符的功能。具体实现步骤如下: 1. 打开文件,读取文件内容。 2. 遍历文件的每一行,在每行末尾添加指定的字符。 3. 将修改后的内容写入文件中。 以下是代码示例: ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值