PE代码注入

最新推荐文章于 2024-08-11 14:52:34 发布
最新推荐文章于 2024-08-11 14:52:34 发布
阅读量1.5k 收藏 9
点赞数 2
CC 4.0 BY-SA版权
分类专栏: PE基础 文章标签: c语言 指针 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46308946/article/details/108018045
本文介绍了一种32位PE可执行程序的代码注入方法,通过修改EntryPoint来实现在程序启动时先执行注入的代码。关键步骤包括禁用地址随机化,计算E8/E9跳转偏移,以及进行RVA与FOA地址转换。在执行完注入代码后,程序会跳转回原始入口地址继续执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件入口地址EntryPoint指向了PE文件开始执行的位置,关于PE文件的具体格式,大家可以自行百度。

本代码主要实现了在32位可执行程序中注入了一个弹窗 。其主要原理是修改EntryPoint地址处的内容,指向自己代码的地方,然后执行完毕后,再跳转到原入口的地址。

其中值得注意的几点:
(1)需要关闭PE的地址随机化功能,可以通过修改OptionHeader头中的DllCharacteristics = 0x8100,来绕过地址随机化。
(2)计算E8和E9的时候,CALL 偏移:跳转地址 = 当前地址+5+x ->x = 跳转地址 -当前地址-5。求出x就是E8(CALL指令的硬编码)后的跳转偏移。
(3)需要进行RVA和FOA的转换,所有的地址都是加载到内存后的地址。

代码如下


BOOL AddCode(char* FileBuffer, LPCSTR NewFileName) {
   
    PIMAGE_DOS_HEADER dos = NULL;
    PIMAGE_NT_HEADERS nt = NULL;
    PIMAGE_FILE_HEADER file_header = NULL;
    PIMAGE_SECTION_HEADER section_header = NULL;
    PIMAGE_OPTIONAL_HEADER option_header = NULL;
    DWORD dwSizeofOptionHeader = NULL;
    DWORD dwVirtualAddress = NULL;
    DWORD dwPointerRawData = NULL;
    DWORD dwEntryCode = NULL;
    DWORD dwImageBase = NULL;
    DWORD dwUnInitDataSize = NULL;
    DWORD dwNumofSection = NULL;
    DWORD dwCodeWirteAddress = NULL;
    dos = (PIMAGE_DOS_HEADER)FileBuffer;
    nt = (PIMAGE_NT_HEADERS)(FileBuffer + dos->e_lfanew);
    file_header = (PIMAGE_FILE_HEADER)(&(nt->FileHeader));
    option_header = (PIMAGE_OPTIONAL_HEADER)(&</
最低0.47元/天 解锁文章

200万优质内容无限畅学
PE文件注入 PE文件详解
02-28
这篇文章是关于PE文件注入技术的; 文章不但详细讲解了PE文件的结构; 而且讲述了如何在PE文件中进行注入代码的技术;
PE格式文件的代码注入
谢启东的专栏
05-05 8180
 PE格式文件的代码注入   本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)中注入自己的代码。 程序如图:         前言       或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件中的,又或者是,你为了保护某种数据而加密自己的P
PE文件硬编码代码注入
yuge1123的博客
12-03 846
以下适合有PE基础的人看,最起码要知道PE的基本结构和rva以及foa之间如何相互转换,不然会看的迷迷糊糊首先我们需要准备一个程序,待会将代码注入这个程序中 随便编写一个简单的程序,将随机基址给关闭 程序编译完成之后就是一堆二进制的数据,如果我们想将代码注入到这个程序中,我们也只能以二进制的形式进行注入,不能像编码高级语言一样,比如我们想将 这段代码注入进去,要求是在程序运行时首先运行这段代码,然后再跳转到之前的代码逻辑 我们想将这段代码注入进去的话就只能将这段代码翻译成二进制的形式,然后再到这个exe的
PE文件结构及代码注入
最新发布
qq_67812668的博客
08-11 1147
PE即Portable Executable,是win32环境自身所带的可执行文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
注入PE的方法(原代码)
guokeno1--JEFF的技术博客
09-10 1435
.386.model flat,stdcalloption casemap:noneinclude include includelib include includelib .datasztest db "d:/test.exe",0                        ;这个你自己放在D盘中,做测试用szExitProcess db "ExitProcess",0    
PE代码注入器:黑客与休闲双重用途
#### PE代码注入器: - **目的**:通常用于将一段代码注入到目标进程的内存空间中,并且使得该代码能够在目标进程的上下文中执行。 - **原理**:注入器会创建或打开目标进程,然后将包含恶意代码或测试代码PE文件...
pynjector: 探索Python PE代码注入技术
资源摘要信息:"pynjector是一个用Python编写的PE(Portable Executable,可移植的执行文件)代码注入器。它的主要功能是从不同类型的源文件生成恶意载荷,这些源文件可以是ASM(汇编语言)源文件或C语言编译后的exe...
语言PE插件注入
07-21
PE插件注入中,我们需要理解PE文件结构,包括节区、导入表、导出表等关键部分,以便正确地将插件代码注入到目标进程中。 PE插件注入的基本步骤如下: 1. **目标进程选择**:确定要注入的进程,通常通过进程ID或...
汇编代码注入器(无毒)
01-25
【汇编代码注入器】是一种技术工具,主要用于在运行中的进程内存中插入汇编语言编写的代码,以实现特定的功能。这种技术常被用于游戏修改、调试程序、系统优化等领域,但同时也可能被滥用,因此被称为"无毒"强调了其...
手工解析PE(文件注入代码实现)
GNAIXGNAHZ的博客
06-11 608
手工解析PE(文件注入代码实现)
PE网上源代码
04-26
PE是一个很久的工具源码
最小PE程序代码
01-18
最小PE的程序样例,每次修改后的程序,打包在一个压缩包
如何进入pe系统
01-03
当电脑中病毒,或者系统崩溃的时候肯定会用到的,拿去电脑店少则50,多则上百,今天较大家一个方法,自己在家就可以完成。参照上一篇文章,已经教大家如何制作pe系统盘了,那么现在来教大家如何进入bios只有进bios才可以进pe 按照自己的电脑型号和主板型号可以百度查一下。我用的是华硕笔记本按f2进bios。点击重启电脑在按f2进bios。 看到这个界面就已经进入了bios,接下来要找到boot这个。 在选择boot optipon #1作为第一启动,点击回车 选择uefi:aigo是u盘名称。再点击回车在按f10保存 选择yes,稍等一分钟左右就可以进入bios了。 这个界面就是已经进
代码注入exe文件
02-26
VC下将自己的代码注入PE文件,模仿病毒入侵exe文件,有说明文档、源代码,极具学习价值!!!!
PE文件注入
zjc的博客
04-14 1089
PE文件注入shellcode、实现弹出计算器 实验环境及要求 win10(地址随机化)、 32为exe(dll尚未尝试、理论上是可行的) 实现功能 地址自定位的弹出计算器的shellcode 注入PE、打开PE是弹出计算器 PE本身功能完整性 实验思路 解决shellcode地址定位的问题(使用PEB解决) 修好PE节表、添加新的节 修改新节的内容、新节的首部注入shellcode 修改P...
PE文件静态注入
蚁景网安学院
02-08 1200
点击"蓝字"关注,获取更多技术内容DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。可以通过修改静态的PE文件,修改输入表结构,使得程序执行时载入特定的DLL文件。通常可执行文件...
2.12 PE结构:实现PE字节注入
热门推荐
优快云
09-11 1万+
本章笔者将介绍一种通过Metasploit生成ShellCode并将其注入到特定PE文件内的Shell注入技术。该技术能够劫持原始PE文件的入口地址,在PE程序运行之前执行ShellCode反弹,执行后挂入后台并继续运行原始程序,实现了一种隐蔽的Shell访问。而我把这种技术叫做字节注入反弹。
简单PE代码
weixin_30265171的博客
05-17 173
三个文件分别是类定义文件pefile.h;类实现文件pefile.cpp;类调用文件petype.cpp. #ifndef PE_FILE_H #define PE_FILE_H #include "windows.h" #define ISMZHEADER (*(WORD*)File_memory == 0x5a4d) #define ISPEHEAD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值