手动修改PE文件:修改节表

最新推荐文章于 2023-03-14 21:22:23 发布
最新推荐文章于 2023-03-14 21:22:23 发布
阅读量4.1k 收藏 5
点赞数 1
分类专栏: PE 文章标签: PE 增加 节表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nargnos/article/details/40838817
版权
本文介绍了如何手动修改PE文件,重点讲解了如何新增节以及移动节表。内容包括在特殊位置添加节,如在DosStub后,以及在文件末尾添加节,并讨论了如何更新文件头的相关信息以适应新增节。此外,还探讨了移动节表的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目前想到的关于修改节表就是新增节和节表移位,其它的改节的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。


1.新增节


现在很多解析PE格式的软件都有添加节的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->节表->Padding->节内容。

在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来扩充节表。

首先,要找到节表位置:

图中选择的部分就是最后一个节表位置,箭头部分就是要添加新节表的位置。用代码算算偏移就可以找到,手动找的话就从上面顺序找下来,找到以点开头的这一堆结构(正常程序),从点开始的40个字节就是节表的一项,然后一直偏移到后面00的位置就行了。


可以看到箭头所指的位置为0x2b0,根据此程序的文件对齐大小,得知程序内容开始在0x400处,之间就有很多空间来添加自己的东西。比如加新节表、代码、数据都可以。

根据节的结构修改内容,节结构是这样(Winnt.h):

#define IMAGE_S
最低0.47元/天 解锁文章
手动修改PE文件:添加自定义代码
当我在写代码的时候我在写什么
11-06 5306
PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos头和Nt头之间、每个末尾的Padding(间隙)、新增分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2672
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
逆向工程之作业:手工修改PE文件
weixin_47356546的博客
12-09 1239
文字描述思路,关键步骤截图,形成打印版文档,提交。 1.对齐粒度 将helloworld.EXE的文件对齐和内存对齐粒度设置为相同,都为1000H,查看,得到以下效果。 步骤: Peditor打开helloworld.exe文件 打开, 右键点击一个,选择编辑修改原始大小和原始偏移 点击应用更改。 例:选择.text 修改了以后保存,文件就不能运行了,因为文件实际的内容大小对应不上。 打开Winhex,在几个部分进行填充,使文件实际大小和PEditor内容对应 (1). text部分由
更改PE文件版本、描述等
11-18
自己写的C++版的修改PE文件版本、描述等信息。我的Language是 中文(简体,中国)。
PE文件修改---减少
weixin_51738129的博客
02-03 508
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到区reloc地址范围:0218到0240。,找到这个的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个修改位4个
PE文件实战教程之手动实现新增
weixin_43742894的博客
04-01 1686
前面我们说过在空白添加代码,想要更多空间的话,可以扩大,但是在最后一个进行扩大的话,还需要修改原来的属性,比较麻烦,所以不如直接新增一个! 并且我们通过手动新增,可以直观地看到非常多的细,帮助我们理解原理! 手动实现新增什么是新增一个?了解一下新增的步骤1.判断是否有足够的空间增加一个新.2.新增一个成员,在原最后一个成员后面添加3.修改的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个的数据(内存对齐的整数倍)6 修正新增的属性.Virt.
PE文件修改以及增加
关注互联网安全的小虾米一枚
08-05 2419
修改入口函数地址。这个是最省事的办法,在原PE文件中新增加一个,计算新的RVA,然后修改入口代码,使其指向新增加。当然,如果.text空隙足够大的话,不用添加新也可以。 BOOL ChangeOEP(CString strFilePath) { FILE* rwFile; // 被感染
修改文件版本信息(PE文件版本信息、资源Version)
热门推荐
tiewen的专栏
04-14 1万+
修改PE文件版本信息(简单演示)
PE文件修改----增加
weixin_51738129的博客
02-01 1301
PE文件修改
Windows Ring3层注入——修改PE输入(导入)注入(一)
qq_38493448的博客
01-16 1443
Windows Ring3层注入——修改PE输入(导入)注入(一)PE文件简单介绍PE文件相关词解释PE文件磁盘与内存映像结构图输入介绍输入结构输入注入原理PE输入注入的两种方法静态修改PE文件法:进程创建期修改PE输入法:输入注入核心代码示例 PE文件简单介绍 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SY...
C/C++ 导入与IAT内存修正
优快云
09-17 8355
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章内容主要复习导入结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入的脱壳修复等。关于Dump内存原理,我们可以使用调试API启动调试事件,然后再程序的OEP位置写入CC断点让其暂停在OEP位置,此时程序已经在内存解码,同时也可以获取到程序的OEP位置,转储就是将程序原封不动的读取出来并放入临时空间中,然后对空间中的和OEP以及内存对齐进行修正,最后将此文件在内存保存出来即可。
手工解析PE(新增)
GNAIXGNAHZ的博客
06-15 522
手工解析PE(新增)
修改PE文件版本信息(简单演示)
无常之语,无心之果(by 僵哥)
10-14 5210
struct VS_VERSIONINFO {  WORD  wLength;  WORD  wValueLength;  WORD  wType;  WCHAR szKey[];  WORD  Padding1[];  VS_FIXEDFILEINFO Value;   WORD  Padding2[];   WORD  Children[]; };
PE结构
weixin_43923736的博客
08-14 261
PE文件在ollydbg中每个变量的意义: 00h WORD Magic; //幻数,32位pe文件总为010bh 02h BYTE MajorLinkerVersion; //连接器主版本号 03h BYTE MinorLinkerVersion; //连接器副版本号 04h DWORD SizeOfCode; ...
PE文件资源解析(九)版本信息资源的解析
老狼的专栏
04-22 1182
版本信息资源,在这里指的是资源类型为RT_VERSION的资源信息。通过ResHacker看到的效果图如下: 版本信息资源存储编码格式是UNICODE,解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource...
PE 文件中.reloc 删除记录
ez scope
04-02 2750
PE文件是windows 下的一种可移植执行体,其设计目的使用来解决跨平台问题(但实际上只是在windows下使用)。通常在windows下使用的.exe .dll .sys等文件都是PE文件,符合PE文件格式规范,有其自身的格式。不熟悉的朋友也可以网上查找相关资料。 PE文件的.reloc 即是使用了PE重定位技术。PE加载到进程虚拟地址时,会加载到PE中的IMAGE_OPTIONAL_H
PE增加删除一个
nishuodeqianshou的专栏
07-01 1085
PE中添加,删除SECTION 这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。 关于PE的格式,PE的基本知识,请参看其他相关文章。 添加SECTION 添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加一个新SECTION 40字
DLL注入-静态修改PE
m0_52164435的博客
03-14 920
首先要知道,我们要完成的操作是通过修改PE结构来完成注入dll,PE中有关于模块导入的是输入结构,而输入是一个IID数组,那么想要将我们的dll导入到程序中就需要将一个我们构造的IID结构写入这个数组中,此时需要考虑我们新写入的IID结构大小,假设原IID大小为old,那么显然,由于只导入了一个函数,我们新的IID结构大小newIIDSize = Old+ sizeof(IMAGE_IMPORT_DESCRIPTOR)。将以上各值填入原IID位置,填写的时候需要注意字序是小端序,填写结果如下。
delphi版本修改PE头源码
weixin_33705053的博客
01-08 234
//VC++6外衣 1 OEPCODEFIVE: THEAD = ($55, $8B, $EC, $6A, $FF, $68, $00, $00, $00, $00, $68, $00, $00, $00, $00, $64, $A1, $00, $00, $00, $00, $50, $64, $89, $25, $00, $00, $00, $00, $83, $EC, $68, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值