手动构建PE文件

最新推荐文章于 2020-09-26 21:36:48 发布
原创 最新推荐文章于 2020-09-26 21:36:48 发布 · 1.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE #构建 #16进制

这篇博客介绍了如何使用16进制编辑器手动构建一个PE文件,以实现最小化大小的弹出MessageBox功能。作者探讨了可以缩减文件大小的策略,并详细阐述了编辑过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

手工用16进制编辑器编一个PE,做到弹出一个MessageBox并且尽量缩小大小。


1. 可以缩减的地方


PE头可以缩减,因为是重新构建的关系,所以可以把3C处偏移到Nt头的节对齐大小位置,然后后面内容就按照这个节大小值去设置就行了,偏移位置有0x02、0x04,0x02的0x3C处在值的中间,导致对齐大小太大,所以选择0x04,这是节对齐正好就是4。设置可选头大小和数据目录大小,这样也可以缩减,但是缩减后OD调试会有问题,所以还是保留原来大小。去掉重定位,如果有间隙就在间隙里写导入表的一些东西,代码也写在间隙里。对于需要的字符串,看看有什么不用的或者保留字段,放进去就行了。


2. 开始编辑


对齐大小写的是4,不用重定位,先写到节表,导入表没写,代码没写,入口点写了0x04用来调试,先用0xEE填充可以乱填的部分(那几个地方太短了 基本上什么都不能存),一会往里面塞东西。对话框显示的标题和内容和导入的dll名称我已经先放进去了(都是可以乱改的字段)。节大小不要超过文件大小,不然会出错。

因为VirtualAddress和RawAddress一样,所以不需要调整什么地址了。下面添加导入表。
最低0.47元/天 解锁文章

200万优质内容无限畅学
题记:一篇绝对详细的手工构造PE文件教程
costunnel的专栏
12-30 591
题记:一篇绝对详细的手工构造PE文件教程。转载请注明版权:A1Pass        一直以来都在学习PE文件结构,从不敢轻视,但是即使如此还是发现自己在这方面有所不足,于是便想到了用纯手工方式打造一个完整的可执行的PE文件。在这期间我也查了大量资料,但是这些资料都有一个通病就是不完整,看雪得那个只翻译了一部分,加解密技术内幕介绍的更是笼统,而且是打造一个只有180字节的PE文件,是高手们茶余饭后
手工打造pe文件
04-09
根据pe格式更改其中内容使其最小化 其中包括pe格式中的关键字段的描述
手工编写的PE可执行程序
banhanjun1518的博客
07-05 272
【文章标题】:纯手工编写的PE可执行程序【文章作者】:Kinney【下载地址】:自己搜索下载【使用工具】:C32【操作平台】:win7【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!最近,学习PE结构的知识。之后深有感触,随即便萌发了不依赖任何开发环境和编译器,纯手工写一个小程序的念头。所以我打算就写一个弹出MessageBox的小程序吧(弹出“Hell...
实验五——手工编写PE文件
Onlyone_1314的博客
09-26 8636
【实验名称】 手工编写PE文件 【实验目的】 1.了解PE文件的概念、结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.重点分析PE文件文件头、引入表、引出表,以及资源表 【实验原理】 1.PE文件概述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) 2.PE文件结构 3.PE文件各部分描述 MS-DOS
手动构造PE文件
huobengle
01-13 253
很早以前就拜读了A1Pass得手工构造PE文件一文,可是一直没有去动手实践下,寒假本来想写个PE分析工具结果愣是发现自己PE结构都忘得毛都没了。。。so 蛋疼 今天就参考该文来自己手动构造一个。 这里先提个问题,WinMain函数是符合_stdcall调用约定的,我们都知道winmain接收四个参数,这四个参数的堆栈是有谁来清理呢?理论上应该是系统吧,但是调试程序最后总会发现个 ...
手工构建的简单pe文件
03-07
自己刚刚手工构建的一个简单的pe文件,希望对大家有帮助。
手动打造PE文件
11-11
- 对于首次尝试手动构建PE文件的读者来说,建议逐步完成每个部分,并使用专门的工具验证结果是否符合预期。 #### 五、结语 通过手动构建PE文件,不仅能加深对PE文件结构的理解,还能提高解决实际问题的能力。虽然...
亲手构建PE文件:解析标准PE结构
通过手动构建PE文件,开发者可以更好地理解文件的内部工作原理,这对于逆向工程、软件调试以及壳程序开发等领域都非常有用。不过,实际操作时,通常会使用专门的工具或库来简化这个过程,如PEBuilder或CFF Explorer...
自己构建PE文件 知道PE的人才会下载!
12-01
通过熟悉DOS头、PE头和节头部的细节,以及它们在文件中的相对位置,我们可以手动构建PE文件,满足特定的需求,如调试、分析或逆向工程。不过,这种操作需要深入的系统知识和实践经验,不适合初学者。
手工实现简易PE文件
UntilTheCore的博客
04-19 2080
0x01、写在之前        PE文件作为可执行文件在Windows上的重要性不言而喻。为了更好的理解PE文件的结构,花了一定的时间手工实现了一个简易的PE文件。完成后做了一些总结,记录在此,以免后忘!如有错误之处,还请指正!0x02、结构解析        要想手工打造一个PE文件,那么我们就必须先要知晓PE文件各个主要结构体的大小以及结构体的各个字段,这样实现起来才会更得心应手。我们可以使...
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS头 3 三、 PE文件头 4 1、PE标识 4 2、映像文件头IMAGE_FILE_HEADER 4 3、可选映像头文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1、查找序列号的错误打开方式和正确打开方式 16
添加节,插入PE文件
10-31
把任何二进制文件,以新添加一个节区的方式,插入到可执行文件中!
一个清除windows文件PE头中的垃圾字节来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
01-17
一个清除PE头垃圾来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
PE文件中插入可执行代码(非源码)
03-12
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本节中的未用空间中插入代码 (2)添加新的节 在编写要添加的代码中,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
手工构造典型PE文件2
costunnel的专栏
12-30 506
-->ASM    00401000  6A 00         PUSH 0    00401002  68 00304000   PUSH first_PE.00403000    00401007  68 07304000   PUSH first_PE.00403007    0040100C  6A 00         PUSH 0    0040100E  E8 07000000 
手动PE编辑 写出MessageBox
Miibotree
04-24 2286
自己第一遍想手动PE格式的时候,以为一个字段都不能错,小心翼翼的开始写。这得写到猴年马月去了呀。每次字段都仔细地琢磨一下,研究一下,结果到头来程序还是不能运行。 第二遍写的时候,参考了网上的“手工打造微型win32可执行文件”这篇文章。 http://www.xfocus.net/articles/200302/482.html 文章写的很早了,自己看了这篇文章以后觉得收获非常的大
PE文件解析器的编写(二)——PE文件头的解析
Masimaro的专栏
05-04 3462
之前在学习PE文件格式的时候,是通过自己查看各个结构,自己一步步计算各个成员在结构中的偏移,然后在计算出其在文件中的偏移,从而找到各个结构的值,但是在使用C语言编写这个工具的时候,就比这个方便的多,只要将对应的指针类型转化为各个结构类型,就可以使用指针中的箭头来直接寻址到结构中的各个成员。 这次主要说明的是PE文件头的解析,也就是之前看到的第一个界面中显示的内容
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2689
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
如何减小PE的尺寸
Home Of HappyBear
04-16 2761
从原理上讲有两种方法一是减小PE文件的区块(section)对齐大小;二是合并区块,具有相似或一致属性的区块可以合并。具体实施办法对应第一种方法可以调整参数,使用/OPT:NOWIN98链接选项,可以让Section按512字节对齐,而不是默认的4K字节。对应第二种方法也是加参数,合并段,例如:/merge:.data=.text,又如/merge:.rdata=.te
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值