Windows PE 第十三章 PE补丁技术

最新推荐文章于 2023-09-05 12:45:32 发布
最新推荐文章于 2023-09-05 12:45:32 发布
阅读量3.4k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Windows PE 文章标签: PE补丁技术 Windows PE PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013761036/article/details/70768827
本文探讨了Windows PE补丁技术,包括静态补丁和动态补丁的分类,以及它们的基本要素。介绍了动态补丁中的进程通信、读写进程内存的方法,如OpenProcess、WriteProcessMemory等。此外,还讨论了整体替换PE文件的应用场景,如软件升级、Hijack和输入法注入。最后提到了部分修改PE文件,通过调整AddressOfEntryPoint来改变程序执行流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE补丁技术

    这章很多东西之前都见过,也单独总结过,比如动态补丁里说的远程代码注入,还有hijack什么的。之前整理过的这里就不细说了,大体说下思路。这里总结一些之前没总结过的东西。

    资料中把补丁分为两类,静态补丁和动态补丁。然后有总结了下补丁的基本要素:进程通讯能力、良好的读写其他进程地址能力、正确识别要补丁目标进程、在其他进程地址空间执行代码的能力

进程通信:

管道通信(有名管道和匿名管道)、邮件槽、剪切板、共享内存、消息机制、socket等等具体细节概念请自行百度。

 

1)动态补丁

读写进程内存:

OpenProcess()ReadProcessMemory()WriteProcessMemory()

也就是常用的代码注入那一套:

OpenProcess()打开目标进程,获取进程操作句柄。

VirtualAllocEx()在目标进程分配内存。

WriteProcessMemory()函数将远程代码写入。

CreateProcessMemory()在目标进程中创建远程县城并执行。

[远程线程注入记得所有引用都要拷贝进去,注意重定位问题

最低0.47元/天 解锁文章
Windows PE》12.4 万能补丁
bcdaren的博客
10-25 914
本节我们将介绍基于嵌入式补丁的万能补丁技术。万能补丁原理示例程序。
Windows PE》14.1最后一节插入补丁程序
最新发布
bcdaren的博客
10-27 873
如果我们希望添加不同功能的补丁,只需要替换补丁DLL就可以了。00010430 03 F3 8B 76 78 03 F3 8B 7E 20 03 FB 8B 4E 14 56 .髬vx.髬~ .麐N.V。00010420 00 00 00 8B 40 0C 8B 70 1C AD 8B 58 08 8B 73 3C ...婡.媝.瓔X.媠
PE文件打补丁
njhhack的专栏
08-25 1411
              --------给PE文件打补丁--------                        ------njhhack 我们都知道在PE文件中有很多空隙,所以我们就有可能给PE文件打补丁.做法是在空隙中插入我们的补丁代码. 下面我通过实例来教大家给win97的notepad.exe(记事本)程序来打个补丁,使得notepad.exe运行时先运行我的pach.
Inject your code to a Portable Executable file
04-16 2805
Downloads PE Viewer PE Maker - Step 1 - Add new Section. PE Maker - Step 2 - Travel towards OEP. PE Maker - Step 3 - Support Import Table. PE Maker - Step 4 - Support DL
Windows PE权威指南》第16章补丁工具程序bind.asm的错误修改
paradox_1_0的博客
07-10 251
当直接编译运行bind程序的时候发现目标程序打完补丁之后无法正常运行。看汇编源码终于找到了问题所在,本文找出了源程序的一个函数编写的错误并给出了正确写法。改正之后经bind程序打完补丁的目标程序可以正常运行。 1._getValidHeadSize函数原汇编代码: ;-------------------------------------- ; 获取目标PE头的数据的有效长度 ;-----...
<原创>在PE最后一节中插入补丁程序(附代码)
weixin_34043301的博客
03-16 163
完整文件 http://files.cnblogs.com/Files/Gotogoo/在PE最后一节中插入补丁程序.zip 在PE文件最后一节中插入补丁程序,是最简单也是最有效的一种,因为PE最后一节的数据在文件的末尾,将代码加到最后一节时,不需要修改太多的内容。 最近在学习python,没时间详细写这个了,有问题看代码,或者在评论区提问,或者看书《Windows PE权威指南》,讲的很详...
Windows PE开发全解析与核心技术指南
**PE补丁技术(Chapter 13)** PE补丁技术是指修改PE文件以修复错误、添加功能或进行逆向工程等。这项技术在软件测试开发中十分有用。 **在PE文件中插入程序(Chapters 14-17)** 这些章节涉及如何在PE文件的空闲...
Windows Pe 第三章 PE头文件(下)
天使也掉毛
10-07 1091
Windows Pe 第三章 PE头文件(下)
PE文件中打“内嵌补丁”练习
qq_33526144的博客
02-06 400
底部有练习下载链接 1.先运行程序,查壳发现该程序是用MASM写的,查看区段信息 2.接下来简单分析一下,该程序是否存在恶意代码:第一步查看API函数,发现没有提权API对系统产生破坏的API,第二步查看程序运行会不会导致 溢出,发现没有。 2.OD载入,搜索字符串,发现字符串都处于加密状态,f7单步,进入解密部分 3.解密完之后,f7单步,进入 unpackme.0040103...
U盘装Win7纯净系统 解决装Win7系统鼠标键盘不能动 WinPE中USB3.0驱动注入 NVME驱动补丁
Roll Back
09-05 1万+
法一:用Windows安装器(软件英文名WinNTSetup),在安装系统时选择【添加驱动程序】,让其随系统一起安装。(有的WinNTSetup软件版本不一样,但是大致位置都一样,如:有的有复选框)PS:Win10、Win8纯净版自带驱动,但是Win7、Win XP纯净版不自带,所以需要手动打驱动。【文章内含有usb3.0(注入用)、NVME驱动补丁(进系统用)的下载地址】法二:先装系统,装完系统后,在Win PE使用Dism++注入USB3.0。进Win7系统,进U盘双击安装NVME的两个补丁
PE卸载补丁工具
10-18
微软更新失败可用此软件在PE环境下卸载相关补丁,32位64位通用,
PE下win7 系统文件无法删除解决
04-02
PE下win7 系统文件无法删除解决
卸载windows全部安全性更新补丁批处理工具
01-18
用于批量删除Windows7的补丁,仅限于Windows7系统的安全性更新补丁,不会删掉运行库等软件office等软件的补丁,也无法实现ie降级,请慎重下载。 win10系统没有测试过,请慎重使用。 执行的时候需要使用管理员权限,并在执行过程中会创建新的文件(文件内容是已经安装的Windows7补丁清单),不要在执行过程中将程序生成的文件删除,否则会导致卸载补丁失败。程序执行完成后会自动将其生成的文件删除。
关于内核动态补丁技术(kpatch)
11-19
内核可以在运行时动态执行补丁中的代码(kpatch),而不需要重启后再运行补丁代码。对于kpatch的运行原理,可以参看[3], kpatch基于ftrace技术,可以在内核运行时动态的(即不需要重启)、整体替换某个函数(但需要暂时停止所有运行时进程)。如图1所示,具体的,当内核运行之前,加入原来的内核函数名字为func_original(),则内核编译时就先把patch做好(假设替换函数为func_replace()),同时编译进内核中。本文主要解释从gnu汇编原语角度如何实现kpatch,具体kpatch机制可以参考文献[3]。内核文件arch/arm64/include/asm/alternative.h中有一段汇编,涉及内核动态patch技术
WINDOWS+PE权威指南读书笔记(20)
沐一 · 林 的博客
02-10 1294
目录 PE补丁技术 动态补丁: 进程间的通信机制: 读写进程内存: 目标进程枚举: 执行远程线程: 静态补丁: 整体替换 PE 文件: 整体替换 DLL 文件: 部分修改 PE 文件 嵌入补丁程序: 嵌入补丁程序框架: 嵌入补丁程序编写规则 嵌入补丁字节码实例分析: 万能补丁码 原理:(入口函数处放补丁代码) 字节码: 运行测试: 小结: PE补丁技术 第 12 章介绍了 PE 变形技术,该技术研究的是程序的字节码; 本章来研究 PE 补丁技术, 该技术侧重于研
通过WinPE卸载补丁,解决因安装补丁电脑蓝屏、无法开机等问题
热门推荐
AddisonDing的专栏
04-26 1万+
安装windows安全补丁后,开机修复不成功,或者蓝屏,可以尝试以下解决方案 WinPE进入系统以后 进入PE后,点击“开始” 》 “磁盘光盘” 》 Dism++ 运行 在顶部选择硬盘内安装的系统,并点击“打开会话” 选择“更新管理”,并点击“安装日期”来排序 勾选上一次安装的补丁后,点击“删除” 删除完毕后重启电脑,即可卸载补丁 ...
【Kernel】内核热补丁技术揭秘
think_ycx的专栏
09-10 1625
https://ruby-china.org/topics/20680 下述为UCloud资深工程师邱模炯在InfoQ架构师峰会上的演讲——《UCloud云平台的内核实践》中非常受关注的内核热补丁技术的一部分。给大家揭开了UCloud云平台内核技术的神秘面纱。 如何零代价修复海量服务器的Linux内核缺陷? 对于一个拥有成千上万台服务器的公司,Linux内核缺陷导致的死机屡见不鲜。让工程师们纠结的是,到底要不要通过给服务器升级内核来修复缺陷?升级意味者服务器重启、业务中断以及繁重的准备工作;不升级则担
windows卸载系统补丁
u011269801的专栏
11-25 8075
a、手动重启 wusa /uninstall /kb:2505438 wusa /uninstall /kb:2670838 wusa /uninstall /kb:2952664 wusa /uninstall /kb:3021917 wusa /uninstall /kb:3112343 wusa /uninstall /kb:3083711 wusa /uninstal
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值