写一个PE的壳_Part 5:PE格式修复+lief源码修改

已于 2022-05-30 20:33:59 修改
阅读量993 收藏 2
点赞数 1
分类专栏: # 写一个PE的壳 文章标签: 安全 windows c++ python
于 2022-05-27 21:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44531336/article/details/124997015
版权

系列汇总

文章目录

用原教程中Part 4的py文件处理test.exe,生成名为packed_bug1.exe程序;运行时直接报错

在这里插入图片描述

下面给出了整个修复的思路

1.CFF查看

CFF看一下packed_bug1.exe,直观上会发现2处异常,导致PE格式解析出现问题

在这里插入图片描述

  • 异常1:Data Directory中的Import Directory没有识别

    构建程序会经历 unpacked.exe -> shifted_unpack.exe ->packed.exe的过程,packed.exe的header是shifted_unpack.exe的header的简单拷贝;CFF发现shifted_unpack.exe的header是正常的,说明问题应该不是出在这里

在这里插入图片描述

  • 异常2:Section Header中section table记录的信息错乱了

最低0.47元/天 解锁文章
一个PE_Part 4:修复对ASLR支持+lief构建新PE
可乐松子的博客
05-27 825
文章目录1.解决思路step 1:当前现状step 2:解决思路step 3:内存布局2.修改unpack部分Image BasePE Header and Section3.修改python的打包程序step 1:构建unpack部分step 2:ASLR特殊处理4.构建结果处理 Part 3中遗留了一个隐患,MinGW无法生成重定位表,因此无法产生可移动的二进制文件;Part 4中要处理MinGW生成的可执行文件(能移动的,即支持ASLR的二进制文件)的打包问题 1.解决思路 step 1:当前
一个PE_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)
可乐松子的博客
05-26 3835
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1中遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件
PE加壳工具源码
05-26
添加新的区段、修改OEP、加密源代码、添加密码验证窗口、简单反调试。
PE文件格式修复工具
05-08
PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具PE文件格式修复工具
PE文件加壳软件源代码
05-08
本软件能对PE文件exe加壳,保护程序,这个是源代码程序,学习加壳的,可以看看
PE格式文件修复过程
slc1112的博客
12-13 3905
PE格式文件修复过程。一般来说,正常的PE结构PE头和PE体两部分组成。其中,PE头DOS头、DOS存根、NT头、节区头几部分,余下的节区合称为PE体。PEWindows可执行文件总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关。意思是,即使一个文件没有任何扩展名,也可以是可执行文件。 话多说,直接开始实例练习,打开一个dll文件分析,这个dll文件看样子大致是一个PE文件。这是因为后面有.text,.data等字符。 但是我们发现头部几个字节看着明显PE
手工修复PE文件的IAT
xujunjie的专栏
11-04 3029
在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
一个PE_Part 3:Section里实现PE装载器
可乐松子的博客
05-26 997
文章目录Part 3:Setion里实现PE装载器1.unpack部分step 1:通用想法step 2:修改代码step 3:编译选项2.用python打包step 1:lief安装和使用step 2:避免告警step 3:命令行参数step 4:准备文件step 5:给PE文件添加一个section3.结果展示4.遗留问题5.参考 Part 3:Setion里实现PE装载器 Part 3主要做了什么? Part 1和Part 2中我们一个简易的PE装载器(loader.exe),可以加载一个3
一个PE_Part 1:加载PE文件到内存
可乐松子的博客
05-25 1335
前面都是PE的零散的知识,可以通过给PE文件一个将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱很有帮助 下面是结合自己的实践的笔记,是教程的原版翻译 教程主要实现的的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
一个简单的源码
zhw309的专栏
12-10 3383
最近出差,偶有闲暇,了个简单的,先声明下,此部分内容借鉴看雪论坛某位大侠(现在搜索找到了,所以名字忘记了)名为shell的程序。主要实现有以个方面的功能:1,对text块进行RC4加密,组织程序被IDA等静态工具分析。2,替换程序中的部分API函数,让其执行到API函数时能跳到执行相关代码后再跳回。3,在中加了CRC和自己随便一个CheckSum用来检验程序的完整性
PE文件修改修复助手-两款合集
01-15
收集来的两款PE文件修复工具,非常小巧实用。一个是RepairPE,另一个PE修复工具,国产的,牛人编
PE网上源代码
04-26
PE一个很久的工具源码
PE软件修复LordPE_fix.EXE
01-24
程序名称:LordPE Deluxe 增强版 版 本:1.4 汉 化 人:cao_cong 联系方式:cao_cong_hx@yahoo.com.cn 使用说明: 这个工具大家应该也比较熟悉吧?这是另一款PE编辑工具,号称是“最好的PE文件修改工具”。这个增强版本是我在看雪学院上看到的,原来是看雪兄的大作。正好我以前汉化过这个软件(自己用的,没发布过),顺便套用一下以前的资源,把它给汉化了(里面所附带的工具基本上都汉化了)。可能有许多兄弟都比较喜欢用这个软件,这次发出来希望能给大家带来一点方便。这个增强版的主要更新(根据看雪兄的readme文件): (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时可复制) 过上面的第二条查看输入表部分的右键菜单我没看到。难道是我的系统(XP_SP2)有问题? 其它内容请看附带在内的readme.txt文件。LordPE的原版和增强版的原版我都放在英文原版文件夹中,大家可以进行比较。 声明: 1、此汉化软件是免费软件,请在转载时保留其内容的完整性! 2、此软件仅用于个人学习使用,禁止用于商业用途,否则后果自负! (1) 为LordPE查看输入表部分加上搜索功能 (2) 为LordPE查看输入表部分加右键菜单(仅复制ThunkRVA/FirstThunk列). (3) 当点击LordPE查看输入表部分中"View always FirstThunk",保持光条在原来位置.(LordPE默认会将光条置到0行) (4) 修改FLC(File Location Calulator)窗口中各个文本框(VA,RVA,Offset)为只读属性,此时可以用鼠标复制里面的文本.(LordPE原来是将文本框禁止变灰,此时可复制) 文件列表: LordPE.EXE .............原版 LordPE_fix.EXE .............增强版 LordPlug.dll .............功能插件 LordPlug.dll_src .............功能插件源码
Delphi PE文件加密加壳源码实例.rar
07-10
Delphi PE文件加密加壳源码实例,思路是在执行exe时尾部添加一个Section,修改PE的入口地址,使exe在运行时跳出一个输入密码对话框,从而实现简单加密。同时源码包中还有一个BIG繁体版本供参考。
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新节(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
一款外源码(Packer source code (C/C++) )
04-06 1842
来源:http://www.exetools.com/forum/showthread.php?t=8432附件:bambam004_source.zip 引用: bedrock    11-03-2005, 04:10 End of last year and begining of this year, i had some spare time and set about creatin
源码一个加密
11-25
源码一个加密 源码
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
一款外源码 C++
06-14
一款外源码,用C++语言开发,采用VC++ IDE开发环境
python读取PE文件
最新发布
01-09
### 使用Python读取PE文件 为了处理可移植执行体(Portable Executable, PE)文件,在Python中有多个库可以利用。这些工具提供了解析和操作Windows二进制文件的能力。 #### pefile 库介绍 `pefile` 是一个专门用于解析PE结构的纯Python模块,能够轻松访问PE头中的所有信息以及节表的内容。此库非常适合那些希望深入了解目标程序内部工作原理的研究人员或开发者[^1]。 安装 `pefile` 可通过pip命令完成: ```bash pip install pefile ``` 下面是一个简单的例子来展示如何加载并打印出给定路径下某个PE文件的部分属性: ```python import pefile def display_pe_info(file_path): pe = pefile.PE(file_path) print(f'File: {file_path}') # 打印入口点地址 print('Address of Entry Point:', hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)) # 获取机器类型 machine_type = { 0x014c : 'Intel 386', 0x0200 : 'IA64', 0x8664 : 'x64' }.get(pe.FILE_HEADER.Machine, "Unknown") print('Machine Type:', machine_type) display_pe_info('./example.exe') ``` 这段代码会输出指定PE文件的一些基本信息,比如它的入口点位置及其编译的目标架构。 对于更复杂的分析需求,则可能需要用到其他功能更强悍但也更为专业的框架如Capstone反汇编引擎或是LIEF多平台二进制解析器等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值