PE:AddNewSection

最新推荐文章于 2023-12-28 20:50:16 发布
最新推荐文章于 2023-12-28 20:50:16 发布
阅读量266 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zmmycsdn/article/details/79059869
版权 
DWORD AddNewSection(IN PVOID pFileBuffer, OUT PVOID* pNewFileBuffer)
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNTHeader = NULL;
    PIMAGE_FILE_HEADER pPEHeader = NULL;
    PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;

    if(!pFileBuffer)
    {
        printf("FileBuffer无效!\n");
        free(pFileBuffer);
        return;
    }
    if(*(PWORD)pFileBuffer != IMAGE_DOS_SIGNATURE)
    {
        printf("不是有效的PE文件\n");
        free(pFileBuffer);
        return;
    }
    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNTHeader = (PIMAGE_NT_HEADERS)(pDosHeader + pDosHeader->e_lfanew);
    pPEHeader = (PIMAGE_FILE_HEADER)(pNTHeader + 4);
    pOptionHeader = (PIMAGE_OPTIONAL_HEADER)(pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)(pOptionHeader + pPEHeader->SizeOfOptionalHeader);
    //判断是否有足够的空间添加一个节表
    if((pOptionHeader->SizeOfHeaders - (pDosHeader->e_lfanew + 4 + IMAGE_SIZEOF_FILE_HEADER + pPEHeader->SizeOfOptionalHeader + IMAGE_SIZEOF_SECTION_HEADER * pPEHeader->NumberOfSections)) < IMAGE_SIZEOF_SECTION_HEADER * 2)
    {
       printf("添加节表空间不足\n");
       free(pFileBuffer);
       return;
    }
    //计算添加节后的大小sizeOfFileBuffer
    DWORD sizeOfNewFileBuffer = 0;
    DWORD sizeOfSections = 0;
    DWORD sizeOfFileBuffer = 0;
    PIMAGE_SECTION_HEADER pTemOfSectionHeader = pSectionHeader;
    for(int i=0;i<pPEHeader->NumberOfSections;pTemOfSectionHeader++,i++)
    {
        sizeOfSections += pTemOfSectionHeader->PointerToRawData;
    }
    sizeOfFileBuffer = sizeOfSections + pOptionHeader->SizeOfHeaders;
    sizeOfNewFileBuffer = sizeOfFileBuffer + pOptionHeader->FileAlignment;//增加一个文件对齐长度的大小的节
    //分配新的缓冲区
    PVOID pTemOfNewFileBuffer = NULL;
    pTemOfNewFileBuffer = malloc(sizeOfNewFileBuffer);
    if(!pTemOfNewFileBuffer)
    {
        printf("pTemOfNewFileBuffer分配失败!\n");
        free(pFileBuffer);
        return;
    }
    //复制PE文件到新的缓冲区
    memset(pTemOfNewFileBuffer,0,sizeOfNewFileBuffer);
    memcpy(pTemOfNewFileBuffer,pFileBuffer,sizeOfFileBuffer);
    //添加新节表并修改属性
    //通过上面的循环后,pTemOfSectionHeader是新节表的RVA
    PIMAGE_SECTION_HEADER pNewSectionHeader = (PIMAGE_SECTION_HEADER)(((DWORD)pTemOfSectionHeader - (DWORD)pFileBuffer) + (DWORD)pNewFileBuffer);
    memset(pNewSectionHeader,0,0x80);//填充两个节表大小的0
    memcpy(pNewSectionHeader->Name,"new",sizeof("new"));
    pNewSectionHeader->Misc.VirtualSize = pOptionHeader->FileAlignment;
    pNewSectionHeader->VirtualAddress = (pNewSectionHeader - 1)->VirtualAddress + pOptionHeader->SectionAlignment;
    pNewSectionHeader->SizeOfRawData = pOptionHeader->FileAlignment;
    pNewSectionHeader->PointerToRawData = (pNewSectionHeader - 1)->PointerToRawData + (pNewSectionHeader - 1)->SizeOfRawData;
    pNewSectionHeader->Characteristics = pNewSectionHeader->Characteristics||0x60000020;
    //修改NumberOfSections和sizeofimage
    pPEHeader->NumberOfSections += 1;
    pOptionHeader->SizeOfImage += pOptionHeader->FileAlignment;

    *pNewFileBuffer = pTemOfNewFileBuffer;
    pTemOfNewFileBuffer = NULL;
    free(pFileBuffer);
    return sizeOfNewFileBuffer;
}

  
  
1、判断是否有足够的空间,可以添加一个节表.
判断条件:
SizeOfHeader
 - (DOS + 垃圾数据 + PE标记 + 标准PE头 + 可选PE头 + 已存在节表)
>= 2个节表的大小
2、需要修改的数据
1) 添加一个新的节(可以copy一份)
2) 在新增节表后面
 填充一个节大小的0;
3) 修改PE头中节的数量
4) 修改sizeOfImage的大小
5) 再原有数据的最后,新增一个节的数据(内存对齐的整数倍).
6)修正新增节表的属性
注入(5)---导入表注入(HookINT)
对着世界说你好
10-13 2964
导入表是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入表,PE加载器会根据导入表来加载进程需要的其他DLL模块。 导入表的数据结构如下:typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
[DLL 劫持] 修改 IAT ,让程序启动时加载自己的 DLL
墨鱼菜鸡
11-27 334
请转到以下链接食用 ???? 原理参考: ????:https://www.cnblogs.com/LyShark/p/13697577.html 代码1(部分情况下有修复内存对齐的 bug): #include <win...
PE:copyBaseRelocation2NewSection
zmmycsdn的博客
01-15 227
DWORD copyBaseRelocation2NewSection(IN PVOID pFileBuffer,OUT PVOID* pNewFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader
pE文件操作--移动导出表
qq_31125257的博客
12-28 822
一、什么是导出表? 先回顾一下导出表的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子表;其中地址表存储的是导出的函数地址,名称表存储的是以名字导出的函数的函数名的RVA,序号表存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种表? 这些表是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些表做初始化的工作,如将用到的DLL中的函数地址存储到IAT表; 为了
8.PE文件之新增节
kernelhack
10-28 4447
目录 新增节对PE文件中哪些值会有影响? 新增节步骤: 手动新增节 代码新增节 如果需要在PE文件中构建一端SHELLCODE(默认节区剩余空间不足情况下),可以通过新增节来解决此问题.通常大部分加壳软件都会新增节来移动或者备份各种目录项数据. 新增节对PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件节的数量,如果新增节需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增节后在内存中的大小
PE格式文件的代码注入
谢启东的专栏
05-05 8154
 PE格式文件的代码注入   本文演示了在不需要重新编译源代码的情况下,怎样向Windows PE(Portable Executable)格式的文件(包括EXE、DLL、OCX)中注入自己的代码。 程序如图:         前言       或许,你想了解一个病毒程序是怎样把自身注入到一个正常的PE文件中的,又或者是,你为了保护某种数据而加密自己的P
c++文件复制 (部分)
猫与火花
10-05 1060
// FileToImage.cpp: implementation of the FileToImage class. // ////////////////////////////////////////////////////////////////////// #include "stdafx.h" #include "FileToImage.h" /////////////////...
劫持 PE 文件:新建节表并插入指定 DLL 文件
【Rainbow Network Technology co., LTD】
12-28 1094
修改 PE 文件 IAT 注入,这种方法其实是 PE 感染的一种,通过对目标程序添加一个新节并注入DLL,然后这会改变 PE 文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。
Dll注入:修改PE文件 IAT注入
a815064247的博客
04-03 1334
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。步骤:1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA填充新节PIMAGE_SECTION_HEADER,修改IMAGE_NT_HEADERS,将新节添加到文件尾部 ...
导入表注入
weixin_43990313的博客
07-29 493
导入表注入 思路 构造新的节表,存放导入表结构,在这之后构造INT、IAT、IMAGE_IMPORT_BY_NAME结构。同时注意FOA到RVA的转化。 导入表注入 1.创建新节表并移动导入表copy(不需要修复) 2.创建导入表之后添加一个新导入表(在新表之后添加一个导入表大小的0作为导入表的结束标志) 3.追加INT和IAT表 4.构造IMAGE_IMPORT_BY_NAME结构 5.赋值 6.修正IMAGE_DATA_DIRECTORY的VirtualAddress 和Size 需要的函数 RVATO
实训商业源码-头像挂件-毕业设计.zip
05-10
实训商业源码-头像挂件-毕业设计.zip
环境工程中高斯烟团模型的纯Python实现及其应用
05-10
内容概要:本文详细介绍了如何使用Python实现高斯烟团模型,这是一种用于预测大气中污染物扩散的模型。主要内容涵盖大气稳定度计算、坐标转换、扩散系数计算及三维浓度叠加值的实现。首先,文章解释了高斯烟团模型的基本概念,即假设污染源释放的污染物在空气中形成一个高斯烟团,该烟团随时间扩散、混合和沉降。接着,文章逐步讲解了Python代码的具体实现步骤,包括导入必要库、定义大气稳定度分类、实现坐标转换函数、计算扩散系数以及编写浓度叠加值计算函数。最后,通过该模型可以预测大气中污染物的扩散情况,为环境工程和气象学领域提供有价值的参考。 适合人群:从事环境工程、气象学研究的专业人士,以及对大气污染物扩散模拟感兴趣的科研人员和技术开发者。 使用场景及目标:适用于需要评估大气污染物扩散情况的研究项目,帮助研究人员更好地理解和预测污染物的行为,从而制定有效的环境保护措施。 其他说明:文中提供的Python代码实现了高斯烟团模型的关键部分,能够作为教学工具或实际项目的参考。
基于EMD-KPCA-LSTM的北半球光伏功率多维时间序列预测MATLAB代码实现
05-10
内容概要:本文档提供了基于经验模态分解(EMD)、核主成分分析(KPCA)和长短期记忆网络(LSTM)的多维时间序列预测MATLAB代码实现。具体应用案例为北半球光伏功率预测,涉及的数据集包含太阳辐射度、气温、气压和大气湿度四个输入特征,以及光伏功率作为输出预测。文档详细介绍了从数据加载与预处理到EMD和KPCA处理,再到LSTM模型训练与预测的具体步骤,并进行了EMD-LSTM、EMD-KPCA-LSTM和纯LSTM模型的对比分析。此外,还强调了代码的注释清晰度和调试便利性,确保用户能够顺利运行和理解整个流程。 适用人群:适用于具有一定MATLAB编程基础和技术背景的研究人员、工程师或学生,特别是那些对时间序列预测、机器学习和光伏功率预测感兴趣的群体。 使用场景及目标:① 使用EMD、KPCA和LSTM组合模型进行多维时间序列预测;② 对比不同模型的效果,选择最优模型;③ 掌握MATLAB环境下复杂模型的构建和调优方法。 其他说明:代码已验证可行,支持本地EXCEL数据读取,附带详细的“说明”文件帮助用户快速上手。建议用户在实践中结合实际需求调整参数和模型配置,以获得最佳预测效果。
BLDC无刷电机Matlab仿真:转速电流双闭环控制及换相策略研究
05-10
内容概要:本文详细介绍了如何利用Matlab进行BLDC无刷电机的仿真,重点在于转速电流双闭环控制以及两种主要的换相方式——有感hall换相和无感反电动势过零换相。文章从仿真准备、模型创建与设置、具体控制方法到最后的仿真结果与分析进行了全面讲解。通过PI控制器调整电流和转速反馈值,确保电机运行的稳定性和高效性。文中还对比了两种换相方式的优缺点,帮助读者更好地理解BLDC无刷电机的工作原理及其控制方法。 适合人群:对电机控制有一定兴趣并希望通过Matlab进行仿真的工程技术人员、研究人员及高校学生。 使用场景及目标:适用于希望深入了解BLDC无刷电机控制原理和技术细节的人群,尤其是那些想要通过实际操作加深理解的学习者。目标是让读者能够独立完成BLDC无刷电机的基本仿真,并掌握关键控制技术和换相策略。 其他说明:本文基于作者的经验总结,提供了一个较为完整的入门指南,虽然不是严格的学术论文,但对于初学者来说非常实用。
碱性水电解槽乳突主极板三维建模与流体动力学仿真教程—基于Fluent软件的研究
05-10
内容概要:本文详细介绍了如何使用Fluent软件进行碱性水电解槽乳突主极板的三维建模及其流体动力学仿真。主要内容包括乳突主极板的三维模型创建方法,探讨了凹面和凸面的深度与间距对流场的影响,并进行了后处理分析,如压力分布、温度分布、流线轨迹和涡分布等。通过这些分析,能够更好地理解碱性水电解槽的工作原理和优化其性能。 适合人群:从事氢能研究的技术人员、科研工作者、工程师及相关专业学生。 使用场景及目标:适用于需要深入了解碱性水电解槽内部流场特性的研究人员,目标是提高电解效率和优化设备性能。 其他说明:文中提供了简化的示例代码,用于指导读者如何利用Fluent软件进行仿真设置和分析。实际操作时需结合Fluent的帮助文档进一步学习。
第九届飞思卡尔杯全国大学生智能汽车竞赛技术报告-哈尔滨工业大学创意组
05-10
内容概要:本文档是哈尔滨工业大学创意组参加第九届“飞思卡尔”杯全国大学生智能汽车竞赛的技术报告,涵盖了旋转LED车、漂移车、翻转车和过山车的设计与实现。文档详细介绍了各车型的系统架构、硬件设计(包括传感器、电源、驱动电路等)、软件设计(如PID控制算法、中断调用等)以及机械调校(如前轮调整、差速调整等)。每个车型都有独特的控制需求和技术难点,如旋转LED车的直立控制、漂移车的速度和转向控制、翻转车的角度和速度控制、过山车的传感器优化和电机驱动等。 适合人群:电气工程、自动化、计算机科学等相关专业的本科生或研究生,特别是对智能车竞赛感兴趣的学生。 使用场景及目标:①了解智能车竞赛的基本原理和技术实现;②掌握传感器、电机驱动、PID控制等关键技术的应用;③学习如何进行系统集成和机械调校,以优化车辆性能;④为参加类似的智能车竞赛提供参考和借鉴。 其他说明:文档中引用了大量参考文献,为读者提供了丰富的背景资料和深入学习的途径。此外,文档不仅展示了硬件和软件设计的细节,还强调了实际调试和优化的重要性,有助于读者在实践中更好地理解和应用所学知识。
配电网分布式光伏电源选址定容的多目标寻优PSO粒子群算法Matlab实现
最新发布
05-10
内容概要:本文详细介绍了如何利用多目标寻优技术和PSO粒子群算法,在配电网中实现分布式光伏电源的选址定容。文中阐述了选址定容对配电网的重要意义,并具体解释了多目标寻优技术和PSO粒子群算法的工作原理。通过Matlab编程,作者实现了以网损、电压偏差和光伏消纳为优化目标的程序,能够调节光伏接入个数并输出数据对比图,便于分析不同方案的效果。最终,通过程序运行和数据分析,得出了最优的分布式光伏电源选址定容方案。 适合人群:从事电力系统规划、分布式能源研究以及对优化算法感兴趣的科研人员和技术开发者。 使用场景及目标:适用于希望提升配电网性能的研究机构和企业,旨在降低网损、改善电压质量和提高光伏消纳率。通过调整光伏接入点的数量,满足不同配电网的需求。 其他说明:本文不仅提供了理论背景,还附带了实际的Matlab代码实现,有助于读者深入理解和实践相关技术。
2001年数二顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶
05-10
数学复习
电力电子领域移相全桥电路(PSFB)与DCDC转换器的关键技术及其实现方法
05-10
内容概要:本文深入探讨了移相全桥电路(PSFB)与DCDC转换器的技术细节及其应用场景。首先介绍了PSFB相较于传统全桥电路的优势,特别是零电压开关(ZVS)特性对提高效率的作用。接着详细解释了PSFB的工作原理,包括通过STM32配置互补PWM来实现相位差的具体步骤,以及确保安全运行所需的死区时间配置。此外,还讨论了LLC谐振腔的设计与调试技巧,提供了基于Python的ZVS可行性评估工具。对于控制策略部分,则重点讲解了电压模式闭环控制中的斜率补偿机制,并分享了一个高效的数字实现方法。最后提到变压器设计中的常见挑战及解决方案,强调了精确选择元件参数的重要性。 适用人群:从事电力电子产品研发的技术人员,尤其是专注于高效能电源设计的工程师。 使用场景及目标:帮助读者掌握PSFB和DCDC转换器的设计要点和技术难点,提升产品性能和可靠性。适用于需要优化电源系统效率的实际项目中。 其他说明:文中不仅有理论分析,还有具体的代码实例和实践经验分享,有助于加深理解和实际应用。
Stud_PE:深入分析PE文件的利器
Stud_PE是一款专门用于分析PE(Portable Executable)格式文件的工具。PE格式是Windows操作系统下可执行文件(.exe、.dll、.sys等)的标准文件格式,因此Stud_PE可以用来分析几乎所有Windows平台下的二进制文件。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值