您还没有登录,请您登录后再发表评论 相关推荐
-
PE文件节区添加并弹出简单的对话框
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
-
软件安全实验(一)PEVIEW-弹窗操作
软件安全实验(一) 实验名称:软件安全-PEVIEW-弹窗操作 实验软件:WinHex , OllyDBG , LordPE , PEview 实验效果:双击PEview后产生弹窗 实验思路: 实验步骤: 1.打开LordPE 2.点击PE Editor 3.选择PEview打开,观察EntryPoint(入口点)和ImageBase(基地址) 得出原始入口点为401000 4.点...
-
C++实现PE文件添加新节区(加壳器)
最近潜心研究二进制安全,接触到了shellcode还有加壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==节区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
-
添加节,插入PE文件
把任何二进制文件,以新添加一个节区的方式,插入到可执行文件中!
-
向PE文件中插入可执行代码(非源码)
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本节中的未用空间中插入代码 (2)添加新的节 在编写要添加的代码中,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
-
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
这个小软件通过在可执行文件(.exe)的尾部添加一个新节(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现了简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
-
PE文件详解之IMAGE_NT_HEADER结构
PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。 先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
-
从一个简单的实例来了解PE文件
逆向工程(二):从一个简单的实例来了解PE文件由于原来的链接失效,RegisterMe这个软件很难找到免费的,找了半天才找了一个reverseme,感觉还不太对,但是用来研究ollydbg应该是一样的。 1.准备好ollydbg。 开始打开reverseme会出现下面这样的弹窗 2.然后用ollydbg打开reverseme。 通过另一个教程,我知道了要去除掉这个弹窗,需要把0040107B的j...
-
制作最小PE和ELF
PE: http://www.phreedom.org/research/tinype/ ELF: http://www.muppetlabs.com/~breadbox/software/tiny/teensy.html
-
小甲鱼PE详解之区块表(节表)和区块(节)续(PE详解05)
原文出自:www.fishc.com 这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。 首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。 (具体过程演示大伙可参考小甲鱼的视频教程:《解密系列》系统篇.第五讲) 这里我们经过千辛万苦终于找到了我们的区块表了(当然
-
使用OD给EXE程序添加弹框
新建一个区段(stud_PE工具) 如果没有MessageboxA,新建导入表,目的是把MessageboxA函数导入进去,并且获取VA 在新的区段处添加MessageBox的调用 在后面添加 jmp 程序入口地址处 修改程序入口(stud_PE工具) ...
-
手动修改PE文件:添加自定义代码
在PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos头和Nt头之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
-
PE文件的基本结构-3 节表和RVA换算
<br />PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节表总是被存放在紧接在PE文件头的地方。<br />IMAGE_SECTION_HEADER结构的定义如下:<br />TISHMisc = pack
-
手动增加pe节并修改oep
一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。 一、 增加pe节需要的操作 1. 确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch 也就是说 内存和文件的对齐粒度都是1000h. 2. 在文件末尾增加数据。 因为文件对齐的粒度是1000
-
PE文件解析-资源中的对话框结构
一、概述 想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
-
病毒基础系列-API函数地址的获取
病毒基础系列 by Hume/冷雨飘心前言: 病毒没有什么可怕的,也并不象想像中的复杂,玩汇编的人如果没有看过病毒?简直是白活一遭...病毒就象是双刃剑,恶意使用就会带来恶果,我本人对于此类行为深恶痛绝!我们研究不是为了
-
《PE总结 》– DOS文件头、PE文件头、节表和表详解(二)
三、节表和节 1.首先我们先来了解Windows是如何将PE文件映射到内存的。 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,而是采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入...
-
PE文件操作-末尾添加节
有时候为了某些原因,需要在PE末尾添加节,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加节是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的节数目字段 修改OPTIONAL_HEADER中映像大小字段 在节描述符数组中添加新描述符 在文件末尾添加新节数据 首先找到文件最后一个节并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个节的结束:
5 楼 lbfhappy 2010-02-22 12:33
4 楼 jansel 2010-02-22 11:32
3 楼 ThinkingInAll 2010-02-22 10:56
2 楼 windywindy 2010-02-22 09:11
开放
1 楼 fangshun 2010-02-22 08:47