您还没有登录,请您登录后再发表评论 相关推荐
-
PE文件修改器(EXE文件查看工具)v2.2单文件绿色版(x86/x64)
PE文件修改器(EXE文件查看工具)v2.2单文件绿色版 ============================================================ 发布时文件名: PEshell-x86-v2.2[crc-F342E220].exe PEshell-x64-v2.2[crc-A9F3EAEA].exe 软件介绍: PE文件修改器(EXE文件查看工具) WINXP,WIN7x86,WIN7x64系统下测试稳定,部分受保护文件修改失败。(仅用于学习交流) 此小工具,可修改EXE文件图标,导出EXE文件图标,EXE文件注入进程,EXE文件注入DLL,合并EXE文件。 注: 用于打造个性化EXE文件,但仅适用于修改普通32/64位可执行EXE文件。 绿色版无毒请放心使用! 这类软件杀软误报纯属正常! ============================================================
-
关于PE可执行文件的修改
关于PE可执行文件的修改原创:ilsy(ILSY)在windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文
-
PE结构实战
这是本人对标准PE文件各个重要部分进行的修改测试,一些数据和结果或许希望大家有所帮助本文来自:http://blog.csdn.net/soft_biao标准PE文件的数据:Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00000000 4D 5A 90 00 03 00 00 00 04 00 0
-
PE文件格式分析及修改
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识
-
关于PE文件中校验和(checksum)的计…
熟悉PE文件格式的人应该都知道,在PE文件中有一个四字节的checksum,当初学习PE文件格式的时候,写过一个计算校验和的小程序,今天在整理电脑的时候突然发现了它,似乎彻底忘了它是干什么的,仔细一看才知道器具体,好记性不如烂笔头,似乎有必要将它贴出来,以便于以后再次遇到同一问题的时候能够直接使用。 本程序是由C++实现,用到了静态库imagehlp中的一些函数,程序写的很次,基本没有提
-
PE文件的修改---减少节区
打开标准头,找到size of image地址为000000D0,大小为00008000,减去映像大小最小单位00000000。删除节区头(用0填充),用PEview打开文件Tut.ReverseMe1,找到节区reloc地址范围:0218到0240。,找到这个节的起始位置,section.reloc起始位置是00003600,之后全部删除。保存为Tut.ReverseMe3.exe。,5个节修改位4个节。
-
手动修改PE文件:添加自定义代码
在PE文件里有很多位置可以添加自己的代码(其实就是感染PE),凡是用不到的地方都能加。想到的位置有(在文件中不是在内存中):Dos头和Nt头之间、每个节末尾的Padding(间隙)、新增节分配在文件末尾的空间;其它覆盖数据的方法不安全容易引起错误还是算了。添加后还要在程序中设置跳转以执行自己的代码,有用跳转和改入口点的方法。总之方法很多,下面举个例子: 1. 准备 在这里我要加
-
可执行程序文件的修改
gdb修改可执行程序的值
-
手动修改PE文件:修改节表
目前想到的关于修改节表就是新增节和节表移位,其它的改节的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增节 现在很多解析PE格式的软件都有添加节的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos头->DosStub->NT头->节表->Padding->节内容。 在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
-
PE文件中资源修改(基于重构)
这是本人做的一个探索。这个小程序可以 重新构造PE文件的资源,然后写回到PE文件中;
-
PE修改工具(EXE文件修改器)
WINXP,WIN7x86,WIN7x64系统下测试通过。(CSDN首发) 一个小工具,可修改EXE文件图标,导出EXE文件图标,EXE文件注入进程,EXE文件注入DLL,合并EXE文件。 注:用于打造个性化EXE文件,只适用于普通32位可执行EXE文件。
-
更改PE文件加载动态库
最近看了《逆向工程核心原理》,其中第25.4节讲了更改PE文件让目标文件加载我们的动态库。现在做一下完整介绍。 PE文件的导入DLL信息存储在IDT中,于是我们只需将DLL加到目标PE文件的IDT中,这时我们得先看一下IDT的空间大小。 1.查看IDT: 首先用PEView查看目标程序,看IMPORT Directory Table内容 可见地址范围从76CC---772F...
-
修改PE文件版本信息(简单演示)
struct VS_VERSIONINFO { WORD wLength; WORD wValueLength; WORD wType; WCHAR szKey[]; WORD Padding1[]; VS_FIXEDFILEINFO Value; WORD Padding2[]; WORD Children[]; };
-
修改php执行文件,用GDB修改可执行文件的代码和变量
下面我向大家介绍一下使用gdb修改可执行文件中的代码和变量的方法。另,在GDB文档中介绍这个方法也 能修改CORE文件的内容,本人未验证。在 一般情况下GDB是以只读方式打开可执行文件的,如果需要改变可执行文件,需要在读入文件以前,用GDB启动参数“–write”或者命令“set write on”用可读写方式打开可执行文件。如果文件已经打开了可执行文件,就需要使用exec-file重新以读写方式...
-
通过修改PE文件导入DLL
通过修改PE文件导入DLL 修改思路 实例 1.查看IDT信息 图1 由上图我们可以得到以下信息: IDT的RVA信息在文件偏移160h处,值为84CC IDT的大小信息在文件偏移164h处,值为64h 1.1转到IDT处查看具体信息 转到84CC也就是文件偏移76CC 共有5个IID结构体(每个IID20个字节,对应一个DLL相关信息),最后一个IID为NULL 由上图我们发现并没有足够空间添加我们的DLL, 那么转移IDT 2.转移IDT 由图1可知IDT在.rdata节区, 查看.rdata节区
-
C++外部程序修改exe文件属性信息
Windows平台可执行文件(execute文件)属性中会有版本信息,包含文件说明、文件版本、版权等信息。本文主要目的是将设置版本信息的方法公开化。 首先我们要清楚Windows下的可执行文件格式属于PE文件格式标准,PE文件标准支持内嵌资源,就是将一个外部文件内嵌到可执行文件中,这样程序启动时只需从自身内部找到这块资源加载就可以了,而不需依赖其他外部的磁盘文件。 PE文件支持的内嵌资源都有两个必须的标识:一个是资源类型,一个是资源名称。因此只要知道内嵌资源的这两个标识就能找到对应的资源。可执行文件的版.
-
修改PE文件注入dll
修改思路 PE文件中导入dll信息以结构体列表形式存储在IDT中。只要将myhack.dll添加到列表尾部即可。 IDT结构 IDT的描述在IMAGE_OPTION_HEADER里面的IMPORT Table,通过size可以确定是否有足够的空间让我们添加 IDT是由IMAGE_IMPORT_DESCRIPTION(简称IID)结构体组成的数组,数组末尾以NULL结构体结束。每个IID结构体为0...