2. 程式人生 > >PE知識復習之PE文件空白區添加代碼

PE知識復習之PE文件空白區添加代碼

阿新 發佈:2018-10-01
公式 技術 展開 執行 nbsp 地址 判斷 重要 兩個

          PE知識復習之PE文件空白區添加代碼

一丶簡介

  根據上面所講PE知識.我們已經可以實現我們的一點手段了.比如PE的入口點位置.改為我們的入口位置.並且填寫我們的代碼.這個就是空白區添加代碼.

我們也可以利用這個知識.實現PEDLL註入. 原理就是 修改入口. 跳轉到我們空白區執行我們的代碼.我們空白區進行重定位.調用Loadlibary. 並且load的是我們的DLL

實現功能就是 我們只要給PE註入了代碼.那麽這個PE程序一旦啟動就會加載我們的DLL

關於PEDLL註入,後面會有博客分類中會講解.此時首先講解怎麽在我們的空白區添加我們的代碼.

二丶空白區添加代碼的註意事項.

  在空白區添加代碼.首先就要熟悉匯編知識.因為我們添加的代碼都是機器碼.而機器碼是被翻譯成匯編指令.本質還是機器碼.

  還需要註意的是重定位技術. 比如 E9 對應匯編是JMP. 那麽後面跟著的是一個偏移. 偏移的計算公式 (目的地址 - 源地址 - JMP指令長度(5)) == 偏移.

這兩點熟悉了那麽下面就好辦了.

  空白區添加代碼的步驟:

1.尋找OEP所對應的文件偏移位置.

2在文件中修改OEP的指向.

3.指向我們的空白區

4.空白區添加我們的代碼.

三丶實戰空白區添加代碼

  1.尋找OEP所在的文件偏移位置

    首先隨便找一個文件,查看擴展頭中OEP RVA 以及 ImageBase, 並且換算出屬於哪個節.並且轉換為文件偏移.

例如下圖:

技術分享圖片

得出OEP RVA == 0x01104b 得出 ImageBase為 0x00400000 那麽內存中OEP開始位置就是 RVA +Imagebase == 0x1104b + 0x00400000 == 0x0041104b

  查看RVA屬於哪個節.

技術分享圖片

首先線觀看兩個節,第一個節 Textbss 在內存中的位置是0x1000開始,因為要判斷RVA >= 節.虛擬地址 && RVA <= 節.虛擬地址 + 節.節數據對齊後的大小 才可以.但是第一個節並沒有節對齊後的大小.所以不能斷定.

所以看第二個節,第二個節 text節. 內存中展開的虛擬地址是 0x011000 並且 節對齊後的大小是 0x00004E00 . 判斷RVA就是屬於這個節.所以算出差值偏移.,並且求出FOA位置

  RVA - 節.RVA == 差值偏移 0x1104b - 0x11000 == 0x4b 差值偏移為0x4b

差值偏移 + 文件偏移 == FOA 0x4b + 0x400 == 0x44b

那麽0x44b位置就是OEP的入口代碼執行處.

技術分享圖片

內存中查看代碼是否跟我們文件偏移代碼出一樣

技術分享圖片

可以看到OEP在內存中的地址位 0x0041104b.並且對應的代碼為 E9 400F0000 E9後面是一個偏移. 是目的地址 - OEP地址 - JMP指令長度(5) 得出的一個偏移.

  2.修改OEP指向

上面我們得到了OEP的位置.並且得出對應機器碼了. 那麽我們完全可以修改OEP的指向.指向我們的空白區位置.

比如指向PE文件中0x2開始的位置. 也就是 MZ成員後面的字節. DOS就兩個重要成員.其余的位置我們可以隨便使用.

因為E9後面是偏移. 所以我們要跳轉到PE中0x2的位置. 但因為PE在內存中展開的時候.是以Imagebase成員為基址進行展開的.所以我們要跳轉的位置是 0x00400002的位置.

計算一下偏移公式.

  目的地址 - 源地址 - 5 = 0x00400002 - 0x0041104b ==0xFFFEEFB2 得出偏移了.那麽我們在文件中OEP位置就可以進行修改了.

技術分享圖片 修改後. 註意是小端模式修改.

內存中查看修改後

技術分享圖片

可以看到OEP跳轉的位置為0x00400002位置.此時我們在0x400002位置.添加我們的代碼即可.

  3.空白區填寫我們的代碼

以前我們OEP跳轉的位置為 0x411f90 也就是這個位置是我們代碼開始執行位置. 此時我們OEP跳轉到了 0x00400002位置. 所以我們在0x400002位置添加我們的代碼

我們可以在空白區位置添加一個代碼,例如 C3 (ret)

技術分享圖片

內存中查看.是否跳轉的位置代碼執行是c3

技術分享圖片

已經更改為C3了. 那麽此時我們也可以自己進行重定位.繼續讓代碼跳轉到我們以前沒修改OEP指向的時候的位置.

以前的位置為 0x411f90 現在位置 0x400002

進行重定位

目的地址 -源地址 - JMP指令長度(5) ==0x11F89

所以我們在C3的位置改成E9 後面的偏移按照小端模式填寫到文件中即可.

技術分享圖片

運行我們的程序.看看代碼是否成功修改

技術分享圖片

確實代碼成功修改也能跳轉到我們原OEP代碼執行位置.

但是當x32dbg執行的時候.會出現C05內存訪問異常.原因是我們這個地方的內存屬性.並不是可執行的.所以會出現內存訪問一樣.我們需要修改內存屬性才可以.

不過上面所說已經完成了一個空白區添加代碼了.具體可以自己嘗試.去找空白區即可.

  

PE知識復習之PE文件空白區添加代碼

相關推薦

PE知識PE空白

公式 技術 展開 執行 nbsp 地址 判斷 重要 兩個           PE知識復習之PE文件空白區添加代碼 一丶簡介   根據上面所講PE知識.我們已經可以實現我們的一點手段了.比如PE的入口點位置.改為我們的入口位置.並且填寫我們的代碼.這個就是空白區添加代碼.

PE知識PE的節表

這也 大於 cal http 位置 short 公式 header rto           PE知識復習之PE的節表 一丶節表信息,PE兩種狀態.以及重要兩個成員解析.   確定節表位置: DOS + NT頭下面就是節表.   確定節表數量: 節表數量在文件頭中存放著.

PE知識PE的RVA與FOA的轉換

地方 第一步 為什麽 截圖 tro 需求 ddr 去掉 span             PE知識復習之PE的RVA與FOA的轉換 一丶簡介PE的兩種狀態   首先我們知道PE有兩種狀態.一種是內存展開.一種是在文件中的狀態.那麽此時我們有一個需求. 我們想改變一個全局

PE知識PE擴大節

mage character str style 字節 填充 odata address 加載               PE知識復習之PE擴大節 一丶為什麽擴大節   上面我們講了,空白區添加我們的代碼.但是有的時候.我們的空白區不夠了怎麽辦.所以需要進行擴大節.

PE知識PE的導出表

位置 別人 而是 cep 當前 inf 指向 glob 17.                    PE知識復習之PE的導出表 一丶簡介  在說明PE導出表之前.我們要理解.一個PE可執行程序.是由一個文件組成的嗎. 答案: 不是.是由很多PE文件組成.DLL也是PE文件

PE知識PE的重定位表

exe ati 全局 很多 擴展 寫到 技術分享 準備 知識           PE知識復習之PE的重定位表 一丶何為重定位       重定位的意思就是修正偏移的意思. 如一個地址位 0x401234 ,Imagebase = 0x400000 . 那麽RVA就是 1

在32位PE中的任意一個節中

for 特定 fine lib demo 控制 num fun tar // SectionOp.cpp : 定義控制臺應用程序的入口點。 // /************************************************ *程序說明:在32位PE文

linux入門_韓順平_版_目錄類

pad -a 後端 輸出 rap part 行號 分屏顯示 source 查看當前目錄   pwd 進入某目錄    列舉   ls   ls -a  顯示所有文件,包括隱藏的文件   ls -l  以列表的形式   ll 創建目錄   mkdir   -p  創建

Struts2知識

什麽 etc 中心 otn el表達式 引用 上下文環境 類型 一個棧 Struts2的MVC思想以及面向AOP切面編程 1 MVC簡單概述:M Model(業務邏輯模型,service層,dao層)V View(視圖,html,css,js頁面)C

Struts2知識

sele stack ajax nts protect per cte 表單標簽 tld Struts2的攔截器 1 需求概述 在CRM系統中,有用戶登錄功能,如果訪問者知道後臺的訪問頁面路徑, 可以沒有登錄直接進入CRM系統,所以要對沒有登

Spring框架知識

未使用 生命周期 sin ssi point 兩種 ide 日誌記錄 業務邏輯 Spring使用註解對Bean進行管理 1 使用註解需配置aop相關xsd文件的約束和命名空間 xsd文件名為:spring-aop-4.2.xsd 2 註解組件掃描配置 示例如下:base-p

Pycharm在創建py時,自動頭註釋

文件頭 images image nbsp 輸入 pycha -1 img .com 操作如上圖所示,一般輸入的註釋為: Pycharm在創建py文件時,自動添加文件頭註釋

java編輯器 pdf預覽 主流SSM 生成器 shrio redis websocket即時通訊

java微信自定義菜單 快遞接口 SSM redis shiro 官網 http://www.fhadmin.org/ A代碼編輯器,在線模版編輯,仿開發工具編輯器,pdf在線預覽,文件轉換編碼 B 集成代碼生成器 [正反雙向](單表、主表、明細表、樹形表,快速開發利器)+快速表單

創建壓縮,並壓縮的內容

pen utf8 odin ack nts sta stream write rac public static void saveZipFile(){ try { ZipOutputStream zipout = new ZipOutputStream

***Linux chmod命令修改夾權限命令

ima linu 容易 添加 情況 操作符 的人 即使 屬性。   在Unix和Linux的各種操作系統下,每個文件(文件夾也被看作是文件)都按讀、寫、運行設定權限。 在Linux中要修改一個文件夾或文件的權限我們需要用到linux chmod命令來做,下面我寫了幾個簡

linux下查看目錄下某種類型累計的行數

文件類型 linux inux xargs rgs .py bsp blog -name find 路徑 -name ‘*.py‘ | xargs wc -l linux下查看目錄下某種文件類型累計的代碼行數

java編輯器 pdf預覽 主流SSM 生成器 shrio redis websocke

java 官網 http://www.fhadmin.org/A代碼編輯器,在線模版編輯,仿開發工具編輯器,pdf在線預覽,文件轉換編碼B 集成代碼生成器 [正反雙向](單表、主表、明細表、樹形表,快速開發利器)+快速表單構建器freemaker模版技術 ,0個代碼不用寫,生成完整的一個模塊,帶頁面、建表sq

使用gulp自動化打包合並前端靜態資源(CSS、JS壓縮、版本號)

開發 替換 2.4 所有 vsu scom lena pfile sss 現在正在做的項目更新叠代比較頻繁,會經常對前端代碼打包部署,手動整合代碼文件很麻煩並且浪費時間,所以決定使用gulp來代替手工完成這項工作。 前端靜態資源在發版更新時會面臨客戶端瀏覽器緩存的問題(可參

Xml漢化後改變

pos 漢化 技術分享 log div inf 文字 nbsp bsp 源Xml文件代碼頁為ansi,漢化後要轉換為UTF-8,在網上搜素了以下結果,但解釋的不都清楚,我找了好一陣才找到相應的操作。 為防止自己以後忘了,補充如下: 經過這樣的設置,生成的

作業修改配置 查詢,

pan \n 添加 line Coding val delet 跳出循環 pen dic_function = {1:‘search‘,2:‘add‘,3:‘delet‘,4:‘update‘} for i in dic_function.items():