正在学PE结构...感谢个位大哥的文章和资料...这里先说声谢谢

一般高级编译器都是编译好的PE头部,例如MASM,TASM等
一直都说NASM,FASM是低级编译器.可以自定义结构
但是苦于无人发布相关文章说明..我这里就简单的用NASM写一下
由于刚学PE结构许多东西都不太懂希望个位大侠指点
如何打造一个迷你的PE结构..我暂只只能作到617字节
下面随着学习的深入...还有更迷你的PE出现...

代码可以直接编译..
编译参数:nasmw -fbin MsgBoxA.asm -o MsgBoxA.exe

请下载最新的NASM for Win32编译器
当前最新版本:NASM 0.98.39

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;Small PE Header Demo For NASM
;Email:Anskya@Gmail.com
;
;代码说明:NASM 编写迷你PE代码.(C) 2006.3.20
;1.自构造PE头部
;2.自构造导入表结构
;
;Thank:Vecna[29A],Nguga aka PedroGC Made NAGOA+.INC
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
 
[BITS 32]
%define    CODE_BASE    1000h               ;代码基址
%define    RVADIFF      1000h-200h          ;计算内存数据与硬盘数据相对便宜
%define    imagebase    00400000h           ;代码基址
%define    reloc        RVADIFF+imagebase   ;全局偏移--一个很重要的参数
 
;DOS STUB头部
MZ_Header:
.magic                  dw "MZ"     ;01 02----DOS STUB标识[关键数据]
.cblp                   dw 435Bh    ;03 04--[非关键数据]
.cp                     dw 415Dh    ;05 06--[非关键数据]
.crlc                   dw 736Eh    ;07 08--这十个字节我们可以写一点自己的个人信息[非关键数据]
.cparhdr                dw 796Bh    ;09 10--[非关键数据]
.minalloc               dw 2161h    ;11 12--[非关键数据]
 
PE_Header:
.Signature              dd "PE"     ;13 14 | 15 16----PE 头部起始[关键数据]
.Machine                dw 14Ch     ;17 18----该文件运行所要求的CPU:IMAGE_FILE_MACHINE_I386[关键数据]
.NumberOfSections       dw 1        ;19 20----文件节数量[关键数据]
.TimeDateStamp          dd 0h       ;21 22 | 23 24----文件创建日期和时间[非关键数据]
.PointerToSymbolTable   dd 0h       ;25 26 | 27 28----调试信息-[非关键数据]
.NumberOfSymbols        dd 0h       ;29 30 | 31 32----调试信息-[非关键数据]
.SizeOfOptionalHeader   dw 0E0h     ;33 34----OptionalHeader 结构大小[关键数据]
.Characteristics        dw 103h     ;35 36----文件信息的标记:比如文件是exe还是dll[关键数据]
 
Optional_Header:
.Magic                  dw 10Bh     ;37 38----[关键数据]
.MajorLinkerVersion     db 0h       ;39----[非关键数据]
.MinorLinkerVersion     db 0h       ;40----[非关键数据]
.SizeOfCode             dd 0h       ;41 42 | 43 44----[非关键数据]
.SizeOfInitializedData  dd 0h       ;45 46 | 47 48----[非关键数据]
.SizeOfUninitialzedData dd 0h       ;49 50 | 51 52----[非关键数据]
.AddressOfEntryPoint    dd code+RVADIFF ;53 54 | 55 56----代码基址+RVA=此值---需要计算[关键数据]
.BaseOfCode             dd 0h   ;57 58 | 59 60----代码基址[非关键数据]
;.BaseOfData            dd DATA_BASE    ;数据基址-被下面的.lfanew替换了~这个数值本身也没有什么用
.lfanew                 dd 0Ch      ;61 62 | 63 64----标识.PE头部的起始位置这里写为C-看上面第13字节
;DOS STUB部分的最后结尾部分---标识:PE头部的起始位置~他的位置是固定的所以只能写在最后了
;align 16, DB 0                    
.ImageBase              dd imagebase;65 66 | 67 68----内存映射基址--默认为00400000h[关键数据]
.SectionAlignment       dd 01000h   ;69 70 | 71 72----内存中节对齐--如果该值是1000h那么每节的起始地址必须是4096的倍数,
.FileAlignment          dd 0200h    ;73 74 | 75 76----文件对齐[关键数据]..明白吧
.MajorOperSystemVersion dw 0h       ;77 78--[非关键数据]
.MinorOperSystemVersion dw 0h       ;79 80--[非关键数据]
.MajorImageVersion      dw 0h       ;81 82--win32子系统版本。若PE文件是专门为Win32设计的[非关键数据]
.MinorImageVersion      dw 0h       ;83 84--该子系统版本必定是4.0否则对话框不会有3维立体感[非关键数据]
.MajorSubsystemVersion  dw 4        ;85 86--[关键数据]
.MinorSubsystemVersion  dw 0        ;87 88--[关键数据]
.Reserved1              dd 0        ;89 90 | 91 92----[非关键数据]
.SizeOfImage            dd 2000h    ;93 94 | 95 96----内存中整个PE映像体的尺寸,它是所有头和节经过节对齐处理后的大小[关键数据]
.SizeOfHeaders          dd code     ;97 98 | 99 100---所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸,可以以此值作为PE文件第一节的文件偏移量[关键数据]
.CheckSum               dd 0h       ;101 102 | 103 104----[非关键数据]
.Subsystem              dw 2        ;105 106----PE文件属子系统,2=Win32 GUI,3=Win32 Console[关键数据]
.DllCharacteristics     dw 0        ;107 108----[非关键数据]
 
.SizeOfStackReserve1    dd 100000h  ;109 110 | 111 112----[关键数据]
.SizeOfStackCommit1     dd 2000h    ;113 114 | 115 116----[关键数据]
.SizeOfStackReserve2    dd 100000h  ;117 118 | 119 120----[关键数据]
.SizeOfStackCommit2     dd 2000h    ;121 122 | 123 124----[关键数据]
 
.LoaderFlags            dd 0h       ;125 126 | 127 128----[非关键数据]
.NumberOfRvaAndSizes    dd 10h      ;129 130 | 131 132----[关键数据]
 
Data_Directories:
.ExportRva              dd 0h       ;133 134 | 135 136----导出表虚拟偏移[非关键数据]
.ExportSize             dd 0h       ;137 138 | 139 140----导入表长度[非关键数据]
.ImportRva              dd import+RVADIFF   ;141 142 | 143 144----导入表虚拟偏移[关键数据]
.ImportSize             dd code_end-import  ;145 146 | 147 148----导入表长度[关键数据]
;导入表结构部分~这个地方需要仔细构造[尚未研究彻底]
;.misc_sectionz times 28 dd 0       ;其他部分~对于我们完全没用的
.ResourceRva            dd 0h       ;资源表虚拟偏移[非关键数据]
.ResourceSize           dd 0h       ;资源表长度[非关键数据]
.ExceptionRva           dd 0h       ;没玩过这东东[非关键数据]
.ExceptionSize          dd 0h       ;没玩过这东东[非关键数据]
.CertificateRva         dd 0h       ;没玩过这东东[非关键数据]
.CertificateSize        dd 0h       ;没玩过这东东[非关键数据]
.BaseRelocationRva      dd 0h       ;基址重定位表虚拟偏移[非关键数据]
.BaseRelocationSize     dd 0h       ;基址重定位表长度[非关键数据]
.DebugRva               dd 0h       ;调试信息虚拟偏移[非关键数据]
.DebugSize              dd 0h       ;调试信息长度[非关键数据]
.DescriptionRva         dd 0h       ;没玩过这东东[非关键数据]
.DescriptionSize        dd 0h       ;没玩过这东东[非关键数据]
.MachineRva             dd 0h       ;没玩过这东东[非关键数据]
.MachineSize            dd 0h       ;没玩过这东东[非关键数据]
.TLSRva                 dd 0h       ;线程处理数据[关键数据]
.TLSSize                dd 0h       ;线程处理数据长度[关键数据]
.LoadConfigRva          dd 0h       ;没玩过这东东[关键数据]
.LoadConfigSize         dd 0h       ;没玩过这东东[关键数据]
.BoundImportRva         dd 0h       ;绑定导入表数据[关键数据]
.BoundImportSize        dd 0h       ;绑定导入表数据长度[关键数据]
.IATRva                 dd 0h       ;没玩过这东东[关键数据]
.IATSize                dd 0h       ;没玩过这东东[关键数据]
.DelayImportDescriptor1 dd 0h       ;没玩过这东东[非关键数据]
.DelayImportDescriptor2 dd 0h       ;没玩过这东东[非关键数据]
.COMRuntimeHeader1      dd 0h       ;COM+ 时间连接库虚拟偏移地址[非关键数据]
.COMRuntimeHeader2      dd 0h       ;COM+ 时间连接库长度[非关键数据]
.Reserved1              dd 0h       ;这东东就真的没听说过了[非关键数据]
.Reserved2              dd 0h       ;这东东就真的没听说过了[非关键数据]
;以上乃~~PE结构头部信息~请按照说明进行修改---谢谢我自己
 
sections:
.SectionName            db ".Anskya",0
.VirtualSize            dd CODE_BASE    ;虚拟体积
.VirtualAddress         dd CODE_BASE    ;虚拟地址
.SizeOfRawData          dd code_end-code;数据体积
.PointerToRawData       dd code         ;数据偏移
.PointerToRelocations   dd 0
.PointerToLinenumbers   dd 0
.NumberOfRelocations    dw 0
.NumberOfLinenumbers    dw 0
.Characteristics        dd 0E0000060h   ;段属性...不用说了吧
 
align 200h, DB 0                        ;对齐0x200
 
code:
    pushad
    sub eax,eax
    push eax                            ;0
    push 00400105h                      ;把节名称压入堆栈
    push 00400002h                      ;把MZ后面的个人信息压入堆栈
    push eax                            ;MB_OK
    call [MessageBoxA]                  ;调用导入表地址
    popad
    ret
     
align 16, DB 0
 
;以下导入表部分....仅仅为了演示就没有写导出表部分...具体参见<<软件加密技术内幕>>
import  dd 0
        dd 0
        dd -1
        dd dll001+RVADIFF      
        dd api001+RVADIFF
         
        times dd 0                    ;空处4*5个00的空位
         
dll001  db 'USER32.DLL',0               ;导入DLL名称
 
api001  dd api101+RVADIFF               ;计算导入表的内存地址
        dd 0
         
api101  dw 0
        db 'MessageBoxA',0              ;导入函数
         
MessageBoxA equ api001+reloc+4*0        ;函数地址声明...如有多余的函数请api00N+reloc+4*N
 
code_end:

相关代码见附件...

https://bbs.pediy.com/thread-28316.htm

编写自定义PE结构的程序(如何手写一个PE,高级编译器都是编译好的PE头部,例如MASM,TASM等,NASM,FASM是低级编译器.可以自定义结构)的更多相关文章

  1. 放弃antd table,基于React手写一个虚拟滚动的表格

    缘起 标题有点夸张,并不是完全放弃antd-table,毕竟在react的生态圈里,对国人来说,比较好用的PC端组件库,也就antd了.即便经历了2018年圣诞彩蛋事件,antd的使用者也不仅不减,反 ...

  2. 只会用就out了,手写一个符合规范的Promise

    Promise是什么 所谓Promise,简单说就是一个容器,里面保存着某个未来才会结束的事件(通常是一个异步操作)的结果.从语法上说,Promise 是一个对象,从它可以获取异步操作的消息.Prom ...

  3. 手把手教你手写一个最简单的 Spring Boot Starter

    欢迎关注微信公众号:「Java之言」技术文章持续更新,请持续关注...... 第一时间学习最新技术文章 领取最新技术学习资料视频 最新互联网资讯和面试经验 何为 Starter ? 想必大家都使用过 ...

  4. 手写一个springboot starter

    springboot的starter的作用就是自动装配.将配置类自动装配好放入ioc容器里.作为一个组件,提供给springboot的程序使用. 今天手写一个starter.功能很简单,调用start ...

  5. 看年薪50W的架构师如何手写一个SpringMVC框架

    前言 做 Java Web 开发的你,一定听说过SpringMVC的大名,作为现在运用最广泛的Java框架,它到目前为止依然保持着强大的活力和广泛的用户群. 本文介绍如何用eclipse一步一步搭建S ...

  6. 摊牌了!我要手写一个“Spring Boot”

    目前的话,已经把 Spring MVC 相关常用的注解比如@GetMapping .@PostMapping .@PathVariable 写完了.我也已经将项目开源出来了,地址:https://gi ...

  7. 浅析MyBatis(二):手写一个自己的MyBatis简单框架

    在上一篇文章中,我们由一个快速案例剖析了 MyBatis 的整体架构与整体运行流程,在本篇文章中笔者会根据 MyBatis 的运行流程手写一个自定义 MyBatis 简单框架,在实践中加深对 MyBa ...

  8. 『练手』手写一个独立Json算法 JsonHelper

    背景: > 一直使用 Newtonsoft.Json.dll 也算挺稳定的. > 但这个框架也挺闹心的: > 1.影响编译失败:https://www.cnblogs.com/zih ...

  9. 教你如何使用Java手写一个基于链表的队列

    在上一篇博客[教你如何使用Java手写一个基于数组的队列]中已经介绍了队列,以及Java语言中对队列的实现,对队列不是很了解的可以我上一篇文章.那么,现在就直接进入主题吧. 这篇博客主要讲解的是如何使 ...

随机推荐

  1. 利用ps,grep,kill联合杀掉相关进程

    #!/bin/sh . "./set-server-env.sh" 这里是输出ps -ef |grep java 结果的第二列的内容然后通过xargs传递给kill -9,其实第二 ...

  2. 【Luogu】P2220容易题(快速幂)

    这题真是“容易”.呵呵呵. 参考题解:xyz32768 代码 #include<cstdio> #include<map> #include<algorithm> ...

  3. NYOJ——239月老的难题(二分图最大匹配)

    月老的难题 时间限制:1000 ms | 内存限制:65535 KB 难度:4 描述 月老准备给n个女孩与n个男孩牵红线,成就一对对美好的姻缘. 现在,由于一些原因,部分男孩与女孩可能结成幸福的一家, ...

  4. BZOJ 3518 点组计数 ——莫比乌斯反演

    要求$ans=\sum_{i=1}^n \sum_{j=1}^m (n-i)(m-j)(gcd(i,j)-1)$ 可以看做枚举矩阵的大小,然后左下右上必须取的方案数. 这是斜率单增的情况 然后大力反演 ...

  5. 标准C程序设计七---26

    Linux应用             编程深入            语言编程 标准C程序设计七---经典C11程序设计    以下内容为阅读:    <标准C程序设计>(第7版) 作者 ...

  6. 关于代码调试de那些事

    原文出处:http://www.wklken.me/posts/2014/11/23/how-to-debug.html 关于代码调试de那些事 1.你得明白你在做什么, 保持清醒 2.想清楚了再写代 ...

  7. 选取第K大数的快速选择算法和注意事项

    快速选择算法,是一种能在大致O(N)的时间内选取数组中第k大或者k小的算法.其基本思路与快速排序算法类似,也是分治的思想. 其实这个算法是个基础算法,但是不常用,所以今天编的时候错了POJ2388,才 ...

  8. #ifdef #endif #if #endif

    c语言里所有以#开头的都是预编译指令,就是在正式编译之前,让编译器做一些预处理的工作. #ifdef DEBUG printf("variable x has value = %d\n&qu ...

  9. java基础 6 基本类型与运算

    1 包装类型 Integer的缓存池为   -128 - 127: 八个基本类型   占bit  与字节  8 bit = 1 字节 boolean  1     byte  8    char   ...

  10. mysql获取子父级节点

    获取所有子节点 DROP FUNCTION IF EXISTS `F_Co29_GetAllChildrenIdsOfTaskevent`;DELIMITER //CREATE FUNCTION `F ...