零基础逆向工程19_PE结构03_代码节空白区添加代码_shellcode

【零基础逆向工程19_PE结构03_代码节空白区添加代码_shellcode】的更多相关文章

零基础逆向工程20_PE结构04_任意节空白区_新增节_扩大节添加代码

向代码节添加代码实现作者经过一周不断的失败,再思考以及无数次调试终于实现. 思路:八个步骤 1. 文件拷到文件缓冲区(FileBuffer) //图示见(零基础逆向工程18之PE加载过程) 2. 文件缓冲区扩展到内存映像缓冲区(ImageBuffer) 3. 判断代码空闲区是否有足够空间存储ShellCode代码 4. 将代码复制到空闲区 5. 修正E8 6. 修正E9 7. 修改OEP 8. 内存映像缓冲区到新文件缓冲区(NewBuffer) 9. 新文件缓冲区到文件向其他节(如数据段)空…

零基础逆向工程19_PE结构03_代码节空白区添加代码_shellcode

1.获取MessageBox地址,构造ShellCode代码三种获取方法,参考文章末的一篇帖子. E8 E9计算公式 call 的硬编码:E8 00 00 00 00 jmp 的硬编码:E9 00 00 00 00 计算方法1:E8后面的值 = 真正要跳转的地址 - E8这条指令的下一行地址计算方法2:E8后面的值 = 要跳转的地址 - (E8的地址 + 5) 2.在代码区手动添加代码 3.修改OEP,指向ShellCode 参考:http://bbs.pediy.com/thread-21…

PE知识复习之PE文件空白区添加代码

PE知识复习之PE文件空白区添加代码一丶简介根据上面所讲PE知识.我们已经可以实现我们的一点手段了.比如PE的入口点位置.改为我们的入口位置.并且填写我们的代码.这个就是空白区添加代码. 我们也可以利用这个知识.实现PEDLL注入. 原理就是修改入口. 跳转到我们空白区执行我们的代码.我们空白区进行重定位.调用Loadlibary. 并且load的是我们的DLL 实现功能就是我们只要给PE注入了代码.那么这个PE程序一旦启动就会加载我们的DLL 关于PEDLL注入,后面会有博客分类中会讲…

零基础逆向工程18_PE结构02_联合体_节表_PE加载过程

联合体特点 1.联合体的成员是共享内存空间的 2.联合体的内存空间大小是联合体成员中对内存空间大小要求最大的空间大小 3.联合体最多只有一个成员有效节表数据结构说明 PE 加载过程 FileBuffer-ImageBuffer 文件偏移.内存偏移的计算待补充…

零基础逆向工程21_PE结构05_数据目录表_导出表

数据目录 1.我们所了解的PE分为头和节,在每个节中,都包含了我们写的一些代码和数据,但还有一些非常重要的信息是编译器替我们加到PE文件中的,这些信息可能存在在任何可以利用的地方. 2.这些信息之所以重要,是因为这些信息包含了诸如: PE程序的图标在哪里? 用到了哪些系统提供的函数? 为其他的程序提供哪些函数? 3.编译器添加了这么多信息,那程序是如何找到这些信息的呢? 答案就是:数据目录 4.数据目录定位: 可选PE头最后一个成员,就是数据目录.一共有16个: typedef struct…

零基础逆向工程22_PE结构06_导入表

导入表结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstThunk; //RVA 指向IMAGE_THUNK_DATA结构数组 }; DWORD TimeDateStamp; //时间戳 DWORD ForwarderChain; DWORD Name; //RVA,指向dll名字,该名字已0结尾 DWORD FirstThunk; //RVA,指向IMAG…