X86逆向8：向程序中插入新区段

本节课我们不去破解程序，本节课学习给应用程序插入一些代码片段，这里我就插入一个弹窗喽，当然你也可以插入一段恶意代码，让使用的人中招， 这里有很多原理性的东西我就不多罗嗦了毕竟是新手入门教程，如果想去了解工具的原理的话可以去系统学习PE文件结构的一些内容，好了废话不多说直接开搞。

------------------------------------------------------------
本章难度：★★★☆☆☆☆☆☆☆
课程课件：CM_01.zip
------------------------------------------------------------

1.直接打开OD，载入这个程序，我们首先来记下【00460FE1】这个OEP地址，后期会用到。

2.关闭OD，打开【Stud_PE_chs.exe】这个PE编辑工具，将CM拖入，然后选择区段，右键，新的区段。

3.选择添加新区段以后，将区段命名为【.hack】，区段的大小为【1000】，最后点击加入按钮，下方则会显示一个.hack新段。

4.然后选择函数，添加新的输入表。

5.选择【添加新的输入表】会弹出以下菜单，直接点击【dll选择】，然后选择【MessageBoxA】，直接加入到清单中，这里为啥是user32.dll学过前面课程的你应该不需要我解释了。

6.然后添加以后，可以在最下方看到【user32.dll】，我们紧接着记下它的RVA地址【000BF123】。

7.一切准备就绪之后，我们关闭这个PE文件编辑器，直接打开OD，然后按下【Alt + M】可以看到我们新加的区段【.hack】，我们直接记下它的地址【004BE000】。

8.接着按下【Alt+C】回到反汇编窗口，然后【Ctrl + G】输入刚才记下的那个区段首地址，【004BE000】，会发现是空的，没错这里就是我们申请的那个1000字节的空间，待会要在这里做文章。

9.接着我们来寻找MessageBox函数的地址位置，先计算一下，然后在数据窗口，按下【Ctrl +G】输入【004BF123】，将里面的地址取出来，这个地址就是MessageBox的地址。

10.接下来就是写入弹窗代码啦，先来看弹窗的调用参数，这里我们直接照样子写就好，只是注意push的地方替换成我们的字符串。

11.先来写入以下代码，用来临时占位置，这里的CALL的地址是【77D507EA】，JMP的地址是程序的原入口地址【00460FE1】

12.接着我们来写入一些字符串内容，直接选中一段空区域，然后按下【Ctrl + E】，输入如下字符串内容，并记下【004BE01C】

13.回到上面的弹窗代码上，依次替换两个push的内容，最终代码如下。

14.直接复制并保存文件

15.最后我们修正以下入口地址，此处的【004BE000】就是我们附加区段的地址，转换后将RVA（相对虚拟地址）复制到入口点上面，直接【储存到文件】

16.运行新的程序会发现，程序先弹出hello lyshark，然后才会载入源程序，如果此时是一段下载后门的代码，那就刺激了。

这里我给大家写了一段可以下载恶意程序的汇编代码片段，你只需要替换里面的网址即可使用，请勿干坏事！！！

写教程不容易，转载请加出处，您添加出处，是我创作的动力！