一直想学学怎么动动pe文件,学习了几篇文章尤其是寒晨的文章后,自己动手也尝试了一下加节和修改oep,写出来供和我一样菜的一起进步。

一、       增加pe节需要的操作

1.    确定内存中的节的对齐粒度和文件中的节的对齐粒度,分别是pe+0038h 和3ch
 
也就是说 内存和文件的对齐粒度都是1000h.
2.    在文件末尾增加数据。
因为文件对齐的粒度是1000h,那么我们在文件末尾增加2000h个数据。
 
3.    在节表末尾增加新的节信息
 
在最后一个节信息后面增加一个.peng的节
2E 70 65 6E 67 00 00 00  --------.peng的ASCII码。
00 18 00 00 --------- VirtualSize实际大小(随便写的)。
00 B0 00 00 --------- VirtualAddress dd  节区的RVA地址(因为.data节的RVA地址是7000,大小是3E24,加起来是AE24,为了对齐,所以是B000,表示成为00B00000。
00 20 00 00----- SizeOfRawData在文件中对齐后的尺寸(末尾加了2000h个字节,都算上了)
00 A0 00 00 ---- PointerToRawData在文件中的偏移物理文件地址,刚才加的地址是A000,所以直接写成00 A0 00 00。这里为什么不是上边的00 B0 00 00 呢?开始我也想当然的这么写了,但是程序总是不对。后来想明白了,因为我们增加的2000h个字节,是从A000开始加的,并不是B000,如果非要写成B000,那么还要再末尾加1000h个字节才行呢,否则就凑不齐SizeOfRawData 中写的这个节有2000个数据了。
之后
00000000 PointerToRelocations
00000000 PointerToLinenumbers
0000 NumberOfRelocations dw 
0000 NumberOfLinenumbers dw
20 00 00 60 Characteristics 节的属性 可读取,可执行 ,代码。
4.在pe+6出修改节数目。
 
原来是03 00,改成04 00。
5.在pe+50处 修改内存映像大小。
 
原来是00 B0 00 00 改成00 D0 00 00,原来的映像为什么是B000大小呢?注意下面图中,.data是原来最后一个节,RVA地址是7000,大小是3E24,总和是AE24,按照对齐原则,总大小是B000.
 
所以,新的内存映像大小应该是,B000+1800=C800 对齐后是D000.
6.测试
用lordpe 加载看到,.peng 区段正确显示,运行程序也正常。
 
二、       修改OEP

1、OEP在pe+28处,查看并修改。
 
原OEP在1203处,记下该地址,并修改成B000(注意不是A000,oep是RVA, 开始我搞错了,程序崩溃),
 
2.打开OD
 

会停留在新的oep处,修改成jmp 00401203,然后保存.
3.测试
正常运行!
OK!

手动增加pe节并修改oep的更多相关文章

  1. CentOS 手动增加、删除swap区

    SWAP是Linux中的虚拟内存,用于扩充物理内存不足而用来存储临时数据存在的.它类似于Windows中的虚拟内存.在Windows中,只可以使用文件来当作虚拟内存.而linux可以文件或者分区来当作 ...

  2. centos 手动增加swap分区

    SWAP是Linux中的虚拟内存,用于扩充物理内存不足而用来存储临时数据存在的.它类似于Windows中的虚拟内存.在Windows中,只可以使用文件来当作虚拟内存.而linux可以文件或者分区来当作 ...

  3. CentOS如何手动增加 删除swap区

    SWAP是Linux中的虚拟内存,用于扩充物理内存不足而用来存储临时数据存在的.它类似于Windows中的虚拟内存.在Windows中,只可以使用文件来当作虚拟内存.而linux可以文件或者分区来当作 ...

  4. PE节表详细分析

    目录 PE节表详细分析 0x00 前言 0x01 PE节表分析 节表结构 节表数量 节表名字 节表大小 节位置 节表属性 0x02 代码编写 PE节表详细分析 0x00 前言 上一篇文章我们学习了PE ...

  5. Oracle表字段的增加、删除、修改和重命名

    本文主要是关于Oracle数据库表中字段的增加.删除.修改和重命名的操作. 增加字段语法:alter table tablename add (column datatype [default val ...

  6. 10月16日下午MySQL数据库CRUD操作(增加、删除、修改、查询)

    1.MySQL注释语法--,# 2.2.后缀是.sql的文件是数据库查询文件. 3.保存查询. 关闭查询时会弹出提示是否保存,保存的是这段文字,不是表格(只要是执行成功了表格已经建立了).保存以后下次 ...

  7. 使用oracle数据库,多用户同时对一个表进行增加,删除,修改,查看等操作,会不会有影响?

    使用oracle数据库,多用户同时对一个表进行增加,删除,修改,查看等操作,会不会有影响? 1.问题:各操作间或者性能上会不会有影响? 如果有该如何解决? 多用户操作的影响主要是回锁定记录,oracl ...

  8. Linux学习(十四)磁盘格式化、磁盘挂载、手动增加swap空间

    一.磁盘格式化 分好去的磁盘需要格式化之后才可以使用.磁盘分区一般用mke2fs命令或者mkfs.filesystemtype.这个filesystemtype分为ext4,ext3,xfs等等.xf ...

  9. 手动增加swap空间

           在日常工作中,swap没有必要搞那么大的空间,因为现在好多服务器都使用了ssd硬盘,这些硬盘还是比较贵的.如果服务器内存是128G,swap空间还设置成内存的两倍的话,那岂不是很明显是很 ...

随机推荐

  1. http状态码301和302的区别

    1.官方的比较简洁的说明: 301 redirect: 301 代表永久性转移(Permanently Moved) 302 redirect: 302 代表暂时性转移(Temporarily Mov ...

  2. prototype和_proto_

    __proto__(隐式原型)与prototype(显式原型) 显式原型 explicit prototype property:用来实现基于原型的继承与属性的共享. 每一个函数在创建之后都会拥有一个 ...

  3. react-navigation 使用详解(转载)

    上篇博客和大家分享了关于React Native jsBundle预加载,界面启动优化的内容,详情可点击: 基于最新版本React Native实现JsBundle预加载,界面秒开优化 一.开源库介绍 ...

  4. Ubuntu add sudo

    为了安全起见,ubuntu中的普通用户一般没有root权限,因此即使知道管理员密码也无法使用sudo,但这个情况可以通过加入sudoer列表或者加入sudo组来改变. 拓展: 不管使用哪种方式,使得一 ...

  5. USB眼图

    /********************************************************************** * USB眼图 * 说明: * 对于USB眼图,并不是很 ...

  6. Mariadb使用xtrabackup工具备份数据脚本

    #!/bin/bash#这个脚本用来备份SQL文件: sql_home="/home/mysql"sql_bak_log="$sql_home/xtrabackup.lo ...

  7. ortp 发送RTP实例

    参考源代码目录src/tests/rtpsend.c     ortp_init();     ortp_scheduler_init();     ortp_set_log_level_mask(O ...

  8. CH0101 a^b、 CH0102 64位整数乘法(快速幂、快速乘)【模板题】

    题目链接:传送门    //a^b   传送门    //64位整数乘法 题目: 描述 求 a 的 b 次方对 p 取模的值,其中 ≤a,b,p≤^ 输入格式 三个用空格隔开的整数a,b和p. 输出格 ...

  9. ZOJ 1002:Fire Net(DFS+回溯)

    Fire Net Time Limit: 2 Seconds      Memory Limit: 65536 KB Suppose that we have a square city with s ...

  10. 洛谷 P1164:小A点菜(DP/DFS)

    题目背景 uim神犇拿到了uoi的ra(镭牌)后,立刻拉着基友小A到了一家--餐馆,很低端的那种. uim指着墙上的价目表(太低级了没有菜单),说:"随便点". 题目描述 不过ui ...