PE文件简介与修改.docxVIP

【PE文件简介与简单修改】 简介: PE文件这里狭义的指windows可执行程序文件，它是COFF格式文件演化而来的，因为windows程序讲究共享和便于调度，所以程序按照一定的格式加以分块并添加一些描述信息，这样就便于系统加载器统一加载以及管理器的管理。 PE文件大体上分为头部（描述信息）和程序信息部分（区段），头部由DOS头，DOS加载段，PE头，区段表组成。dos加载段是为了在dos系统里输出信息而保留的，除它之外其他每一个部分都是一个复合的结构体数据。 因为是windows程序，所以PE头最值得研究，通过解析头部信息，可以得到许多和程序实现相关的信息。 下面做一个简单的PE文件修改实验，利用一些工具，一些PE信息，来把一个已有的exe文件改造，输出新年快乐的字符，预祝大家新年快乐！ 第一步 用c语言写一个普通程序并用release方式组建成发布版的exe文件（可执行文件） 第二步 用PE editor查看工具简单查看一下此文件的头部，感兴趣的小伙伴可以阅读一下相关的信息数据  入口点:程序注入内存后开始执行的第一条指令在文件中的偏移地址镜像基址:镜像就是内存中的意思，镜像基址就是文件注入内存后的起始地址（VA）代码基址:代码段注入后的相对偏移地址（RVA），加上上面的VA就得到代码段的起始内存地址，但是它和入口点并不同，代码起始位置就是main函数下的第一句话，但是入口点是额外的初始化程序，这段程序最后一句才跳到代码段起始位置开始main函数执行 第三步 关闭上述查看工具，记下代码段起始地址是0x401000，然后用反汇编软件C32ASM打开此文件，定位到这个地址处。可以看到前面四行就是printf和system(pause)的调用，紧接着就是是堆栈清理和返回过程了 我们希望在输出hello?PE后再输出happy?new?year?to?you，这里的思路就是在前两行之后插入一个跳转命令，在另一个空余的地方写下我们期望的部分。恰好这里的返回命令后有几个nop命令，我们可以把堆栈恢复指令往后移动，就可以空出写jmp的位置了 这就是移动之后的状态 第四步 浏览数据段，可以看到hello?PE就存放在这里，我们找一块空地（0的位置），然后修改数据成happy ?new? year的ascii码。 第五步 再找一处空区域，例如在地址407000处写下:push?408000//字符串地址call?4010b6add?esp,4??//堆栈恢复jmp?40101A//返回位置然后到开始的nop处写下:jmp?407000这样二者就衔接起来了 完成 然后保存修改，运行文件，得到如图效果：