如何修改PE文件

如何修改PE文件,第1张

一、        Windows加载器

加载器读取一个PE文件的过程如下:

1. 先读入PE文件的DOS头,PE头和Section头。

2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。

3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。

4. 如果文件被加载的地址不是ImageBase定义的地址,则重新修正ImageBase。

5. 根据PE文件的输入表加载所需要的DLL到进程空间。

6. 然后替换IAT表内的数据为实际调用函数的地址。

7. 根据PE头内的数据生成初始化的堆和栈。

8. 创建初始化线程,开始运行进程。

这里要提的是加载PE文件所需DLL的过程是建立在六个底层的API上。

LdrpCheckForLoadedDll:检查要加载的模块是否已经存在。

LdrpMapDll:映射模块和所需信息到内存。

LdrpWalkImportDescriptor:遍历模块的输入表来加载其所需的其他模块。

LdrpUpdateLoadCount:计数模块的使用次数。

LdrpRunInitializeRoutines:初始化模块。

LdrpClearLoadInProgress:清楚某些标志,表明加载已经完成。

二、        插入代码到PE文件

有三种方式可以插入代码到PE文件:

1. 把代码加入到一个存在的Section的未用空间里。

2. 扩大一个存在的Section,然后把代码加入。

3. 新增一个Section。

方法一、增加代码到一个存在的Section。

首先我们需要找到一个被映射到一个块有执行权限的Section。最简单的方式就是直接利用CODE Section。

然后我们需要查找这块Section内的多余空间(也就是填满了00h)。我们知道一个Section有两个数据来表示其大小。VirtualSize和SizeOfRawData。这个VirtualSize代表Section里代码实际所占用的磁盘空间。SizeOfRawData代表根据磁盘对齐后所占的空间。通常SizeofRawData都会比VirtualSize要大。如下图。

图中的SizeOfRawData是0002A000,而VirtualSize是00029E88。当PE文件被加载到内存的时候,他们之间的多余空间的数据是不会被加载到内存去。那么如果要把加入到这个间隙中间的代码也被加载到内存去,就需要修改VirtualSize的值,这里把VirtualSize的值可以改为00029FFF。这样,我们就有了一小段空间加入自己的代码。下面需要做的就是先找到PE文件的入口点OriginalEntryPoint,比如这个OriginalEntryPoint是0002ADB4,ImageBase是400000,那么入口点的实际虚拟地址是0042ADB4。然后计算出自己代码的起始RVA,更换掉PE头内的OriginalEntryPoint,在自己的代码最后加上:

MOV EAX,00042ADB4

JMP EAX

这样就可以在PE文件被加载的时候,先运行自己的代码,然后再运行PE文件本身的代码。成功的把代码加入到了PE文件内。

方法二、扩大一个存在的Section来加入代码。

如果在一个Section末尾没有足够的空间存放自己的代码,那么另外一种方法就是扩大一个存在的Section。一般我们只扩大PE文件最尾部的Section,因为这样可以避免很多问题,比如对其他Section的影响。

首先我们的找到最后一个Section使之可读可执行。这可以通过修改其对应Section头部的Characteristics来获得。然后根据PE头内文件对齐的大小,修改其SizeOfRawData。比如文件对齐的大小是200h,原先SizeOfRawData=00008000h, 那么我们增加的空间大小应该是200h的整数倍,修改完的SizeOfRawData至少是00008200h。增加完空间后,需要修改PE头内的两个字段的数值,SizeOfCode和SizeOfInitialishedData。分别为它们增加200h的大小。这样我们就成功的扩大了一个Section,然后根据方法一内的方式把代码加入到增加的空间。

方法三、新增一个Section来加入代码。

如果要加入的代码很多,那么就需要新增一个Section来存放自己的代码。

l         首先,我们需要在PE头内找到NumberOfSections,使之加1。

l         然后,在文件末尾增加一个新的空间,假设为200h,记住起始行到PE文件首部的偏移。假如这个值是00034500h。同时将PE头内的SizeOfImage的值加200h。

l         然后,找到PE头内的Section头部。通常在Section头部结束到Section数据部分开始间会有一些空间,找到Section头部的最后然后加入一个新的头部。假设最后一个Section头部的数据是:

1. Virtual offset : 34000h

2. Virtual size : 8E00h

3. Raw offset: 2F400h

4. Raw size : 8E00h

而文件对齐和Section对齐的数据分别是:

5. Section Alignment : 1000h

6. File Alignment : 200h

l         那么新增加的Section必须与最后一个Section的边界对齐。它的数据分别:

1. Virtual offset : 3D000h (因为最后一个Section的最后边界是34000h + 8E00h = 3CE00h,加上Section对齐,则Virtual offset的值为3D000h)。

2. Virtual size : 200h。

3. Raw offset: 00034500h。

4. Raw size: 200h.

5. Characteristics : E0000060 (可读、可写、可执行)。

l         最后,只需要修改一下PE头内的SizeOfCode和SizeOfInitialishedData两个字段,分别加上200h。

l         剩下的就是按照方法一的方式把代码放入即可。

三、        增加执行文件的输入表项目。

在一些特殊用途上,我们需要为执行文件或DLL增加其不包含的API。那么可以通过增加这些API在输入表中的注册来达到。

1. 每一个输入的DLL都有一个IMAGE_IMPORT_DESCRIPTOR (IID)与之对应。PE头中的最后一个IID是以全0来表示整个IID数组的结束。

2. 每一个IID至少需要两个字段Name1和FirstThunk。其他字段都可以设置为0。

3. 每一个FirstThunk的数据必须是一个指向IMAGE_THUNK_DATA数组的RVA。每一个IMAGE_THUNK_DATA又包含了指向一个API名称的RVA。

4. 如果IID数组发生改变,那么只需要修改数据目录数组中对应输入表的数据结构IMAGE_DATA_DIRECTORY的iSize。

增加一个新的IID到输入表的末尾,就是把输入表末尾的全是0的IID修改成增加的新的IID,然后在增加一个全0的IID作为输入表新的末尾。但是如果在输入表末尾没有空间的话,那就需要拷贝整个输入表到一个新的足够的空间,同时修改数据目录数组对应输入表的数据结构IMAGE_DATA_DIRECTORY的RVA和iSize。

步骤一、增加一个新的IID。

把整个IID数组移到一个有足够空间来增加一个新的IID的地方。这个地方可以是.idata段的末尾或是新增一个Section来存放。

修改数据目录数组对应输入表的数据结构IMAGE_DATA_DIRECTORY的RVA和iSize。

如果必要,将存放新IID数组的Section大小按照Section Alignment向上取整(比如,原来大小是1500h, 而section Alignment为1000h,则调整为2000h)以便于整个段可以被映射到内存。

运行移动过IID数组的执行文件,如果正常的话,则进行第二步骤。如果不工作的话,需要检查新增的IID是否已经被映射到内存及IID数组新的偏移位置是否正确。

步骤二、增加一个新的DLL及其需要的函数。

在.idata节内增加两个以null结尾的字符串,一个用来存放新增的DLL的名字。 一个用来存放需要导入的API的名称。这个字符串前需要增加一个为null的WORD字段来构成一个 Image_Import_By_Name数据结构。

计算这个新增的DLL名称字符串的RVA.

把这个RVA赋予新增的IID的Name1字段。

再找到一个DWORD的空间,来存放Image_Import_by_name的RVA。这个RVA就是新增DLL的IAT表。

计算上面DWORD空间的RVA,将其赋予新增IID的FirstThunk字段。

运行修改完的程序。

什么是脚本?脚本就是利用特定的描述性语言,根据一定格式编写的可执行文件。在WinPE系统下,用户要想让系统执行特定的程序功能,就可以将自己的自定义脚本添加到WinPE系统中。但是该怎么将DIY脚本添加进去呢,正成了很多用户大伤头脑的问题。

PE系统提供了三种方法启动自定义脚本:Winpeshl.ini、Startnet.cmd 和

Unattend.xml。原生态WinPE系统的默认界面是“命令提示符”窗口,但可以创建自定义的Winpeshl.ini文件,以便运行自己的外壳应用程序。也可以创建自己的

Startnet.cmd批处理文件来运行特定的命令集、批处理文件或脚本。Unattend.xml是WinPE

2.0的新应答文件格式,它取代了Winbom.ini和Winpeoem.sif。

一、使用Winpeshl.ini添加自定义脚本:

可以使用Winpeshl.ini的文件来启动自定义的外壳应用程序。Winpeshl.exe将在启动期间处理Winpeshl.ini中的设置。使用文本编辑器(如记事本)创建具有以下文件目录结构的Winpeshl.ini文本文件。例如:

[LaunchApp]

AppPath = %SYSTEMDRIVE%\myshell.exe

[LaunchApps]

%SYSTEMDRIVE%\mydir\application1.exe, -option1

-option2

application2.exe, -option1 -option2

注:将AppPath项设置为外壳应用程序的路径。此路径可以是绝对路径,也可以使用环境变量(相对路径),例如%SYSTEMROOT%\System32\Myshell.exe。AppPath

项不支持命令行选项。将此文件保存到WinPE系统映像的%SYSTEMROOT%\System32下。

二、使用Startnet.cmd添加自定义脚本:

使用Startnet.cmd可以在WinPE系统中添加自定义的命令行脚本。默认情况下,WinPE系统包括Startnet.cmd脚本,此脚本位于WinPE系统映像的

%SYSTEMROOT%\System32 中。当前,主要用Startnet.cmd来启动Wpeinit.exe。用于安装即插即用 (PnP) 设备、处理

Unattend.xml 设置以及加载网络资源。编辑Startnet.cmd 以包括自定义命令。

注意:对于PnP和网络支持,请确保在自定义Startnet.cmd脚本中包含了对wpeinit的调用。

三、使用Unattend.xml添加自定义脚本:

运行imagex /info

d:\boot.wim,查看WinPE系统映像的信息。我们要注意这一行:

Image Count: 2

说明此WinPE系统映像文件中其实包含了两个映像。每个映像的详细信息在后面有详细的说明。这里要特别说明的是我们需要编辑的是第二个名称为WDS的映像,因为WDS使用此映像来引导计算机。

使用imagex命令加参数mountrw将 *.wim 加载到pemount目录中:

imagex /mountrw

c:\winpe2\pe2.wim 2 c:\pemount

使用peimg命令将第三方驱动添加到WinPE

2.0系统中,如需添加多个设备驱动请重复该步骤。

peimg /inf=c:\winpe2\netdrv\xxx.inf

c:\pemount\windows

使用imagex命令加参数unmount及commit将修改写入到 *.wim 中。

imagex /unmount c:\pemount /commit

在WinPE系统下,提供了三种启动自定义脚本的方法,用户就可以利用这三个途径来将自定义脚本添加到WinPE中,看着很复杂,其实 *** 作起来很简单的,有需要的用户赶紧学习起来吧。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/bake/11599584.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-17
下一篇 2023-05-17

发表评论

登录后才能评论

评论列表(0条)

保存