2. 程式人生 > >PE文件代碼膨脹

PE文件代碼膨脹

阿新 發佈:2018-06-28
tex push指令 ret 恢復 代碼 pan 根據地 ML p值

原文鏈接 https://bbs.pediy.com/thread-223629.htm

asmjit參考https://www.cnblogs.com/lanrenxinxin/p/5021641.html

1.代碼對push/mov/add/sub/cmp指令進行膨脹

2.對push/mov的立即數進行加密

3.跳轉call指令轉為如下指令進行變形

  /*                                                      <---esp3
    |__| -16             |__| -16              |_reg2_esp0_| -16       |__| -16   
    |__| -12             |__| -12              |_reg1_| -12            |__| -12    
    |__| -8   <---esp1   |__| -8   <---esp2    |_reg2_| -8             |__| -8       <---esp4
    |_reg2_| -4<--esp0   |_Jmp_addr_| -4       |_Jmp_addr_| -4         |_Jmp_addr_| -4 
    |_reg1_|  0          |_reg1_|  0           |_reg1_|  0             |_ret_addr_|  0

    push reg1
    push reg2                      ;---->esp1
    mov  reg2, jmp_offset
    add  reg2, addr_table_base     ;根據地址表索引找到正確偏移值
    mov  reg1, dword ptr ds:[reg2]
    add  reg1, base                ;加上基地址, 得到目標地址
    
    pop  reg2
    sub  esp, 0x4
    mov  reg1, dword ptr ds:[reg1]
    mov  dword ptr ss:[esp], reg1  ;寫入jmp地址, 類似於push指令
                                   ;---->esp2

    push reg2                      ;保存原始的reg2值
    mov  reg2, esp
    add  reg2, 0x8
    mov  reg1, dword ptr ds:[reg2] ;
    push reg1                      ;保存原始的reg1值
    push reg2                      ;保存0處的esp值
                                   ;---->esp3
    mov  reg2, no_jmp_offset
    mov  reg2, addr_table_base
    mov  reg1, dword ptr ds:[reg2] 
    pop  reg2                      ;獲取0出的esp值
    mov  dword ptr ds:[reg2], reg1 ;寫入返回地址

    pop  reg1                      ;恢復reg1, reg2原始值
    pop  reg2                      ;---->esp4

    retn                           ;retn 跳轉到jmp_addr地址
    
 
*/

PE文件代碼膨脹

相關推薦

PE膨脹

tex push指令 ret 恢復 代碼 pan 根據地 ML p值 原文鏈接 https://bbs.pediy.com/thread-223629.htm asmjit參考https://www.cnblogs.com/lanrenxinxin/p/5021641.ht

廣播 布局

-a relative tex input mat edittext 設置ip enc odi <?xml version="1.0" encoding="utf-8"?><RelativeLayout xmlns:android="http://sche

跳轉插:Ctags

rebuild down images img 修改 src 目錄 find http   1.通過package control搜索Ctags      2.Enter安裝,等待其安裝完成   3.下載ctags可執行程序,鏈接:https://pan.baidu.com

發布的與源不一樣的問題

最新 圖片 源代碼 .com bubuko src nbsp blog 分享圖片 發布的時候發現,發布的代碼不是最新的代碼 解決方法 發布的文件代碼與源代碼不一樣的問題

分享一個bat:在圖片中隱藏rar壓縮

bat 批處理 圖片隱藏rar 文件合並 Windows的cmd界面下可以實現不少有趣的功能,以下介紹的文件合並功能是其中之一。利用copy /b命令,可以將兩個文件合並成一個文件,最常見的是把壓縮包藏在一個圖片文件中,合並後,後綴名改為jpg,它會變成一個圖片;改為rar,它又會變成壓縮包。

臨時存放地址

route clas pre leave nbsp col vue 臨時 spa Vue.mixin({ beforeRouteLeave(to, from, next) { if (!to.path.startsWith(from.path)) {

在32位PE中的任意一個節中添加

for 特定 fine lib demo 控制 num fun tar // SectionOp.cpp : 定義控制臺應用程序的入口點。 // /************************************************ *程序說明:在32位PE文

PE知識復習之PE空白區添加

公式 技術 展開 執行 nbsp 地址 判斷 重要 兩個           PE知識復習之PE文件空白區添加代碼 一丶簡介   根據上面所講PE知識.我們已經可以實現我們的一點手段了.比如PE的入口點位置.改為我們的入口位置.並且填寫我們的代碼.這個就是空白區添加代碼.

C++ 獲取PE自校驗值的

map update option ucc 比較 urn std 過程 comm 將寫代碼過程比較重要的一些代碼收藏起來,下邊資料是關於C++ 獲取PE文件自校驗值的代碼。 #include#include <imagehlp.h>#pragma comment

解析PE的附加數據

dos 寫入 image creat class filesize content res file 解析程序自己的附加數據,將附加數據寫入文件裏。 主要是解析PE文件頭。定位到overlay的地方。寫入文件。常應用的場景是在crackme中,crackme自身有一段加

win32下PE分析之DOS頭

二進制 c語言 pe win32 dos頭解析 (一).win32下的PE文件: PE是Portable Execute的縮寫,是可移植可執行的意思,只要文件的數據結構遵循PE結構,就屬於PE文件,windows中常見的PE文件有 *.sys驅動類文件 *

win32下PE分析之NT頭

二進制 c語言 pe win32 nt頭解析接上一篇的win32下PE文件分析之DOS頭(一)win32中PE的NT: NT頭是PE文件中標準PE頭和可選PE頭的總體稱謂,還包含一個PE標識.下面是它在Visual C++ 6.0中WINNT.h中的定義:typedef struct _IMAGE_NT

PE結構

tin alignment tac ack ade ble sent struct 用戶 在win32 SDK的文件winnt.h中有PE文件格式的定義/ 一個MS-DOS頭部 IMAGE_DOS_HEADER 一個是DOS的程序殘余以及一個PE文件標誌 PE文件頭和可

分配粒度和內存頁面大小(x86處理器平臺的分配粒度是64K,內存頁是4K,所以section都是0x1000對齊,硬盤扇區大小是512字節,所以PE默認對齊是0x200)

tail details lpad 硬件 512字節 地址 系統 pad 原因 分配粒度和內存頁面大小x86處理器平臺的分配粒度是64K,32位CPU的內存頁面大小是4K,64位是8K,保留內存地址空間總是要和分配粒度對齊。一個分配粒度裏包含16個內存頁面。這是個概念,具體

開源圖像處理軟

開發工具 csdn explore 類型 文件 過大 定義 editor 改變 要寫好一個圖像處理軟件,僅靠自己看書是完全不夠的,要多方面學習,借鑒前人的經驗,要集思廣益、多面出擊。如今網絡發達,圖像學的資料其實也到處都是。只是往往個人能力或精力有限,在短時間內無法找到那些

《團隊-排課軟-設計規範》

為什麽 dialog ado 發布 第二章 msdn 之前 工具 attribute C#代碼編程規範 目錄 第一章 概述.... 3 規範制定原則... 3 文件命名組織... 3 1.1文件命名... 3 1.2文件註釋... 3 第二章 程序註釋.... 5 2.1

PE格式詳解,第一講,DOS頭格式

www new 中斷 relative fun 意義 word 作用 nor            PE文件格式詳解,第一講,DOS頭文件格式 今天講解PE文件格式的DOS頭文件格式 首先我們要理解,什麽是文件格式,我們常說的EXE可執行程序,就是一個文件格式,那麽

PE結構解析

str 結束 -1 .com 文件頭 .cn cannot signature 初學 說明:本文件中各種文件頭格式截圖基本都來自看雪的《加密與解密》;本文相當《加密與解密》的閱讀筆記。 1.PE文件總體結構 PE文件框架結構,就是exe文件的排版結構。也就是說我們以十六

Python的Django框架完成一個完整的論壇(4.項目所需的其他py

mon mage transform 新建 image ren 驗證碼 chan turn 這些文件放在新建的一個utils文件夾中: 自動生成驗證碼: check_code.py: """ 制造驗證碼 """ import random from PIL import

java_函數手冊_String_1.2_codePointCount_獲取指定範圍

args point blog AC 函數 out 技術分享 png tco 1 package calssString; 2 3 public class codePointCount___1_4 { 4 public static void main