PE合并节【内存对齐和文件对其大小不一样版本】

最新推荐文章于 2025-03-16 23:19:57 发布
最新推荐文章于 2025-03-16 23:19:57 发布
阅读量268 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: C++ 逆向基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408832/article/details/118189186
该代码实现了一个将PE文件的各个节进行压缩并合并到一个节的过程。首先,计算新文件的大小,然后分配内存并拷贝头部信息。接着,遍历所有节,逐个拷贝到新的缓冲区,并调整偏移量。最后,更新PE头信息,将所有节的特性合并到第一个节中,删除原有节信息,创建一个单一节的PE文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PVOID PE_Headers::CompressSection(IN PVOID File_Buffer)

{

        PVOID newbuff = NULL;

        PBYTE read = NULL, write = NULL;

        DWORD i;

       

        if (File_Buffer == NULL)

        {

                Error_Flag |= EMPTY_IMAGEBUFFER;

                return NULL;

        }

       

        //新生成的文件大小 = 最后节的RVA + 最后节的FOA - 头的RVA + 头的FOA

        File_Size = pSection_Header[pPE_Header->NumberOfSections - 1].VirtualAddress

                + pSection_Header[pPE_Header->NumberOfSections - 1].SizeOfRawData

                - pSection_Header->VirtualAddress + pSection_Header->PointerToRawData;               

        newbuff = malloc(File_Size);

        memset(newbuff, 0, File_Size);

       

        memcpy (newbuff, pDos_Header, pOptional_Header->SizeOfHeaders);                        //拷贝头部

        for (i = 0; i < pPE_Header->NumberOfSections; i++)

        {

                read = (PBYTE) pDos_Header + pSection_Header[i].PointerToRawData;

                write = (PBYTE) newbuff + pSection_Header[i].VirtualAddress

                        - pSection_Header->VirtualAddress + pSection_Header->PointerToRawData;        //因头部的RVA和FOA的不同产生的偏移量

                memcpy(write, read, pSection_Header[i].SizeOfRawData);                       

        }

       

        Release(File_Buffer);

        GetPEHeaders(newbuff);

       

        //合并后,virtualsize = 文件大小 - 头的文件大小

        pSection_Header->Misc.VirtualSize = File_Size - pSection_Header->PointerToRawData;

        pSection_Header->SizeOfRawData = File_Size - pSection_Header->PointerToRawData;

        for (i = 1; i < pPE_Header->NumberOfSections; i++)

        {

                pSection_Header->Characteristics |= pSection_Header[i].Characteristics;                //把每个节的节属性合并到第一个节里

                memset(&pSection_Header[i], 0, sizeof(IMAGE_SECTION_HEADER));                        //把原来节的数据置0,以便新增一个节

        }

        pPE_Header->NumberOfSections = 1;

        return newbuff;

}
PE合并
hambaga的博客
05-14 870
把所有合并成一个,好处是可以腾出表空间,保证能成功新增。 方法是先拉伸成imagebuffer,修改第一个的VirtualSize = SizeOfRawData = SizeOfImage - VirtualAddress,因为PE文件本身就对齐好了,所以用关心对齐问题。由于修改了SizeOfRawData ,处理后PE文件会变大。除此之外还要修改的数量,和第一个必须具有其他的属性。 代码 // 合并所有 BOOL MergeSection(LPVOID pImageBuffer, L
pe文件对齐
goat_2003的博客
06-08 4306
内存对齐文件对齐 一个pe文件无论在磁盘和内存中存放都会进行对齐,但他们的对齐值会相同。 PE 文件头里边的FileAligment 定义了磁盘区块的对齐值。每一个区块从对齐值的倍数的偏移位置开始存放。而区块的实际代码或数据的大小一定刚好是这么多,所以在多余的地方一般以00h 来填充,这就是区块间的间隙。 PE 文件头里边的SectionAligment 定义了内存中区块的对齐值。PE 文件被映射到内存中时,区块总是至少从一个页边界开始。 rva与fov的相互换 RVA与FOV的相互换 为.
PE文件对齐对齐、子系统查看程序(含源码)
04-21
PE文件对齐对齐、子系统查看程序 包含源代码和目标程序 用Dev-C++编写 显示子系统的描述
内存对齐文件分析
LzxxTeam
03-04 910
版权声明:载自 http://hi.baidu.com/kobetec/blog/item/dd18ea344d5613b3d1a2d351.html 关于内存对齐的话题,始终是敏感的。稍有慎,必将闯下大祸!最近项目稍显轻闲,自
关于内存对齐
qq_34613314的博客
06-01 186
一、内存对齐的原因 我们都知道计算机是以字(Byte)为单位划分的,理论上来说CPU是可以访问任一编号的字数据的,我们又知道CPU的寻址其实是通过地址总线来访问内存的,CPU又分为32位和64位,在32位的CPU一次可以处理4个字(Byte)的数据,那么CPU实际寻址的步长就是4个字,也就是只对编号是4的倍数的内存地址进行寻址。同理64位的CPU的寻址步长是8字,只对编号是8的倍数的内存地址进行寻址,如下图所示是64位CPU的寻址示意图: 这样做可以实现最快速的方式寻址且会遗漏一个字,也
WindowsPE文件格式入门01.PE
最新发布
彭于晏长沙分晏
03-16 859
​portable excute 可移植,可执行的文件(exe dll)能够解析的文件,其内部都是有格式的,是随随便便放的,都是按照某种规律放的,可执行文件也是如此,他有自己的格式,exe 和 dll 的格式是一样的微软由dos 到 windows 文件格式发生了改变,所以要出新的文件格式,因此微软要求文件要兼容 dos 系统,其次要兼容其他的所有操作系统IMAGE_FILE_MACHINE_AM33 希望兼容所有的cpu。
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2634
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1506
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址换问题(使用PEView) ①计算每个区在内存中的位置、大小: ②每个区在文件中的偏移 ③每个区在内存中的大小?每个区在文件中的...
2021-10-02PE文件学习
qq_45290991的博客
10-02 633
PE文件学习 推荐工具:lord PE、stud PEPE权威指南》,了解格式,看雪,吾爱破解 ,EXE是如何组成的,如何逆向一个EXE文件和安卓文件。 这些东西知道 EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件 64位过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。 PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。 而在这个“winnt.h”文件中的image format下就是系
内存对齐与硬盘对齐
aod83029的博客
06-14 361
老式编译器 硬盘对齐200h 内存对齐1000h 新式的编译器 硬盘内存内存都是1000h 载于:https://www.cnblogs.com/zheh/p/4575187.html
对齐 内存对齐问题详解
关注互联网安全的小虾米一枚
08-07 4623
对齐 数据对齐详解 一、什么是对齐,以及为什么要对齐:     1. 现代计算机中内存空间都是按照byte划分的,从理论上讲似乎对任何类型的变量的访问可以从任何地址开始,但实际情况是在访问特定变量的时候经常在特定的内存地址访问,这就需要各类型数据按照一定的规则在空间上
PE结构&整体叙述
寻梦&之璐
01-31 7041
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字,十六进制是200h 处于约资源考虑,操作系统允许内存文件
linux脚本打文件夹,为什么这个程序向文件地址和内存地址一样文件加入shellcode会导致文件开...
weixin_32096149的博客
05-12 173
[C] 纯文本查看 复制代码#include "iostream"#include #define size_shellcode 0x12#define messagebox_add 0x76c9fdf6BYTE shellcode[] = {0x6A,00,0x6A,00,0x6A,00,0x6A,00,0XE8,00,00,00,00,0XE9,00,00,00,00};char file_p...
PE文件中添加ShellCode
LittleCracker的博客
05-17 1976
最烦打代码了,但是貌似代码是最高效的方式……之前手动往PE文件中注入代码添加ShellCode,最近手动往PE文件中注入代码,貌似就是捆绑吧………………1------------------------------------------正题分割线------------------------------------------   工具:一个想添加ShellCode的程序,VS2013步骤为V...
pe植入shellcode
m0_46377671的博客
11-29 718
shellcode是一个弹窗,为: fc686a0a381e686389d14f683274910c8bf48d7ef433dbb7042be366bb33325368757365725433d2648b5a308b4b0c8b491c8b098b6908ad3d6a0a381e750595ff57f895608b453c8b4c057803cd8b592003dd33ff478b34bb03f5990fbe063ac47408c1ca0703d046ebf13b54241c75e48b592403dd66
PE文件映射解析
城南以南花亦开
09-06 9344
解析 PE 文件内存映射,了解 PE 文件的磁盘和内存对齐方式,编程实现 PE 文件内存映射加载。
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1980
PE文件基本概念文件对齐内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
PE文件内名存实亡的对齐
xuenixiang.com
07-21 1756
本文章是我在看雪载的,感觉非常有用,让我明白了一个核心道理:PE格式只是一个参考 PE文件内名存实亡的对齐大家知道PE文件中IMAGE_NT_HEADERS的IMAGE_OPTIONAL_HEADER32里有两个对其因子SectionAlignment和FileAlignment分别表示内存中块的对齐文件中块的对齐。我同时翻阅了Visual Studio, Microsoft Portabl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值