6.PE文件新增节

蓝屏达人2025-03-16 17:03

PE文件新增节,需要完成以下几个步骤。

1)添加一个新的节表元素(可以copy一份)

2)在新增节后面填充一个节大小的0x00(大小为40个字节,也就是说要新增节表,必须要在SizeOfHeader后面必须有80个字节的空间才能新增节,如果不够,则需要抬高PE文件头)

3)像改PE头中节的数量

4)修改SizeOfImage的大小

5)在原有数据的最后,新增一个节的数据(内存对齐的整数倍).

6)修正新增节表的属性

核心代码如下:

复制代码 
/*
 * 添加节表
 * buff 未拉伸状态的文件数据
 * buffSize 未拉伸状态的文件大小
 * return 新增节后的数据
 */
char* addSection(char* buff, DWORD buffSize)
{
    PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER)buff;
    PIMAGE_NT_HEADERS ntHeader = (PIMAGE_NT_HEADERS)(buff + dosHeader->e_lfanew);
    /*
     * 一:将PE头和节表移到DOS头后面,防止添加不上节表
     * 1.申请同样大小的内存,并初始化为0
     * 2.将数据拷贝到临时内存中,并将原来的数据清空
     * 3.将e_lfanew指向0x40
     * 4.将数据拷贝到0x40后面
     * 5.释放内存
     */
    DWORD size = sizeof(ntHeader->Signature) + sizeof(ntHeader->FileHeader) + ntHeader->FileHeader.SizeOfOptionalHeader + (ntHeader->FileHeader.NumberOfSections * 0x28);
    char* ntHeaderAndSectionHeaderBuf = new char[size];
    memset(ntHeaderAndSectionHeaderBuf, 0x00, size);
    memcpy(ntHeaderAndSectionHeaderBuf, buff + dosHeader->e_lfanew, size);
    memset(buff + dosHeader->e_lfanew, 0x00, size);
    dosHeader->e_lfanew = 0x40;
    memcpy(buff + dosHeader->e_lfanew, ntHeaderAndSectionHeaderBuf, size);
    delete[] ntHeaderAndSectionHeaderBuf;
    ntHeaderAndSectionHeaderBuf = nullptr;
    ntHeader = (PIMAGE_NT_HEADERS)(buff + dosHeader->e_lfanew);

    /*
     * 增加节表,并修复里面的参数
     */
    PIMAGE_SECTION_HEADER newSectionHeader = (PIMAGE_SECTION_HEADER)(buff + dosHeader->e_lfanew + size);
    PIMAGE_SECTION_HEADER preSectionHeader = newSectionHeader - 1;
    // 设置节表名
    newSectionHeader->Name[0] = '.';
    newSectionHeader->Name[1] = 'f';
    newSectionHeader->Name[2] = 'g';
    newSectionHeader->Name[3] = 'c';
    newSectionHeader->Name[4] = 's';
    // 修复虚拟大小
    newSectionHeader->Misc.VirtualSize = 0x1000;
    // 修复虚拟地址
    newSectionHeader->VirtualAddress = preSectionHeader->VirtualAddress + preSectionHeader->SizeOfRawData;
    // 修复文件大小
    newSectionHeader->SizeOfRawData = 0x1000;
    // 修复文件地址
    newSectionHeader->PointerToRawData = preSectionHeader->PointerToRawData + preSectionHeader->SizeOfRawData;
    // 修复权限(我用的软件默认是.text这个,如果有其他情况,请自行适配)
    newSectionHeader->Characteristics = (newSectionHeader - ntHeader->FileHeader.NumberOfSections)->Characteristics;

    /*
     * 修改SizeOfImage以及numberOfSections
     */
    ntHeader->OptionalHeader.SizeOfImage += 0x1000;
    ntHeader->FileHeader.NumberOfSections++;

    /*
     * 增加节区,我里默认增加0x1000
     */
    char* newBuff = new char[buffSize + 0x1000];
    memcpy(newBuff, buff, buffSize);
    memset(newBuff + buffSize, 0x20, 0x1000);
    delete[] buff;
    buff = nullptr;
    return newBuff;
}

看效果:

PE练手软件,需要的自取

链接: https://pan.baidu.com/s/1A-WqlfskJaC4RVQtD5LdEw 提取码: 198n

代码:

链接: https://pan.baidu.com/s/1P7adyWzcEt867cTDfhwKOg 提取码: mbpb

相关推荐
航Hang*33 分钟前
VMware vSphere 云平台运维与管理基础——第5章:VMware vSphere 5.5 高级特性
运维·服务器·开发语言·windows·学习·虚拟化
Mapleay38 分钟前
Ubuntu 源的重要性!之 libgmp-dev 无法安装
linux·服务器·windows
humors2211 小时前
微软工具包下载网址
windows·microsoft·微软·office·工具包·sysintervals
寺中人1 小时前
硬盘提示初始化的损坏,手动恢复MBR及EBR分区教程
windows·工具·硬盘修复
冷色系里的一抹暖调2 小时前
OpenClaw Docker 部署避坑指南:服务启动成功但网页打不开?
人工智能·windows·docker·ai·容器·opencode
开开心心就好2 小时前
能把网页藏在Word里的实用摸鱼工具
linux·运维·服务器·windows·随机森林·逻辑回归·excel
Bruce_Liuxiaowei2 小时前
技嘉Aorus主板Win10引导故障深度修复:从网络重置到注册表移植
服务器·网络·windows·microsoft
tryCbest2 小时前
Nginx常用操作命令-Linux和Windows系统
linux·windows·nginx
张二娃同学2 小时前
Claude Code 使用教程:下载安装、CC Switch 配置、MiniMax API 获取与启动实操
人工智能·windows·深度学习·github·claude code
-王二毛-2 小时前
Windows系统递归将文件夹及其子文件夹下所有照片拷贝到新指定文件夹脚本
windows
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了08Oh My Codex 快速使用指南09AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析10AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南