源程序是这个样子:
思路:
1、通过LordPE工具拿到所需数据
2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址
3、UE十六进制编辑器定位代码节基址
4、在代码节找到一处空白区
5、写入代码对应的十六进制数据
6、Call到MessageBoxA,Call:E8
7、Jmp到原OEP,Jmp:E9
8、修改原OEP为写入数据地址
准备工作:
测试程序
LordPE工具
OllyDebug
UE十六进制编辑器
通过LordPE工具拿到所需数据:
AddressOfEntryPointer(OEP) :0005CDD1
ImageBase : 00400000
.text(VOffset) : 00001000
.text(Vsize) : 0007A4F2
通过OllyDebug的指令拿到MessageBoxA地址:
MessageBoxA : 767674C0
实战开始
定位代码节尾部:VOffset + VSize = 00001000 + 0007A4F2 = 7B4F2
我在这行的下一行找到空白区:0007b500
MessageBoxA参数压栈,假设参数都为0,那么有(push 0)*4,
对应十六进制:6A 00 6A 00 6A 00 6A 00,OKey,填进去。
压栈后可以Call MessageBoxA了。
Call的实际地址需要转换,转换公式:
要Call的地址 - (Call所在内存地址+5) = MessageBoxA地址 - (47B508+5) = 767674C0 - (47B508+5) = 762EBFB3
所以Call MessageBoxA对应十六进制:E8 B3 BF 2E 76
假设程序执行到这了,写入的代码执行完毕后就要Jmp原OEP干它应该干的活了。
Jmp到原地址,同样按照上面的地址转换对应十六进制:E9 BF 18 FE FF
修改原OEP为写入代码的地址,也就是刚才找的空白区:0007b500
通过PE结构的方式定位到原OEP根据地,OEP在IMAGE_OPTIONAL_HEADER的AddressOfEntryPointer,具体偏移相对可选头0x10位置
改为刚才的写入代码的地址
Ok,测试一下改过后的程序效果
它会先执行写入的代码,弹出一个弹框
然后再做它应该做的
只是记录一下操作流程,这个是最简单的,文件对齐和内存对齐一样,不用RVA什么的转化地址,将代码写入代码节,不用改节属性。