PE文件扩大节

lisir1

扩大节的目的
上一篇 修改程序入口来添加提示框 我们通过在节数据之前添加一段二进制代码实现弹窗功能，但是实际情况不只是添加一个没有句柄、内容的窗口，或者实现更多功能，所以我们需要自己添加空白区来容纳更多的代码。
扩大节的思路
即扩大节数据所占的内存空间，一个PE文件往往不只是一个节，如.text,.data,.rsrc,.reloc等…我们通常选择最后一个节来扩大，因为扩大前面的节需要把后面的数据后移，且要修改很多值，选择最后一个节就比较省事。
流程
1.确定要扩大空间的大小并添加

2.修改节表参数中的VirtualSize(节的实际大小）和SizeOfRawData(节在文件中对齐后的大小）其值为：

VirtualSize=SizeOfRawData=节内存对齐后的大小+要扩大的大小

3.修改SizeOfImage（内存中整个PE文件映射尺寸，在扩展PE头部分）的值

SizeOfImage=SizeOfImage+要扩大的大小

实现步骤
1.扩大1000h



用UItraEdit打开文件，选中最后一个字节，右击插入十六进制（1000h=4096)

2.修改VirtualSize和SizeOfRawData



009968是VirtualSize，00A000是SizeOfRawData




则VirtualSize=SizeOfRawData=A000+1000=B000



3.修改SizeOfImage



6E00+1000=6F00




保存即可。

结果



至此，扩大节已完成。

爱飞的猫

直接新建一个节更好，因为有时需要配置访问权限。
更方便二次开发的方法则是 dll 注入，例如在导入表插入自己的 dll，在启动时加载。不需要全部用汇编来实现自己想要的功能，也能更方便的调用 API。
另外可以适当的用 pe 编辑器简化手动扩容/新增节，或写个脚本自动化。手动改比较容易出错。

lisir1

爱飞的猫 发表于 2022-12-4 11:52
直接新建一个节更好，因为有时需要配置访问权限。
更方便二次开发的方法则是 dll 注入，例如在导入表插入 ...

谢谢提醒，学习阶段，想熟悉一下底层的数据结构，就手动扩容了，下一次更新新增节

dujiu3611

学习中，静等下集更精彩

lfordch

感谢分享，收藏了慢慢学习

ttyylfd

学习了，谢谢分享！

a8511816

感谢分享，收藏了慢慢学习

luckysky

32和64可以通用吧？

shinco20

学习了，谢谢分享

hemingway111

感谢分享，很有用