【PE】手动给PE文件添加一段代码MessageBoxA

源程序是这个样子：

思路：

1、通过LordPE工具拿到所需数据

2、OllyDebug通过BP MessageBoxA拿到MessageBoxA地址

3、UE十六进制编辑器定位代码节基址

4、在代码节找到一处空白区

5、写入代码对应的十六进制数据

6、Call到MessageBoxA，Call：E8

7、Jmp到原OEP,Jmp:E9

8、修改原OEP为写入数据地址

准备工作：

测试程序

LordPE工具

OllyDebug

UE十六进制编辑器

通过LordPE工具拿到所需数据：

AddressOfEntryPointer(OEP) :0005CDD1

ImageBase :　　　　　　

.text(VOffset) :　　　　　　

.text(Vsize) :　　　　　　0007A4F2

通过OllyDebug的指令拿到MessageBoxA地址：

MessageBoxA :　　　　　　767674C0

实战开始

定位代码节尾部：VOffset + VSize = 00001000 + 0007A4F2 = 7B4F2

我在这行的下一行找到空白区：0007b500

MessageBoxA参数压栈，假设参数都为0，那么有(push 0)*4，

对应十六进制：6A 00 6A 00 6A 00 6A 00，OKey，填进去。

压栈后可以Call MessageBoxA了。

Call的实际地址需要转换，转换公式：

要Call的地址 - (Call所在内存地址+5) = MessageBoxA地址 - (47B508+5) = 767674C0 - (47B508+5) = 762EBFB3

所以Call MessageBoxA对应十六进制：E8 B3 BF 2E 76

假设程序执行到这了，写入的代码执行完毕后就要Jmp原OEP干它应该干的活了。

Jmp到原地址，同样按照上面的地址转换对应十六进制：E9 BF 18 FE FF

修改原OEP为写入代码的地址，也就是刚才找的空白区：0007b500

通过PE结构的方式定位到原OEP根据地，OEP在IMAGE_OPTIONAL_HEADER的AddressOfEntryPointer，具体偏移相对可选头0x10位置

改为刚才的写入代码的地址

Ok，测试一下改过后的程序效果

它会先执行写入的代码，弹出一个弹框

然后再做它应该做的

只是记录一下操作流程，这个是最简单的，文件对齐和内存对齐一样，不用RVA什么的转化地址，将代码写入代码节，不用改节属性。

巴特西