向PE文件中插入可执行代码的研究

根据Win32PE文件的结构特征,实现了两种不同的向PE文件中插入可执行代码的方法:(1)在本节中的未用空间中插入代码;(2)添加新的节。指出在编写要添加的代码的过程中,要注意插入代码的变量地址的重定位和代码返回改动态获取API入口地址等问题。

基于PE结构的系统API定位技术

提出了一种新的系统API入口地址定位技术.通过当前线程的TEB结构获取宿主进程空间的PEB结构,通过PEB结构中的InInitializationOrderModuleList成员变量对宿主进程加载的所有模块进行遍历,获取系统API所在动态链接库的基地址.在此基础上,进一步获取动态链接库PE文件头的真实地址,以获取其输出表,通过输出表中的AddressOfNames,AddessOfNameOrdinal和AddressOfFunction三个成员变量最终定位所需系统API的入口地址.该技术完全基于PE结构所提供的信息,不使用特定的函数,可有效避免防火墙的拦截,同时具有更高的效率.