如何修改PE文件
一、 Windows加载器 加载器读取一个PE文件的过程如下: 1. 先读入PE文件的DOS头,PE头和Section头。 2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。 3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。 4. 如果文件被加载的地址不是ImageBase定义的地址,则重新修正ImageBase。 5. 根据PE文件的输入表加载所需要的DLL到进程空间。 6. 然后替换IAT表内的数据为实际调用函数的地址。 7. 根据PE头内的数据生成初始化的堆和栈。 8. 创建初始化线程,开始运行进程。 这里要提的是加载PE文件所需DLL的过程是建立在六个底层的API上。 LdrpCheckForLoadedDll:检查要加载的模块是否已经存在。 LdrpMapDll:映射模块和所需信息到内存。 LdrpWalkImportDescriptor:遍历模块的输入表来加载其所需的其他模块。 LdrpUpdateLoadCount:计数模块的使用次数。 LdrpRunInitializeRoutines:初始化模块。 LdrpClearLoadInProgress:清楚某些标志,表明加载已经完成。 二、 插入代码到PE文件 有三种方式可以插入代码到PE文件: 1. 把代码加入到一个存在的Section的未用空间里。 2. 扩大一个存在的Section,然后把代码加入。 3. 新增一个Section。 方法一、增加代码到一个存在的Section。 首先我们需要找到一个被映射到一个块有执行权限的Section。最简单的方式就是直接利用CODE Section。 然后我们需要查找这块Section内的多余空间(也就是填满了00h)。我们知道一个Section有两个数据来表示其大小。VirtualSize和SizeOfRawData。这个VirtualSize代表Section里代码实际所占用的磁盘空间。SizeOfRawData代表根据磁盘对齐后所占的空间。通常SizeofRawData都会比VirtualSize要大。如下图。 图中的SizeOfRawData是0002A000,而VirtualSize是00029E88。当PE文件被加载到内存的时候,他们之间的多余空间的数据是不会被加载到内存去。那么如果要把加入到这个间隙中间的代码也被加载到内存去,就需要修改VirtualSize的值,这里把VirtualSize的值可以改为00029FFF。这样,我们就有了一小段空间加入自己的代码。下面需要做的就是先找到PE文件的入口点OriginalEntryPoint,比如这个OriginalEntryPoint是0002ADB4,ImageBase是400000,那么入口点的实际虚拟地址是0042ADB4。然后计算出自己代码的起始RVA,更换掉PE头内的OriginalEntryPoint,在自己的代码最后加上: MOV EAX,00042ADB4 JMP EAX 这样就可以在PE文件被加载的时候,先运行自己的代码,然后再运行PE文件本身的代码。成功的把代码加入到了PE文件内。 方法二、扩大一个存在的Section来加入代码。 如果在一个Section末尾没有足够的空间存放自己的代码,那么另外一种方法就是扩大一个存在的Section。一般我们只扩大PE文件最尾部的Section,因为这样可以避免很多问题,比如对其他Section的影响。 首先我们的找到最后一个Section使之可读可执行。这可以通过修改其对应Section头部的Characteristics来获得。然后根据PE头内文件对齐的大小,修改其SizeOfRawData。比如文件对齐的大小是200h,原先SizeOfRawData=00008000h, 那么我们增加的空间大小应该是200h的整数倍,修改完的SizeOfRawData至少是00008200h。增加完空间后,需要修改PE头内的两个字段的数值,SizeOfCode和SizeOfInitialishedData。分别为它们增加200h的大小。这样我们就成功的扩大了一个Section,然后根据方法一内的方式把代码加入到增加的空间。 方法三、新增一个Section来加入代码。 如果要加入的代码很多,那么就需要新增一个Section来存放自己的代码。 l 首先,我们需要在PE头内找到NumberOfSections,使之加1。 l 然后,在文件末尾增加一个新的空间,假设为200h,记住起始行到PE文件首部的偏移。假如这个值是00034500h。同时将PE头内的SizeOfImage的值加200h。 l 然后,找到PE头内的Section头部。通常在Section头部结束到Section数据部分开始间会有一些空间,找到Section头部的最后然后加入一个新的头部。假设最后一个Section头部的数据是: 1. Virtual offset : 34000h 2. Virtual size : 8E00h 3. Raw offset: 2F400h 4. Raw size : 8E00h 而文件对齐和Section对齐的数据分别是: 5. Section Alignment : 1000h 6. File Alignment : 200h l 那么新增加的Section必须与最后一个Section的边界对齐。它的数据分别: 1. Virtual offset : 3D000h (因为最后一个Section的最后边界是34000h + 8E00h = 3CE00h,加上Section对齐,则Virtual offset的值为3D000h)。 2. Virtual size : 200h。 3. Raw offset: 00034500h。 4. Raw size: 200h. 5. Characteristics : E0000060 (可读、可写、可执行)。 l 最后,只需要修改一下PE头内的SizeOfCode和SizeOfInitialishedData两个字段,分别加上200h。 l 剩下的就是按照方法一的方式把代码放入即可。 三、 增加执行文件的输入表项目。 在一些特殊用途上,我们需要为执行文件或DLL增加其不包含的API。那么可以通过增加这些API在输入表中的注册来达到。 1. 每一个输入的DLL都有一个IMAGE_IMPORT_DESCRIPTOR (IID)与之对应。PE头中的最后一个IID是以全0来表示整个IID数组的结束。 2. 每一个IID至少需要两个字段Name1和FirstThunk。其他字段都可以设置为0。 3. 每一个FirstThunk的数据必须是一个指向IMAGE_THUNK_DATA数组的RVA。每一个IMAGE_THUNK_DATA又包含了指向一个API名称的RVA。 4. 如果IID数组发生改变,那么只需要修改数据目录数组中对应输入表的数据结构IMAGE_DATA_DIRECTORY的iSize。 增加一个新的IID到输入表的末尾,就是把输入表末尾的全是0的IID修改成增加的新的IID,然后在增加一个全0的IID作为输入表新的末尾。但是如果在输入表末尾没有空间的话,那就需要拷贝整个输入表到一个新的足够的空间,同时修改数据目录数组对应输入表的数据结构IMAGE_DATA_DIRECTORY的RVA和iSize。 步骤一、增加一个新的IID。 把整个IID数组移到一个有足够空间来增加一个新的IID的地方。这个地方可以是.idata段的末尾或是新增一个Section来存放。修改数据目录数组对应输入表的数据结构IMAGE_DATA_DIRECTORY的RVA和iSize。如果必要,将存放新IID数组的Section大小按照Section Alignment向上取整(比如,原来大小是1500h, 而section Alignment为1000h,则调整为2000h)以便于整个段可以被映射到内存。运行移动过IID数组的执行文件,如果正常的话,则进行第二步骤。如果不工作的话,需要检查新增的IID是否已经被映射到内存及IID数组新的偏移位置是否正确。步骤二、增加一个新的DLL及其需要的函数。在.idata节内增加两个以null结尾的字符串,一个用来存放新增的DLL的名字。 一个用来存放需要导入的API的名称。这个字符串前需要增加一个为null的WORD字段来构成一个 Image_Import_By_Name数据结构。计算这个新增的DLL名称字符串的RVA.把这个RVA赋予新增的IID的Name1字段。再找到一个DWORD的空间,来存放Image_Import_by_name的RVA。这个RVA就是新增DLL的IAT表。计算上面DWORD空间的RVA,将其赋予新增IID的FirstThunk字段。运行修改完的程序。
请参照百度经验网页链接
请参照百度经验网页链接
如何自行修改定制PE?电脑系统大神请进!如何精简添加PE自带软件工具
方法和操作步骤如下:1、首先,使用UltraISO打开准备好的WinPEISO镜像文件,然后在“ MINIPE”目录中解压缩WINPE.IS_,如下图所示,然后进入下一步。2、其次,完成上述步骤后,打开“Windows PE内置软件添加工具”,添加“ WINPE.IS_”,然后单击“解析”按钮以显示WinPE软件列表,如下图所示,然后进入下一步。3、接着,完成上述步骤后,单击“选择添加目录”按钮,找到软件所在的目录,并确保默认的添加位置将添加到桌面(根据需要选择),如下图所示,然后进入下一步。4、然后,完成上述步骤后,双击软件名称FinalData.exe(此处以“FinalData.exe”为例)。为了便于识别,将软件名称更改为“ Data RecoveryTool”,然后单击“确认添加”按钮,如下图所示,然后进入下一步。5、随后,完成上述步骤后,可能会提示目标为“文件,目录”,选择“目录”。然后单击下面的“封装成 IS_”,等待片刻以显示提示窗口,指示制作已完成。同时,将生成一个新的“ WINPE.IS_”,如下图所示,然后进入下一步。6、接着,完成上述步骤后,用UltraISO将新的“WINPE.IS_”替换为原来的“ WINPE.IS_”并保存,以成功创建新的ISO文件,如下图所示,然后进入下一步。7、最后,完成上述步骤后,写入USB闪存驱动器之前,最好在虚拟机中测试ISO文件,并在启动后检查桌面上是否有“数据恢复工具”。可以将测试写入U盘,如下图所示。这样,问题就解决了。
这个当然可以自己修改了,不过PE的结构事实上并不是那么统一。建议你修改那些win7以上的贴吧里一些人自己做的pe,比较好修改。 打开ISO文件用WinISO(弄回ISO文件一样是使用WinISO,不能用压缩软件压成ISO,那样不起作用)。打开ISO文件后,找找看一般能看到后缀为.wim格式的文件,这个文件用WimTool解压(压缩回去时同样要使用WimTool,不能使用普通的压缩软件)。解压之后基本上就能看到基本的目录了(有点类似你的C盘),这个时候你就可以对pe作修改(最好对每个目录都获取管理员权限,不然不方便操作。) 有什么不懂的欢迎提问
这个当然可以自己修改了,不过PE的结构事实上并不是那么统一。建议你修改那些win7以上的贴吧里一些人自己做的pe,比较好修改。 打开ISO文件用WinISO(弄回ISO文件一样是使用WinISO,不能用压缩软件压成ISO,那样不起作用)。打开ISO文件后,找找看一般能看到后缀为.wim格式的文件,这个文件用WimTool解压(压缩回去时同样要使用WimTool,不能使用普通的压缩软件)。解压之后基本上就能看到基本的目录了(有点类似你的C盘),这个时候你就可以对pe作修改(最好对每个目录都获取管理员权限,不然不方便操作。) 有什么不懂的欢迎提问
pe修改密码
很多朋友都习惯给自己电脑设置开机密码,这样一来别人想动用自己电脑就没有那么容易了,如果我们忘记了设置的系统登录密码改怎么办呢? 1/5将制作好的u深度u盘启动盘插入电脑接口,开机按快捷键进入主菜单界面,选择“【03】运行U深度Win2003PE增强版(老机器)”2/5登入到pe系统后,依次点开“开始-程序-密码管理-Win Nt密码恢复”3/5打开winnt密码恢复工具后,即可点击“选择目标路径”,然后在弹出的浏览文件夹窗口中,选择系统盘下的WINDOWS文件夹,再点击“确定”继续4/5接着再点击“修改现有用户的密码”,然后选择需要更改密码的用户名上,进行登录密码修改5/5 最后点击左侧的“应用”,工具会提示修改成功,这时我们即可点击“确定”完成操作
进入pe系统后,点击“密码修改”,这时密码修改器会自动搜索sam文件,若没有,可点击省略号按钮进入创建sam文件,然后点击“打开”sam文件,并找到需要修改密码的账户,然后点击修改即可。 计算机(computer)俗称电脑,是一种用于高速计算的电子计算机器,可以进行数值计算,又可以进行逻辑计算,还具有存储记忆功能。由硬件系统和软件系统所组成,没有安装任何软件的计算机称为裸机。 扩展资料:PE的特点WinPE是简化版的Microsoft Windows,放在一片可直接引导的CD、DVD光盘或U盘,特点是引导时出现此版本Windows PE简化自之原版本的引导画面,以及出现简单的图形接口(GUI),亦能运行Internet Explorer。 WinPE支持网络,但只附带以下工具:命令提示符、记事本和一些命令提示符的维护工具。 在微软的批准下,其他软件公司可附上自己的软件于WinPE,令引导电脑时候运行有关的程序。这些软件通常是系统维护,在电脑不能正常运作的情况下,可运用有关的系统维护软件修复电脑。维护软件包括SymantecNorton Ghost等等。 因为和电脑中的系统没有关联,可以任意添加/修改/复制系统文件,甚至可以格式化电脑中系统所在的磁盘。这种得天独厚的优势使得PE可以深入操作系统文件。
进入pe系统后,点击“密码修改”,这时密码修改器会自动搜索sam文件,若没有,可点击省略号按钮进入创建sam文件,然后点击“打开”sam文件,并找到需要修改密码的账户,然后点击修改即可。 计算机(computer)俗称电脑,是一种用于高速计算的电子计算机器,可以进行数值计算,又可以进行逻辑计算,还具有存储记忆功能。由硬件系统和软件系统所组成,没有安装任何软件的计算机称为裸机。 扩展资料:PE的特点WinPE是简化版的Microsoft Windows,放在一片可直接引导的CD、DVD光盘或U盘,特点是引导时出现此版本Windows PE简化自之原版本的引导画面,以及出现简单的图形接口(GUI),亦能运行Internet Explorer。 WinPE支持网络,但只附带以下工具:命令提示符、记事本和一些命令提示符的维护工具。 在微软的批准下,其他软件公司可附上自己的软件于WinPE,令引导电脑时候运行有关的程序。这些软件通常是系统维护,在电脑不能正常运作的情况下,可运用有关的系统维护软件修复电脑。维护软件包括SymantecNorton Ghost等等。 因为和电脑中的系统没有关联,可以任意添加/修改/复制系统文件,甚至可以格式化电脑中系统所在的磁盘。这种得天独厚的优势使得PE可以深入操作系统文件。
如何修改PE系统设定及方法
用大白菜PE修改win7系统密码方法: 1、这里要先准备一张PE的光盘,然后将准备的winPE插入光驱,接着在bios上设置电脑启动顺序,按照内置光驱位第一启动的方法,就可在电脑启动的时候进入pe系统。2、然后找到原系统,是c盘和D盘其中一个,看装在哪里,接着进入windows/system32,在其根目录下找到Narrator.exe程序文件,找到之后鼠标右击选择“属性/安全选项”,点击编辑,选择"组或用户名"为administrators,设置"administrator"权限为"完全控制",并单击“应用”按钮。3、之后用同样的方法对cmd.exe程序文件设置权限为“完全控制”,设置完成之后把Narrator.exe重新改名为Narrator0.exe,再把cmd.exe也重新改名为Narrator.exe。4、接着重启电脑,电脑会自动进入到登陆界面,会发现密码还没破解,这里点击屏幕左下角“轻松访问中心”启动“讲述人”,因为更改了系统启动的对象,将其改成cmd.exe,所以这就是名分提示符程序。5、接着在打开的cmd窗口中输入命令【NET USER rock /add】,就新建一个rock的用户,这里没有设置密码,然后继续输入【ET localgroup administrators rock /add】,回车,就提高rock用户的权限将其添加到administrator用户组上。6、重启电脑进入登录界面,是默认的用户administrator用户,还是需要输入密码,需切换到rock用户,因为没有设置密码就可直接登录系统。 7、这里就破解开机密码,之后再把narrator.exe改回cmd.exe再把narrator0.exe改回narrator.exe,然后进入“控制面板--用户管理--用户”,删除以前的密码,是用来防止别人在没有winpe的情况下再次用同样的方法来破解密码,重启电脑用以前账户登录系统,就可在用户管理上面重新设置当前账户密码。
怎么修改PE系统
1.将 WinPE.IS_从BootCD.ISO中提取出来,使用WinRAR将它解压缩,你将会得到一个WinPE.ISO。使用UltraISO打开这个WinPE.ISO,直接将里面的WXPE文件夹名字修改掉,比如PEXP。保存WinPE.ISO2.使用Makecab将WinPE.ISO压缩成WinPE.IS_,如果得不到最大压缩率,可以从这个帖子下载我制作的那个批处理工具: http://bbs.wuyou.com/viewthread.php?tid=775223.将WinPE.IS_重新放回BootCD.ISO。4.修改BootCD.ISO中的WXPE文件夹为PEXP。并将里面的SETUPLDR.BIN提取出来,使用UltraEdit将SETUPLDR.BIN打开,将里面所有的WXPE全部修改成PEXP。再将修改后的SETUPLDR.BIN放到修改后的PEXP文件夹中覆盖掉原来的同名文件。5.将BootCD.ISO根目录的WINNT.XPE提取出来并用记事本打开,修改里面的WXPE为PEXP。再将修改后的WINNT.XPE覆盖掉BootCD.ISO中原来的同名文件。6.使用UltraISO提取BootCD.ISO的引导扇区文件,比如命名为Boot.BIF,使用UltraEdit将里面的WXPE修改成PEXP(这里需要注意大小写)。再使用UltraISO将这个Boot.BIF通过“加载引导文件”的方法重新写入BootCD.ISO 的引导
PE是光盘上的精简系统只能实现简单的功能 如调试计算机
在忘记密码的情况下如何通过Windows PE工具强制更改系统的密码
PE是光盘上的精简系统只能实现简单的功能 如调试计算机
在忘记密码的情况下如何通过Windows PE工具强制更改系统的密码
