问题描述
我想编辑 PE 文件的 .text 部分并插入机器代码或更改机器代码。
最终 .text 最终会比原始大小更大或更小。
要使 .exe 仍然有效,我是否需要修改任何标头?
我需要在 PE 文件中注意什么以确保它在 .text 手术后仍然按预期工作?
解决方法
我建议,如果 .text 部分最终小于比原始部分,您只需将其填充,使其与原始部分的大小相同,这将避免您也不得不制作许多其他变化。如果它最终更大比原来的那么事情可能会变得相当困难。
.text 节通常是可执行文件中的第一个节,并且由于节在内存中根据 PE 标头中的“节对齐”条目对齐,因此下一节通常会放置在内存中的下一个整数倍处.text 节结束后的节对齐方式。通常的部分对齐似乎是 4KiB(0x1000 字节),因此根据 .text 部分的原始大小,在与下一部分发生冲突之前,您可能有 0 到 4095 字节的可用空间来扩展 .text 部分记忆中。
如果内存中有足够的可用空间来进行更改,那么您还必须处理可执行文件本身中节的对齐,这由 PE 标头中的“文件对齐”条目决定。可执行文件中用于更改的可用空间量将是 .text 部分的原始大小与其虚拟大小之间的差异,并且由于通常的文件对齐似乎是 512 (0x200) 字节,因此将介于 0 和 511 之间字节。如果文件中没有足够的可用空间(但内存中有足够的空间),则必须将以下部分移动文件对齐的整数倍,并相应地调整每个部分的文件指针。您还需要更新 PE 标头中的“代码大小”值,以说明 .text 部分的大小增加。
如果您需要将它扩展到超过内存中的可用可用空间,那么事情可能会变得非常困难 - .text 之后的部分通常包含可执行代码引用的数据,因此您不能只调整 in-以下部分的内存地址以腾出额外空间,因为这几乎肯定会破坏可执行文件。您可以尝试更新可执行代码以说明对以下部分地址的更改,但不太可能在所有情况下都能可靠地执行此操作。