如何恢复 Windows 可执行文件的原始入口点？

Question

我正在尝试学习如何修改 windows PE 并制作打包程序。我目前所做的是获取一个 exe 文件，向其中添加一个新部分并将 oep 更改为该新部分。该新部分的唯一作用是跳回文件的原始地址。这是新部分的代码：

__asm {
    pushad
        mov eax, 0x0044F125 //oep
        jmp eax
}

如您所见，我必须对 oep 地址进行硬编码。有什么方法可以存储或计算 oep？

Answer 1

首先PE文件的入口点在标题中，概括地说PE格式包含：

• MZ Header（出于兼容性目的，但包含 PE Header 的偏移量）。
• PE 标头（包含有关文件的信息、节数、导入等...）。包含：文件头，可选头（这是包含PE文件入口点的头。
• 章节标题
• 部分数据

关于 PE 的更多信息：

• Microsoft PE COFF Reference
• An In-Depth Look into the Win32 Portable Executable File Format
• corkami website，关于二进制格式细节的非常好的信息，特别是 PE 格式。

如果你想做一个打包机，你需要：

1. 遍历 PE 标头结构以定位原始入口点
2. 已保存并使用新入口点更新
3. 添加新添加部分的信息。

第 2 点和第 3 点可以按任何顺序执行，如果您先执行第 2 点，您需要知道该部分的位置，阅读现有部分很容易计算。如果您先执行第 3 点，则您已经知道新的入口点。

如果您愿意，可以查看UPX packer，了解有关如何修改 PE 格式以及如何进行一般打包程序的更多提示。

Answer 2

OEP 作为 RVA 存储在 PE 文件中。您修改该值，此时原始值将丢失。如果要获取原始值，则必须阅读并记住它，然后再修改值。

Answer 3

好的，我发现它实际上像这样将 oep 写入文件本身：

void write_stub_entry_point(PIMAGE_NT_HEADERS nt_headers, void *stub_addr) {
    if (stub_addr != NULL) {
        const char *signature = "\xFF\xEE\xDD\xCC";
        unsigned int index = 0;
        while (memcmp(((unsigned char *)stub_addr + index), signature, sizeof(int)) != 0) {
            ++index;
        }
        DWORD old_protections = 0;
        VirtualProtect(((unsigned char *)stub_addr + index), sizeof(DWORD), PAGE_EXECUTE_READWRITE, &old_protections);
        memcpy(((unsigned char *)stub_addr + index), &nt_headers->OptionalHeader.AddressOfEntryPoint, sizeof(DWORD));
        VirtualProtect(((unsigned char *)stub_addr + index), sizeof(DWORD), old_protections, NULL);
    }
}

现在他们只能从这样的文件中恢复它：

__asm { //Epilogue, stub exit point
    mov eax, target_image_base
        add eax, 0xCCDDEEFF     //Signature to be replaced by original entry point (OEP)
        mov esp, ebp
        mov[esp + 0x20], eax     //Store OEP in EAX through ESP to preserve across popad
        pop ebp
        popad                   //Restore thread context, with OEP in EAX
        jmp eax                 //Jump to OEP
}