怎样用 Winhex 替换exe中的图片？？-经典问答-看雪-安全社区|安全招聘|kanxue.com

怎样用 Winhex 替换exe中的图片？？

发表于: 2015-7-12 12:26 19360

怎样用 Winhex 替换exe中的图片？？

独行侠

2015-7-12 12:26

19360

请问各位大侠，怎样用 Winhex 替换exe中的图片？？烦请详细解答一下好不？？我是小小白。。。拜托了！谢谢！

exe文件地址：http://pan.baidu.com/s/1hq1TCig

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

2015-07-12_121618.jpg （104.23kb，14次下载）

收藏・3

免费・0

支持

最新回复 (36) 1 2 ▶
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 2 楼 reshacker 2015-7-12 12:39 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 3 楼用reshacker 看不到图片资源。。。。 2015-7-12 12:40 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 4 楼帮顶，感觉不难吧 2015-7-12 15:19 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 5 楼应该不是很难，但不会替换操作。。。。提示一下下应该就会了。。。等待大神解答。。。 2015-7-12 15:44 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 6 楼？？？？没有大神来回答么？？？ 2015-7-12 19:05 0
anywhere杨雪币： 110 活跃值： (522) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 422 粉丝 3 关注私信	anywhere杨 7 楼我说下我的一点思路，首先你要确定这个图片是不是在资源文件中以bmp这种可识别的资源存在的,如果是的话，只要能获取资源的信息。。直接用windows api就可以替换掉。。当然你也可以以某种工具。。但是我没用到过。。如果上面不成立，说明这个图片可能是其它方式，加密或者压缩的方式，然后内存中再加载的。当然这样就比较麻烦了。 2015-7-12 19:09 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 8 楼图片已经提取出来了，现在最重要的是怎样把修改好的图片写入EXE中替换。提取出来的图片: 上传的附件： 2015-07-12_195657.jpg （55.17kb，7次下载） 2015-7-12 20:00 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 9 楼顶啊！等待大神解答。。。 2015-7-13 07:56 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 10 楼这程序长得就象delphi的吧，棒顶，球 delphi source里边替换的案例。 2015-7-13 08:52 0
vsc 雪币： 185 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	vsc 11 楼有个工具比winhex方便 2015-7-13 08:54 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 12 楼什么工具？？ 2015-7-13 09:17 0
vbroot 雪币： 409 活跃值： (182) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	vbroot 1 13 楼看看这个是不是有帮助 http://bbs.pediy.com/showthread.php?t=65998 2015-7-13 09:28 0
stroot 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 1 关注私信	stroot 14 楼本人也是新手，碰巧解决了楼主的问题，特来回帖。用WinHex搜索了下楼主的.exe，发现里面有 :/new/prefix1/resource/image/LOGO.png 这种字符串，确定图片是png格式的。接着在.exe文件中搜索了一下PNG文件头，找到并导出了LOGO.png的内容（位于0x0051FCEC ～ 0x0052A997之间）。修改LOGO.png后覆盖回原位置，达到修改图片内容的目的。下面是结果截图：相关文件已上传到百度云盘，供楼主参考： http://pan.baidu.com/s/1kTH2iFX 2015-7-13 17:12 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 15 楼这位朋友，谢谢你的解答。能否讲解得再仔细一些呢？我是小小白，一点都不懂呢。。。。 “0x0051FCEC到0x0052A997”这些数值从哪里得来呢？怎样覆盖？？我现在最大的问题是不懂得怎样覆盖替换。怎样替换操作？？如何在EXE文件中怎样找到图片的十六进制数值呢？？能否讲解得再仔细一些呢？烦请把步骤讲一下，谢谢了！！ 2015-7-13 17:42 0
stroot 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 1 关注私信	stroot 16 楼 1、如何在EXE文件中确定图片起始结束位置。 LOGO.png 所处的位置“0x0051FCEC ～ 0x0052A997”是我通过图片内容确定的... 虽然有点傻，但是对于单次任务还将就了（我第一次导出的结果就是logo.png）开头和结尾是通过查找PNG文件头的固定内容确定的。 PNG文件头具体有哪些固定内容请查看：https://en.wikipedia.org/wiki/Portable_Network_Graphics 2、怎么覆盖替换。这个是通过WinHex的Write ClipBoard (Ctrl + B)功能完成的：首先将光标定位到0x0051FCEC；然后按Ctrl + B将文件内容覆盖到以当前光标位置开始的区域。 2015-7-13 18:26 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 17 楼呵呵。。。明白了一点点，再研究研究。。。 2015-7-14 16:27 0
dzkaiwen 雪币： 268 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	dzkaiwen 18 楼 eXeScope v6.50 试试这个工具吧 2015-7-14 17:17 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 19 楼这工具无法做得到。。。 2015-7-14 17:21 0
armlinuxok 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	armlinuxok 20 楼建议用PEDIY中的其它获取图标工具要进行替换 2015-7-19 14:20 0
chingshe 雪币： 857 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	chingshe 21 楼不知道您是用什么工具提取出图片的？可以提取出来，不就可以写入吗？ 2015-7-20 06:27 0
ziyeziye 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 110 粉丝 0 关注私信	ziyeziye 22 楼怎么提取的？ 2015-7-21 09:41 0
YoungBai 雪币： 204 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	YoungBai 23 楼用WINHEX十六进制搜索 89504E470D0A (这是PNG的文件头). 再搜索 89504E470D0A (这是PNG的文件尾). 你会看到搜索结果是成对出现的.这样就好办了.每一对都是一个PNG文件.我刚试了.第二对就是楼主的那个LOGO. 在WINHEX里面指定选块起始为文件头数据的地址.然后指定文件尾数据的地址为选块结束.然后编辑-复制选块-至新文件.然后保存这段数据块为*.png文件.至此这就是一个独立的PNG文件了. 其实要替换的话.也更简单了.用WINHEX打开你用来替换的图片.复制选块-正常-从被替换的那个文件的文件头位置-编辑-剪贴板数据-写入.这样就替换了. 不过替换之前先得对比一下两个文件的大小.如果被替换的图片比用来替换的图片大的话.就先用00来填充选块.然后再把要用来替换的数据块写入到文件头的地址.如果用来替换的图片比被替换的图片大的话.得先想办法把图片减少一下体积.不然写入以后会把后面不属于这个文件的数据块也替换了. 文件头: 文件尾: 替换后: 2015-7-26 21:23 0
小全技术雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	小全技术 24 楼 mark 2015-7-26 22:25 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 25 楼试了一下，成功了！！哈哈！谢谢 YoungBai 的详细解答！！ 2015-7-26 22:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

独行侠

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 2 楼 reshacker 2015-7-12 12:39 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 3 楼用reshacker 看不到图片资源。。。。 2015-7-12 12:40 0
kxltsuper 雪币： 5 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 188 粉丝 0 关注私信	kxltsuper 4 楼帮顶，感觉不难吧 2015-7-12 15:19 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 5 楼应该不是很难，但不会替换操作。。。。提示一下下应该就会了。。。等待大神解答。。。 2015-7-12 15:44 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 6 楼？？？？没有大神来回答么？？？ 2015-7-12 19:05 0
anywhere杨雪币： 110 活跃值： (522) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 422 粉丝 3 关注私信	anywhere杨 7 楼我说下我的一点思路，首先你要确定这个图片是不是在资源文件中以bmp这种可识别的资源存在的,如果是的话，只要能获取资源的信息。。直接用windows api就可以替换掉。。当然你也可以以某种工具。。但是我没用到过。。如果上面不成立，说明这个图片可能是其它方式，加密或者压缩的方式，然后内存中再加载的。当然这样就比较麻烦了。 2015-7-12 19:09 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 8 楼图片已经提取出来了，现在最重要的是怎样把修改好的图片写入EXE中替换。提取出来的图片: 上传的附件： 2015-07-12_195657.jpg （55.17kb，7次下载） 2015-7-12 20:00 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 9 楼顶啊！等待大神解答。。。 2015-7-13 07:56 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 10 楼这程序长得就象delphi的吧，棒顶，球 delphi source里边替换的案例。 2015-7-13 08:52 0
vsc 雪币： 185 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 0 关注私信	vsc 11 楼有个工具比winhex方便 2015-7-13 08:54 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 12 楼什么工具？？ 2015-7-13 09:17 0
vbroot 雪币： 409 活跃值： (182) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	vbroot 1 13 楼看看这个是不是有帮助 http://bbs.pediy.com/showthread.php?t=65998 2015-7-13 09:28 0
stroot 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 1 关注私信	stroot 14 楼本人也是新手，碰巧解决了楼主的问题，特来回帖。用WinHex搜索了下楼主的.exe，发现里面有 :/new/prefix1/resource/image/LOGO.png 这种字符串，确定图片是png格式的。接着在.exe文件中搜索了一下PNG文件头，找到并导出了LOGO.png的内容（位于0x0051FCEC ～ 0x0052A997之间）。修改LOGO.png后覆盖回原位置，达到修改图片内容的目的。下面是结果截图：相关文件已上传到百度云盘，供楼主参考： http://pan.baidu.com/s/1kTH2iFX 2015-7-13 17:12 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 15 楼这位朋友，谢谢你的解答。能否讲解得再仔细一些呢？我是小小白，一点都不懂呢。。。。 “0x0051FCEC到0x0052A997”这些数值从哪里得来呢？怎样覆盖？？我现在最大的问题是不懂得怎样覆盖替换。怎样替换操作？？如何在EXE文件中怎样找到图片的十六进制数值呢？？能否讲解得再仔细一些呢？烦请把步骤讲一下，谢谢了！！ 2015-7-13 17:42 0
stroot 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 1 关注私信	stroot 16 楼 1、如何在EXE文件中确定图片起始结束位置。 LOGO.png 所处的位置“0x0051FCEC ～ 0x0052A997”是我通过图片内容确定的... 虽然有点傻，但是对于单次任务还将就了（我第一次导出的结果就是logo.png）开头和结尾是通过查找PNG文件头的固定内容确定的。 PNG文件头具体有哪些固定内容请查看：https://en.wikipedia.org/wiki/Portable_Network_Graphics 2、怎么覆盖替换。这个是通过WinHex的Write ClipBoard (Ctrl + B)功能完成的：首先将光标定位到0x0051FCEC；然后按Ctrl + B将文件内容覆盖到以当前光标位置开始的区域。 2015-7-13 18:26 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 17 楼呵呵。。。明白了一点点，再研究研究。。。 2015-7-14 16:27 0
dzkaiwen 雪币： 268 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	dzkaiwen 18 楼 eXeScope v6.50 试试这个工具吧 2015-7-14 17:17 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 19 楼这工具无法做得到。。。 2015-7-14 17:21 0
armlinuxok 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	armlinuxok 20 楼建议用PEDIY中的其它获取图标工具要进行替换 2015-7-19 14:20 0
chingshe 雪币： 857 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	chingshe 21 楼不知道您是用什么工具提取出图片的？可以提取出来，不就可以写入吗？ 2015-7-20 06:27 0
ziyeziye 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 110 粉丝 0 关注私信	ziyeziye 22 楼怎么提取的？ 2015-7-21 09:41 0
YoungBai 雪币： 204 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 1 关注私信	YoungBai 23 楼用WINHEX十六进制搜索 89504E470D0A (这是PNG的文件头). 再搜索 89504E470D0A (这是PNG的文件尾). 你会看到搜索结果是成对出现的.这样就好办了.每一对都是一个PNG文件.我刚试了.第二对就是楼主的那个LOGO. 在WINHEX里面指定选块起始为文件头数据的地址.然后指定文件尾数据的地址为选块结束.然后编辑-复制选块-至新文件.然后保存这段数据块为*.png文件.至此这就是一个独立的PNG文件了. 其实要替换的话.也更简单了.用WINHEX打开你用来替换的图片.复制选块-正常-从被替换的那个文件的文件头位置-编辑-剪贴板数据-写入.这样就替换了. 不过替换之前先得对比一下两个文件的大小.如果被替换的图片比用来替换的图片大的话.就先用00来填充选块.然后再把要用来替换的数据块写入到文件头的地址.如果用来替换的图片比被替换的图片大的话.得先想办法把图片减少一下体积.不然写入以后会把后面不属于这个文件的数据块也替换了. 文件头: 文件尾: 替换后: 2015-7-26 21:23 0
小全技术雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	小全技术 24 楼 mark 2015-7-26 22:25 0
独行侠雪币： 195 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 33 粉丝 1 关注私信	独行侠 25 楼试了一下，成功了！！哈哈！谢谢 YoungBai 的详细解答！！ 2015-7-26 22:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复