从内存中加载Pe文件

最新推荐文章于 2023-08-30 00:52:02 发布
VIP文章 最新推荐文章于 2023-08-30 00:52:02 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: vcbcbdelphi的window编程 病毒汇编和调试逆向技术加脱壳 文章标签: null dll header mfc thread dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2298921
版权
从内存中加载 Pe 文件
 
作者:Sunline               [email protected] 日期:2007年7月
关键字: 代码重定位,代码注入,远程代码 , 加载 exe 文件 , 加载 dll 文件
Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memory, execute from meory
 
代码下载:
第二版:(代码几乎完全重写了一遍,修正了很多bug)
概述
在某些特殊场合下需要将Pe文件(.exe, .dll等)直接从内存中启动,比如一段验证软件注册的核心代码, 防Dump的代码, 一些补丁,外挂,当然病毒也常常用这种技术。网上流传了几种解决方案,不过都或多或少存在一些不足,最主要是对MFC程序和带有资源的Pe支持不稳定,或者需要按某些特殊的约定编程,总之不太适合初学者,我这里给出了一个PeBlock的解决方法,可以加载绝大多数的执行文件。
我的这个解决方案克服了前面提到的一些不足,但也没有做到完美。那就是推荐编译时给Pe文件带上重定位信息(一般的Dll是带的,编译自己的exe时需要使用/fixed:no 的编译选项产生重定位表)。更具体的信息请参看示例代码。
这里以库的方式给出LoadPe(…)在自身空间内加载Pe,和LoadPeEx(…)在其它进程空间加载Pe,欢迎大家测试使用。
另外,如果代码不要求加载.exe,仅要求支持Dll,适当修改源代码就可以做到近乎完美了。
具体实现
       Pe文件的加载大体过程是:申请Pe文件建议的内存地址,沿此地址将磁盘中的Pe文件按内存对齐拷贝到内存中,按节属性初始化节,初始化导入函数表,跳入Pe入口执行之。因为网上很早就有这方面知识的相关文章了,这里不再详细叙述,请自己从网上搜索。或参看Bo2000的源代码。
在测试Bo2000的源代码时发现可以使多数的简单.dll文件正确加载,却无法正确加载用MFC生成的.dll文件以及压缩过的可执行文件,仔细调试发现GetModuleFileName是罪魁祸首(另外BO2k里面dll_load存在好几个BUG,这也是其不稳定的直接原因.),调用这个函数将返回NULL,而一般的Dll编写者都默认这个返回结果不会是NULL,并且依赖这个返回结果。
既然找到了原因,那么就可以使用相应的对策来克服之。在这里,我是通过在Pe的映象尾部附加了一个PeBlock的块来解决这个问题(如果仅要求在进程本身加载.dll,这个PeBlock是没有必要的,但是为了能够在其它进程中加载和兼顾加载.exe,使用这个PeBlock是必要的),通过这个PeBlock,不但可以加载.dll,还可以加载.exe( 包括压缩的DLL和EXE.)。
注意:这些代码仅作测试,如果要用作非法用途,本人不承担任何法律责任。
其它细节请看打包的源工程文件。
源代码: 
// LoadPe.h
// 
// wirite by Sunline 13.July 2007
// 
#pragma once
         // 在内存中加载PE文件(主要支持EXE,DLL以及由之衍生的OCX,AX等)
         // 最原始的代码参见Bo2000中dll_load.cpp。
         // 要求:
         //               推荐带重定位信息,否则对于多数Pe文件是无法成功加载的。
         // 注意:
         //               仅在本人机器上测试,环境:CPU: Celeron 1.7G Memory: 256M OS:WinXp sp2 Complier: VC++6.0 Editor: VS2005
         //               支持Win2000,WinXp,Win2003,WinVista; 
         //               不支持WinMe,Win98,Win95以及更早的Windows产品
         // 限制:
         //               Commandline 应该是"ModuleFileName Param1 param2 ...", 如果ModuleFileName为空,GetModuleFileName将返回空,这对于多数程序是无法接受的。
         //               不支持通过间接途径或通过函数序号调用GetModuleHandle,GetModuleFileName,GetCommandLine且依赖这些函数其返回值的Pe文件。
         //               对于MFC程序,ModuleFileName必须带有"."(参看MFC源代码AppInit.cpp中CWinApp::SetCurrentHandles()函数,要求文件名中必须有"."的存在,比如"my.dll", "my.", ".my"都合法)。
         //               不支持动态链接的MFC程序(原因是在动态链接MFC库的程序中GetModuleHandle,GetModuleFileName,GetCommandLine是在MFC*.dll中调用,违反上述限制)。
         // 如何正确地使用:
         //               fSuicid是一个必须仔细考虑的一个标志:
         //                        设定了fSuicid,且Pe文件是多线程的,则应该保证ExeEntry或DllEntry是最后一个返回的线程,否则会卸载仍有活动线程的内存区域,导致线程访问已卸载的内存空间而出错。
         //                        带apiHook目的的Pe不应该指定fSuicid=TRUE;
 
         // 本人的英语能力有限,大约着用英语作了些注释,呵呵,促进国际化嘛
         // 
         // Load pe file from memory(support exe, dll or other pe file derived from exe/dll, for instances .ocx, .ax eg.)
         // the source file reference dll_load.cpp in Bo2000, you can get more details from it.
         // desire:
         //               desire the pe file with relocation information, or it will failed for most pe files.
         // notice:
         //               It's only test on my machion, Environment: CPU: Celeron 1.7G Memory: 256M OS:WinXp sp2 compile: VC++6.0 Editor: VS2005
         //               surpport Win2000,WinXp,Win2003,WinVista; 
         //               not surpport WinMe,Win98,Win95 or other early Windows os
         //               Commandline contain the modulename, so please assure the Commandline is not NULL
         // Limit:
         //               not surpport the pe file which depend on the GetModuleHandle,GetModuleFileName,GetCommandLine functions but call them indirect.
         //               not suport the pe file which use the MFC in a share dll
         //               CommandLine form as "ModuleFileName Param1 param2 ...", if ModuleFileName is NULL, GetModuleFileName() will return NULL,
         //                        for most pe file, the LoadPeXX() will failed, and 哪位英语好一点的仁兄有时间的话帮忙给把这补全啊, 哈哈, 上面这段英语估计中国人看不懂,外国人也看不懂
         //       
#ifdef __cplusplus
extern "C" {
   
#endif
        typedef int (__stdcall *PROCUNLOAD)(int uExitCode);
         HINSTANCE __stdcall _LoadLibraryA( LPVOID lpRawRelocPe, LPCSTR lpLibFileName);
         HINSTANCE __stdcall _LoadLibraryW( LPVOID lpRawRelocPe, LPCWSTR lpLibFileName);
         HINSTANCE __stdcall _LoadLibraryExA(LPVOID lpRawRelocPe, LPCSTR lpLibFileName, HANDLE hFile, DWORD dwFlags);
         HINSTANCE __stdcall _LoadLibraryExW(LPVOID lpRawRelocPe, LPCWSTR lpLibFileName, HANDLE hFile, DWORD dwFlags);
         BOOL      __stdcall      _FreeLibrary(   HMODULE hLibModule);
 
         HANDLE __stdcall LoadPeA(LPVOID lpRawRelocPe, LPCSTR lpCommandLine, HINSTANCE *phInst = NULL, BOOL fSuicid = FALSE, PROCUNLOAD *pfUnload = NULL); // if fSuicid is FASLE, the pfUnload should NOT be NULL;
         HANDLE __stdcall LoadPeW(LPVOID lpRawRelocPe, LPCWSTR lpwCommandLine, HINSTANCE *phInst = NULL, BOOL fSuicid = FALSE, PROCUNLOAD *pfUnload = NULL);
         HANDLE __stdcall LoadPeExA(DWORD dwProcessID, LPVOID lpRawRelocPe, LPCSTR lpCommandLine, HINSTANCE *phRemotInst = NULL, BOOL fSuicid = FALSE, PROCUNLOAD *pfUnload = NULL);
         HANDLE __stdcall LoadPeExW(DWORD dwProcessID, LPVOID lpRawRelocPe, LPCWSTR lpwCommandLine, HINSTANCE *phRemotInst = NULL, BOOL fSuicid = FALSE, PROCUNLOAD *pfUnload = NULL);
 
        int __stdcall UnloadPe(PROCUNLOAD pFouncUnload);
        int __stdcall UnloadPeEx(DWORD dwProcessID, PROCUNLOAD pFouncUnload);
         FARPROC __stdcall _GetProcAddress(HMODULE hModule, LPCSTR FuncName);
#ifdef __cplusplus
}
#endif
 
#ifdef UNICODE
         #define LoadPe LoadPeW
         #define LoadPeEx LoadPeExW
#else
         #define LoadPe LoadPeA
         #define LoadPeEx LoadPeExA
#endif
 
 
 
// LoadPe.cpp
#include <windows.h>
#include "libc.h"
#include "RawPeApi.h"
#include "LoadPe.h"
 
extern unsigned char pRawPeBlock[];
char * pzUnLoad = "UnLoad"; // the export function UnLoad name string;
 
// if function succed return the new thread handle, lphInstance point to the memPe instance, pfUnload point to the address to unload the instance
// otherwise return NULL;
HANDLE __stdcall LoadPeA(LPVOID lpRawRelocPe, LPCSTR lpCommandLine, HINSTANCE *phInst, BOOL fSuicid, PROCUNLOAD *pfUnload)
{
         HANDLE hRet = NULL;
        int nCmdLineLen = lstrlenA(lpCommandLine) + 1;
         PWCHAR pwCmdLine = (PWCHAR)_malloc(nCmdLineLen * sizeof(WCHAR));
        if ( MultiByteToWideChar(CP_THREAD_ACP, MB_COMPOSITE, lpCommandLine, -1, pwCmdLine, nCmdLineLen))
                 hRet = LoadPeW(lpRawRelocPe, pwCmdLine, phInst, fSuicid, pfUnload);
         _free(pwCmdLine);
        return hRet;
}
 
HANDLE __stdcall LoadPeW(LPVOID lpRawRelocPe, LPCWSTR lpwCommandLine, HINSTANCE *phInst, BOOL fSuicid, PROCUNLOAD *pfUnload)
{
        int nRet = ERROR_UNKNOWN;
        int nPeBlockImageSize = 0;
        int nRawRelocPeImageSize = 0;
        int nCmdLineLenA = 0; // the string length for commandlinea include the end flag.
        int nCmdLineLenW = 0;
        int nMemNead = 0;
         HANDLE hRet = 0;
         LPVOID lpPeBlock = NULL;
         LPVOID lpRelocPe = NULL;
         LPWSTR lpwCmdLine = NULL; // point to the WideByte commandline in lpPeblock
         LPSTR lpCommandLine = NULL; // multibyte commandline;
         LPSTR lpCmdLine = NULL; // point to the multibyte commandline in lpPeblock
         LPPEPARAM pPeParam = NULL;
         MEMORY_BASIC_INFORMATION mbi = { 0};
         PIMAGE_DOS_HEADER pDosHeader = NULL;
         PIMAGE_NT_HEADERS pN
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pe研究之:从内存加载Pe文件(代码重定位,进程隐藏,代码注入)
Dustfly的专栏
08-17 1万+
  Pe研究之: 从内存加载Pe文件 作者:Sunline              [email protected] 日期:2007年7月关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件Remotthread, injectcode, relocation code, load dll from memory, load pe
Spring Cloud gateway 三种方式注入内存马(详细过程)
pyth0zn的博客
04-19 876
1.提交请求包的时候一定要注意类路径要写正确,我有好几次不成功都是没写对2.最好用java 1.8 编译字节码,兼容性比较好,不然会出现服务器版本和本地编译不一致的情况CVE-2022-22947 注入哥斯拉内存马 – Whwlsfb's Tech BlogSpring Cloud Gateway 注入哥斯拉内存马复现 - 国产大熊猫个人空间 - OSCHINA - 文开源技术交流社区Spring cloud gateway通过SPEL注入内存马 | 回忆飘如雪。
win10 x64实现内存注入DLL
weixin_41725706的博客
11-29 2026
win10 x64内存注入DLL,可以躲避相关api检测模块
Windows注入与拦截(6) -- 从内存加载DLL
热门推荐
while(1) { smile(); }
04-09 4万+
Windows提供的API(LoadLibrary, LoadLibraryEx)只支持从文件系统上加载DLL文件,我们无法使用这些API从内存加载DLL。 但是有些时候,我们的确需要从内存加载DLL,比如: 对发布的文件数量有限制。我们可以将DLL打包到exe的资源,程序运行时从调用LoadResource等API读取DLL文件内存,然后从内存加载DLL。 需要对DLL进行压缩...
滴水逆向三期 内存注入/无模块注入
四位的博客
01-05 2844
找文章看了一下, 讲的很好, 但是地址没了…尴尬, 03年的技术, 大致内容就是介绍了两种注入技术, 一个为常规的远程线程注入, 另一个就是内存注入. 只不过文章思路是只插入一段代码, 也就是编写shellcode. 而无模块注入则是将模块整体以内存写入的形式加载实现隐藏 . 杀软依然秒杀…但是我封装起来写后就检测不到, 特征码竟然消失了… 原理与问题 思路是将自己复制一份加载到目标进程, 即注入进程和寄生程序是一个东西.不过想想也知道, 注入dll也是一个原理, 无非是拉伸之后再贴到目标进程, 最后依然
windows内存加载PE.rar
08-17
包含内存加载exe文件的简明步骤和源码。
如何在内存加载DLL
11-14
首先介绍了windows PE文件格式,然后在此基础上,阐述了windows系统是如何加DLL的,最后描述了在内存加载DLL的方法
内存加载dll
10-08
内存资源加载dll 不需释放资源文件
pe-loader:Windows PE格式的文件加载
05-15
Windows可执行文件加载器这是Windows PE格式的文件加载器应用程序,提供与OS内部可执行文件加载器类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像...
DLL加载器-远程线程注入(常规dll注入)
最新发布
bring_coco的博客
08-30 892
注入思路 先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可 简单例子: D:\VS项目\Dll3\x64\Debug\Dll3.dll kernel.dll加载的地址在所有进程都是一样的 https://zhuanlan.zhihu.com/p/599915628?utm_id=0 DLL进程注入 dll注入器 生成dll-2-1.exe 这里注入的exe是notepad++,找到其进程,注入的dll是我cs生成的beacon.dll 主要思路是:
写一个PE的壳_Part 1:加载PE文件内存
可乐松子的博客
05-25 1092
前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱壳很有帮助 下面是结合自己的实践写的笔记,不是教程的原版翻译 教程主要实现的壳的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
X64位内存注入DLL技术(可躲避检测DLL,破解盗用DLL)
hzw320的博客
03-02 1万+
说到易语言对64位进程注入dll方面, 虽然我们Game-EC模块里面已经有对64位程序进行注入dll的功能了,但是 在这几天新年里,除了忙着像大多数人一样走亲访友拜年,剩余的时间也没闲着,研究开发了另外一种对64位程序进程进行注入dll的功能,今天给大家带来的是最近开发的新功能里面其一个64位内存注入dll,也是属于64位游戏辅助开发方面的。 因为之前有不少开发64位游戏辅助的学员建议我,希望能出个隐藏64位dll的功能就好了,因为注入游戏dll经常遇见被游戏枚举dll方法就能检测到是否有第三方dll
内存写入注入
weixin_44711063的博客
03-06 2432
内存写入注入 如果进程A本身就给了其他进程申请和写入空间的权限,那我只要将模块复制到指定进程A的空间里面,再修改一些表,再利用远程线程或者hook也就能让我们的模块在进程A运行,这就是内存写入注入 思路 只要我进程A允许进程B有写入操作就可以实现注入。这样实现了隐藏模块的注入 拓展:若是不允许别的进程有写入操作,但应该也会允许系统进程有写入操作,只要我将注入功能注入到系统进程里面,让系统进程进程A进行内存写入注入就可以了。相当于内存写入注入+伪装合法软件注入 步骤 1、内存写入: 获取当前模块句柄,得
内存写入 隐藏模块注入
pluginL的博客
09-11 1396
思路: 1.获取自身SizeOfImage ImageBase 2.远程申请注入进程SizeOfImage大小的内存 内存位置随机 获得内存位置:ProcessAddr 3.申请一段SizeOfImage大小缓冲区,写入自身程序 内存位置:ImageBase 4.修复Image重定位表(参数为:ProcessAddr) 5.写入缓冲区ProcessAddr,SizeOfImage 6.远程线程申请入口点为DWORD WINAPI(LPVOID lparameter) 7.入口点修复导入表,因为
如何在内存执行二进制代码之win平台
百里杨的博客
06-07 2229
大家可能会很好奇,我们的任意exe程序,不就是在内存执行的二进制机器码吗? 不,今天我要说的是,我们如何把实现指定功能的一段二进制机器码,放到我们的程序,然后在需要的时候,直接调用它。 当然,这段代码也有其他用途,故而有了shell code的昵称,参考百度百科: https://baike.baidu.com/item/shellcode/4051847?fr=aladdin 思考: 我们需要解决以下问题 二进制代码从哪里来? c/c++如何调用它? 这些问题,接下来,都会得到解决。 不过,我们
利用代码来启动exe文件
a135450的专栏
03-31 1032
void ReadFile(CString FileName)//fileName路径文件存放exe文件的路径,可以一次启动多个exe文件。 {    //TCHAR szBuf[1024];  FILE* pfile = fopen( FileName, "r" ); // 打开文件  exesl=0; int i=0,n=0; char buf[1024]; while (!f
内存加载并启动一个exe
Tunix126的专栏
07-17 1439
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件加载并启动。 而下面这段代码就是提供一种可以直接从内存启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储,只要运行时能将exe的内容正确拼接到一块内存,就可以直接从内存启动,而不必不安全地去生成一个临时文件再从临时文件启动进程。另外这段代码也提供了一种自己写
PE(dll、exe)文件内存加载(手动映射)小记
qq_31314583的博客
09-28 2099
前言 PE文件即Windos操作系统下的可执行文件文件结构名称,其包含但不限于.dll .exe .sys .ocx等等。内存加载PE顾名思义就是通过内存,而非文件。这里的内存指代的是直接加载源。 这个技术其实很早之前就有了,网上也有很多开源可参考的代码,但是仅做一个伸手党那是绝对不行的,首先这些历史悠久的代码存在或多或少的bug,或莫名的崩溃咯,或32和64不兼容咯,各种问题皆是。当然,这些前辈先贤的代码一定是具有非常大的参考和开拓意义的。 技术用途 ...
pe加载加载mfc
08-27
然后,加载器会遍历PE文件的节表,加载每个节到内存,并按照特定的顺序将节的代码和数据复制到进程的地址空间。 对于使用MFC开发的可执行文件加载器会识别并加载MFC相关的节。这些节包含MFC框架所需的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值