注释PEMaker6源代码(三)

于 2007-09-26 09:10:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: image import dll c++builder header delete
今天大概看了一下精华8《向PE中注入代码》的译文,之前没有仔细看过,因为发现看过之后对源代码还是不是很明白,所以就没有参照这篇译文进行注释,大多都是自己理解+网上搜索,今天发现很多地方有失误。  
大框的地方一定要参照译文,不要被我蒙蔽了。  
继续注释CPECryptor类,如下:
//在pecrypt.cpp里,我提供了另外一个类――CPECryptor,用它组建新区段的数据。
//然而,新区段的数据是被loader.cpp里的DynLoader()(在DynLoader Step 1中介绍的)创建的。
//因此,我们用CPECryptor类把这些数据(也有其它的数据)输入新区段。
//看完这段翻译基本没懂
const  char *szWindowsAPIs[]=
{
     "Kernel32.dll",
     "GetModuleHandleA",
     "VirtualProtect",
     "GetModuleFileNameA",
     "CreateFileA",
     "GlobalAlloc",
     "VirtualAlloc",
     "LoadLibraryA",
     "GetProcAddress",
    0,
     "User32.dll",
     "MessageBoxA",
    0,
    0,
};
//================================================================
//----------------------------------------------------------------
// Function: ReturnToBytePtr
// void* FuncNum:   Function Name
// DWORD findstr:   String to find
// This code was written by FEUERRADER [AHTeam], Thanks him!
//在loader.cpp文件中的DynLoader函数里寻找指定字符串,并返回其地址
void* CPECryptor::ReturnToBytePtr( void* FuncName, DWORD findstr)
{
     void* tmpd;
     __asm
    {
         mov  eax, FuncName
         jmp df
hjg:     inc  eax
df:         mov  ebx, [ eax]
         cmp  ebx, findstr
         jnz hjg
         mov tmpd,  eax
    }
     return tmpd;
}
//================================================================
//此函数构建新节及导入表----------------------------------------------------------------
void CPECryptor::CryptFile( int( __cdecl *progress) ( unsigned  intunsigned  int))
{
    PCHAR ch_temp;
    PIMAGE_SECTION_HEADER pimage_section_header;
    DWORD dwNewSectionSize;
    DWORD dwCodeSize;
    DWORD dwCodeOffset;
     //进度条控件----------------------------------------
    progress(0,0);
     //是否DLL
     if((image_nt_headers->FileHeader.Characteristics&IMAGE_FILE_DLL)==IMAGE_FILE_DLL)
    {
         //构造CITMaker类
        ImportTableMaker =  new CITMaker(IMPORT_TABLE_OCX);
    }
     else
    {
        ImportTableMaker =  new CITMaker(IMPORT_TABLE_EXE);
    }
     //----------------------------------------
     //========================================
     //ch_temp指向DYN_LOADER_START_MAGIC之后的地址
    ch_temp=(PCHAR)DWORD(ReturnToBytePtr(DynLoader, DYN_LOADER_START_MAGIC))+4;
     //计算DynLoader函数代码长度
    dwCodeSize=DWORD(ReturnToBytePtr(DynLoader, DYN_LOADER_END_MAGIC))-DWORD(ch_temp);
     //自定义导入表大小
    dwCodeOffset = ImportTableMaker->dwSize;
     //新节大小=DynLoader函数代码长度+自定义导入表大小
    dwNewSectionSize = dwCodeSize + ImportTableMaker->dwSize;
     //分配空间
    pNewSection= new TCHAR[dwNewSectionSize];
     //复制DynLoader函数代码到偏移dwCodeOffset的位置之后
    memcpy(pNewSection+dwCodeOffset, ch_temp, dwCodeSize);
     //========================================
     //----------------------------------------
     //添加新节,并返回新节指针
    pimage_section_header=AddNewSection( ".xxx",dwNewSectionSize);
     //----------------------------------------
     //========================================
     //参数为新节在内存的偏移地址
    CopyData1(pimage_section_header->VirtualAddress);
     //参数同上,构建自定义导入表
    ImportTableMaker->Build(pimage_section_header->VirtualAddress); // build import table by the current virtual address
     //构建的导入表在新节数据前,注意相互位置
    memcpy(pNewSection, ImportTableMaker->pMem, ImportTableMaker->dwSize);
     //========================================
     //将新节数据复制到image_section(已经初始化)----------------------------------------
    memcpy(image_section[image_nt_headers->FileHeader.NumberOfSections-1],
           pNewSection,
           dwNewSectionSize);
     //入口地址更改为新节的DynLoader函数代码处
    image_nt_headers->OptionalHeader.AddressOfEntryPoint=pimage_section_header->VirtualAddress + dwCodeOffset;
     //导入表地址更改为新导入表地址
    image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress=pimage_section_header->VirtualAddress;
    image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size=ImportTableMaker->dwSize;
    image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress=0;
    image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size=0;
    SetSectionsWritePermission();
     //----------------------------------------
     delete []pNewSection;
     delete ImportTableMaker;
     //----------------------------------------
    progress(100,0);
}
//这个结构对应DynLoader函数里DYN_LOADER_START_DATA1标志后面的东西,具体
//是自定义结构?请高手指点,本人水平到此,分析不出了
//译文:为了找到OEP的virtual address,我们立即保存原始的OEP和Image Base。
//我在DynLoader()的尾部预留了一块空地来保存它们
typedef  struct
{
     //保留
    DWORD dwReserved1;
     //文件类型
    DWORD dwFileType;
     //基地址
    DWORD dwImageBase;
     //原始入口点
    DWORD dwOrgEntryPoint;
     //导入表虚拟地址
    DWORD dwImportVirtualAddress;
     //重定位表虚拟地址及大小
    DWORD dwRelocationVirtualAddress;
    DWORD dwRelocationSize;
     //TLS
    IMAGE_TLS_DIRECTORY32 image_tls_directory;
}t_DATA_1,*pt_DATA_1;
//此函数将实际数据填充到DynLoader函数指定位置里
void CPECryptor::CopyData1(DWORD dwVirtualAddress)
{
     int i, API_num;
    PCHAR pData1;
    DWORD dwOffset;
    size_t l;
    UCHAR temp;
     //为结构分配内存
    pt_DATA_1 pDataTable= new(t_DATA_1);
     //----------------------------------------
     //保留,0xcccccccc应该没有意义
    pDataTable->dwReserved1=0xCCCCCCCC;
     //如果为DLL,填入文件类型
     if((image_nt_headers->FileHeader.Characteristics&IMAGE_FILE_DLL)==IMAGE_FILE_DLL)
        pDataTable->dwFileType=IMPORT_TABLE_OCX;
     else
        pDataTable->dwFileType=IMPORT_TABLE_EXE;
     //填充镜像首地址
    pDataTable->dwImageBase=image_nt_headers->OptionalHeader.ImageBase;
     //填充入口点
    pDataTable->dwOrgEntryPoint=image_nt_headers->OptionalHeader.AddressOfEntryPoint;
     //填充导入表地址(RVA)
    pDataTable->dwImportVirtualAddress=image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
     if((image_nt_headers->FileHeader.Characteristics&IMAGE_FILE_DLL)==IMAGE_FILE_DLL)
    {
         //如果是DLL,填充重定位表
        pDataTable->dwRelocationVirtualAddress=image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress;
        pDataTable->dwRelocationSize=image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size;
    }
     //前面已经将DynLoader函数读入我们申请的内存中----------------------------------------
     //故在pNewSection指向的内存中找到DYN_LOADER_START_DATA1标志,返回地址
    pData1=(PCHAR)ReturnToBytePtr(pNewSection, DYN_LOADER_START_DATA1);
     //看了好几个TLS了,是什么?
     //通过使用线程本地储存(TLS),一个程序能够执行多线程程序,
     //这样子的程序大多数是用Borland链接器:Delphi和C++, Builder. 
     //当你包装一个PE文件时,你应该小心的清空TLS,
     //否则,你的打包器就不支持Borland Delphi 和 C++ Builder链接的EXE文件。
     //修正可选头部TLS目录入口是很有必要的。
     if(image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].VirtualAddress!=0)
    {
         //image_tls_directory定义在pelib.cpp中
        memcpy(&pDataTable->image_tls_directory,
                image_tls_directory,
                 sizeof(IMAGE_TLS_DIRECTORY32));
        dwOffset=DWORD(pData1)-DWORD(pNewSection);
         //计算偏移
        dwOffset+= sizeof(t_DATA_1)- sizeof(IMAGE_TLS_DIRECTORY32);
         //更新文件头,指向新的TLS表
         //传递的参数在这里应用
        image_nt_headers->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].VirtualAddress=dwVirtualAddress + dwOffset;
    }
     //替换为实际数值----------------------------------------
    memcpy(pData1,pDataTable, sizeof(t_DATA_1));
    dwOffset= sizeof(t_DATA_1);
    i=API_num=0;
    temp=0;
     //循环填充实际数值
     do
    {
        l=strlen(szWindowsAPIs[i])+1;
         //复制动态库名
        memcpy(pData1+dwOffset,szWindowsAPIs[i],l);
         //偏移长度
        dwOffset+=l;
         do
        {
            i++;
             if(szWindowsAPIs[i]!=0)
            {
                 //复制下一个函数名
                l=strlen(szWindowsAPIs[i])+1;
                memcpy(pData1+dwOffset,szWindowsAPIs[i],l);
                dwOffset+=l;
                 //API数量
                API_num++;
            }
             else
            {
                 //放置0
                CopyMemory(pData1+dwOffset,&temp,1);
                dwOffset++;
            }
        } while(szWindowsAPIs[i]!=0);
        i++;
    }
     while(szWindowsAPIs[i]!=0);
     //----------------------------------------
     delete pDataTable;
}
//----------------------------------------------------------------
void CPECryptor::SetSectionsWritePermission()
{
     for( int i=0;i<image_nt_headers->FileHeader.NumberOfSections;i++)
    {
         //设置所有表的标志
        image_section_header[i]->Characteristics=0xC0000040;
    }
}
//----------------------------------------------------------------
 
iiprogram
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE系统压缩包
12-26
装机所需的PE系统文件 用PE系统进行装机的时候需要把这个zip解压到装机盘中
注释PEMaker6源代码(一)
09-26 1071
这两天看了精华8的“向导入表中注入代码“这篇文章,对阅读PEMaker6源代码进行了部分注释,要不总是忘了哪一部分是什么功能,为了增加点发帖量,将注释过的几个类逐一整理后发布,老鸟就无需看了,也是为了自己加强学习。这篇介绍CPELibrary类的功能:找回并重建PE文件(具体可参照加壳技术->加壳软件的编写->向PE中注入代码)类定义:class CPELibrary {private:  //-
导入表内注入代码(一)
domisou
09-23 1954
 导入表内注入代码(一)作者: Ashkbiz Danehkar翻译:小刀人原文出处下载源代码(包括:itview.zip (87.1 KB) pemaker6.zip (96.6 KB) pemaker7.zip (193 KB)zimport.zip (130 KB)。译注:本文代码可在VS2003及WINDOWSXP+sp2下正常运行,Windows2000下ITview功能
小米便签源代码+注释
01-04
小米便签的源代码及详细注解,可供新学Java的同学借鉴代码风格
JDK7-带注释源代码
07-05
很详细的中文注释; 中英对照的方式,既可以学到英语,又可以看懂原作者写的什么。 可以到:https://truedei.blog.csdn.net/article/details/107134278 查看自己是否需要,再下载。
VS c# 生成 文档 注释 源代码
05-07
使用说明:在项目-属性-生成-输出-输出XML文档注释。然后用本软件打开此文档。在datagrid按CTRL+A复制到Word。在word中选择表格-设计-选择任一模板,表格线就变单线了。
基于Scala的Apache Spark源代码注释与翻译设计源码
04-05
本资源提供了一套基于Scala语言的Apache Spark源代码注释与翻译的设计源码,包含8170个文件。其中包括2245个Questionnaire文件,1297个Scala源代码文件,249个Java源代码文件,154个TXT文档,90个Python脚本文件,56...
linux内核0.11完全注释_linux_注释_源代码_
10-04
Linux内核0.11完全注释,有章级目录,Linux0.11源代码已经打包进去了。
大学生创新创业训练计划经验分享.zip
04-25
大学生创新创业训练计划(以下简称为“大创计划”)是一项旨在提升大学生创新能力和创业精神的实践活动。通过这项计划,学生可以在导师的指导下,自主开展研究性学习和创业实践。下面我将分享一些关于大创计划的经验和建议。
node-v12.22.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
毕业设计-The coding solutions of Leetcode and 剑指Offer using .zip
04-25
这里为你收集整理了关于毕业设计、课程设计可参考借鉴的资料一份,质量非常高,如果你投入时间去研究几天相信肯定对你有很大的帮助。到时候你会回来感谢我的。 本资源是经过本地编译测试、可打开、可运行的项目、文件或源码,可以用于毕业设计、课程设计的应用、参考和学习需求,请放心下载。 祝愿你在这个毕业设计项目中取得巨大进步,顺利毕业! 但还需强调一下,这些项目源码仅供学习和研究之用。在使用这些资源时,请务必遵守学术诚信原则和相关法律法规,不得将其用于任何商业目的或侵犯他人权益的行为。对于任何因使用本资源而导致的问题,包括但不限于数据丢失、系统崩溃或安全漏洞,风险自担哦!
【微信小程序毕业设计】宠物店商城系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】宠物店商城系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:282】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 本系统实现的是和宠物相关的信息管理和发布,加入了商品销售的功能。操作角色为管理员和用户、商家,管理员的功能为用户管理、商家管理、宠物分类管理、宠物信息管理、商品分类管理、宠物用品管理、项目类型管理、服务项目管理、宠物日志管理、订单管理等;用户的功能为购买宠物、商品、预约服务发表日志管理订单等。商家功能为提供宠物、宠物用品、宠物服务,管理订单和服务预约等。
雷迪森的工具包(95分以上课程大作业).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
node-v9.10.1.tar.xz
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于B2C的网上拍卖系统_秒杀与竞价.zip
04-25
基于B2C的网上拍卖系统主要用于帮助人们应用互联网方便快捷买到自己所中意的商品,并参与到秒杀与竞拍当中。 主要功能包括: 1.前台模块 (1)普通用户登录/注册。 (2)分类查看商品(普通商品与促销商品) (3)查看商品详细信息 (4)查看秒杀商品 (5)查看竞拍商品 (6)将商品加入购物车 (7)购买,结算功能 (8)留言 2.后台模块 (1)修改密码 (2)商品管理: -- 编辑/删除 -- 设置/取消促销 (3)秒杀商品:设置/取消秒杀 (4)竞拍商品:设置/取消竞拍 (5)订单管理:查看订单 (5)留言管理:查看/删除留言 项目访问路径: 前台:http://localhost:8080/sale 后台:http://localhost:8080/sale/user/adminlogin
【前端素材】大数据-政务大数据共享交换平台.zip
04-25
大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具: Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。 Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce更快的数据处理能力。它支持内存计算和更多复杂的数据处理流程。 NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则更适用于处理这类数据。 数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。 数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。 机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。 流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。
【前端素材】大数据-气象预报大数据平台.zip
04-25
大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具: Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。 Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce更快的数据处理能力。它支持内存计算和更多复杂的数据处理流程。 NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则更适用于处理这类数据。 数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。 数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。 机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。 流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。
数学模型算法多目标决策分析方法.pptx
04-25
数学模型算法
############ 光电传感器的描述
04-25
光电传感器
grbl运动控制源代码+中文注释
06-20
Grbl是一款开源的运动控制程序,为了增强代码的可读性,Grbl的源代码中附有中文注释,方便开发者理解和调试程序。 Grbl的中文注释涉及的内容包括:存储、运动控制、状态指示、报警和通信等方面。在存储方面,注释...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值