PE文件(四)FileBuffer-ImageBuffer作业

已于 2024-05-19 20:53:31 修改
阅读量133 收藏
点赞数 3
文章标签: pe文件
于 2024-05-07 18:27:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78838647/article/details/138541134
版权
C语言实现如下功能

FileBuffer转ImageBuffer

1.根据Sizeofimage分配ImageBuffer空间

2.复制头 sizeofheader获取文件对齐后所有头和节表大小

3.利用循环,PointtoRaw获取节在FileBuffer中地址,利用SizeofRawData获取要复制的数据大小

ImageBuffer转NewBuffer

1.找到最后一个节的起始位置加上其对齐大小就是所需要的NewBuffer内存大小

2.复制所有的头到NewBuffer

#include<stdio.h>
#include<Windows.h>
#include<string.h>
DWORD ReadPEFileSize(const char* lpszFile) //将一个文件的硬盘内存数据读取到自定义的文件内存缓冲区
{
	FILE* pFile = NULL;
	pFile = fopen(lpszFile, "rb");
	DWORD FileSize = 0;
	if (!pFile)
	{
		printf("无法打开EXE文件");
		return 0;
	}
	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	return FileSize;
}
char* ReadPEFile(const char* lpszFile)
{
	FILE* pFile = NULL;
	pFile = fopen(lpszFile, "rb");
	DWORD FileSize = ReadPEFileSize(lpszFile);
	fseek(pFile, 0, SEEK_SET);
	char* pFileBuffer = NULL;
	pFileBuffer = (char*)malloc(sizeof(char) * FileSize);
	if (!pFileBuffer)
	{
		printf("分配空间失败");
		fclose(pFile);
		return 0;
	}
	size_t i = fread(pFileBuffer, FileSize, 1, pFile);
	if (!i)
	{
		printf("读取数据失败!");
		free(pFileBuffer);
		fclose(pFile);
		return 0;
	}
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pFileBuffer;
	IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((char*)pFileBuffer + pDosHeader->e_lfanew); //(char*)pFileBuffer只有此处转换为了char*类型,之后加减是为char的大小为一个单位进行加减
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效MZ标志,结束\n");
		free(pFileBuffer);
		fclose(pFile);
		return 0;
	}
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志,打印结束\n");
		free(pFileBuffer);
		pFileBuffer = NULL;
		return 0;
	}
	fclose(pFile);
	return pFileBuffer;
}
void FileBufferToImageBufferToNewBuffer(const char* lpszFile)
{
	char* pFileBuffer = ReadPEFile(lpszFile); //获取自定义文件内存缓冲区指针
	if (pFileBuffer == NULL)
	{
		printf("缓冲区指针无效\n");
		return;
	}
	DWORD FileSize = ReadPEFileSize(lpszFile);//获取硬盘上文件大小
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pFileBuffer; //获取自定义文件内存缓冲区DOS头指针
	IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((char*)pFileBuffer + pDosHeader->e_lfanew); //获取NT头指针
	IMAGE_FILE_HEADER* pFileHeader = (IMAGE_FILE_HEADER*)((char*)pNTHeader + 4);//获取标准PE头指针
	IMAGE_OPTIONAL_HEADER* pOptionHeader = (IMAGE_OPTIONAL_HEADER*)((char*)pFileHeader + 20);//获取可选PE头指针
	IMAGE_SECTION_HEADER* pSecHeader = (IMAGE_SECTION_HEADER*)((char*)pOptionHeader + pFileHeader->SizeOfOptionalHeader); // 获取文件节表指针
	char* pSecBuffer = (char*)pDosHeader + pSecHeader->PointerToRawData; //获取第一个节的指针
	char* ImageBuffer = (char*)malloc(pOptionHeader->SizeOfImage); //开辟自定义的文件的虚拟内存大小
	if (ImageBuffer == NULL)
	{
		printf("申请虚拟内存失败\n");
		return;
	}
	memset(ImageBuffer, 0, pOptionHeader->SizeOfImage); //初始化虚拟内存
	memcpy(ImageBuffer, pFileBuffer, pOptionHeader->SizeOfHeaders); //将文件内存头字段数据复制到虚拟内存
	IMAGE_DOS_HEADER* iDosHeader = (IMAGE_DOS_HEADER*)ImageBuffer; //获取自定义虚拟内存内存缓冲区DOS头指针
	IMAGE_OPTIONAL_HEADER* iOptionHeader = (IMAGE_OPTIONAL_HEADER*)((char*)iDosHeader + iDosHeader->e_lfanew + 4 + 20);//获取可选PE头指针
	IMAGE_SECTION_HEADER* iSecHeader1 = (IMAGE_SECTION_HEADER*)pSecHeader; // 获取虚拟内存节表指针
	IMAGE_SECTION_HEADER* iSecHeader2 = iSecHeader1;后续内存转硬盘用
	char* iSecBuffer1 = (char*)iDosHeader + iSecHeader1->VirtualAddress; //保存第一个节的指针
	char* iSecBuffer2 = iSecBuffer1; //后续内存转硬盘用
	for (int i = 0; i < pFileHeader->NumberOfSections; i++)//循环将文件内存的节表数据复制到虚拟内存中
	{
		memcpy((char*)iDosHeader + iSecHeader1->VirtualAddress, (char*)pDosHeader + pSecHeader->PointerToRawData, pSecHeader->SizeOfRawData); //复制文件内存节表数据
		pSecHeader++; //指向硬盘下一个节表
		iSecHeader1++;//指向内存下一个节表
	}
	pFileBuffer = NULL;
	char* NewFileBuffer = (char*)malloc(FileSize); //申请新文件内存,此处开始内存转硬盘
	if (NewFileBuffer == NULL)
	{
		printf("申请虚拟内存失败\n");
		return;
	}
	memset(NewFileBuffer, 0, FileSize);
	memcpy(NewFileBuffer, ImageBuffer, iOptionHeader->SizeOfHeaders);
	IMAGE_DOS_HEADER* NewDosHeader = (IMAGE_DOS_HEADER*)NewFileBuffer;
	IMAGE_SECTION_HEADER* NewSecHeader = (IMAGE_SECTION_HEADER*)iSecHeader2;
		for (int i = 0; i < pFileHeader->NumberOfSections; i++)
		{
			memcpy((char*)NewDosHeader + NewSecHeader->PointerToRawData, (char*)iDosHeader + iSecHeader2->VirtualAddress, iSecHeader2->SizeOfRawData);
			iSecHeader2++;
			NewSecHeader++;
		}
	free(ImageBuffer);
	free(NewFileBuffer);
}

int main(int argc, char* argv[])
{
	const char* lpszFile = "C:\\Windows\\notepad.exe";
	FileBufferToImageBufferToNewBuffer(lpszFile);
	return 0;
}

2.编写一个函数,将RVA的值转换成FOA
将文件加载到内存时,已知一个数据在内存中的地址,将此地址转化成文件在上时的相对于文件起始地址的文件偏移地址。即将虚拟内存偏移地址转换成文件偏移地址。

由于FileBuffer到ImageBuffer中,节中会有数据被初始化,这里目前来说无法解决,所以就假设节中没有未被初始化的数据,或者拉伸后未被初始化数据不影响地址转化

#include<stdio.h>
#include<Windows.h>
#include<string.h>
DWORD ReadPEFileSize(const char* lpszFile) //将一个文件的硬盘内存数据读取到自定义的文件内存缓冲区
{
	FILE* pFile = NULL;
	pFile = fopen(lpszFile, "rb");
	DWORD FileSize = 0;
	if (!pFile)
	{
		printf("无法打开EXE文件");
		return NULL;
	}
	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	return FileSize;
}
char* ReadPEFile(const char* lpszFile)
{
	FILE* pFile = NULL;
	pFile = fopen(lpszFile, "rb");
	DWORD FileSize = ReadPEFileSize(lpszFile);
	fseek(pFile, 0, SEEK_SET);
	char* pFileBuffer = NULL;
	pFileBuffer = (char*)malloc(sizeof(char) * FileSize);
	if (!pFileBuffer)
	{
		printf("分配空间失败");
		fclose(pFile);
		return NULL;
	}
	size_t i = fread(pFileBuffer, FileSize, 1, pFile);
	if (!i)
	{
		printf("读取数据失败!");
		free(pFileBuffer);
		fclose(pFile);
		return NULL;
	}
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pFileBuffer;
	IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((char*)pFileBuffer + pDosHeader->e_lfanew);
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效MZ标志,结束\n");
		free(pFileBuffer);
		pFileBuffer = NULL;
		return FALSE;
	}
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志,打印结束\n");
		free(pFileBuffer);
		pFileBuffer = NULL;
		return FALSE;
	}
	fclose(pFile);
	return pFileBuffer;
}
void RVAtoFOA(const char* lpszFile)
{
	char* pFileBuffer = ReadPEFile(lpszFile); //获取自定义文件内存缓冲区指针
	IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)pFileBuffer; //获取自定义文件内存缓冲区DOS头指针
	IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((char*)pFileBuffer + pDosHeader->e_lfanew) ; //获取NT头指针
	IMAGE_FILE_HEADER* pFileHeader = (IMAGE_FILE_HEADER*)((char*)pNTHeader + 4);//获取标准PE头指针
	IMAGE_OPTIONAL_HEADER* pOptionHeader = (IMAGE_OPTIONAL_HEADER*)((char*)pFileHeader + 20);//获取可选PE头指针
	IMAGE_SECTION_HEADER* pSecHeader = (IMAGE_SECTION_HEADER*)((char*)pOptionHeader + pFileHeader->SizeOfOptionalHeader); // 获取文件节表指针
	IMAGE_SECTION_HEADER* pSecHeader2 = pSecHeader;
	char* pSecBuffer = (char*)pDosHeader + pSecHeader->PointerToRawData; //获取第一个节的指针
	char* ImageBuffer = (char*)malloc(pOptionHeader->SizeOfImage); //开辟自定义的文件的虚拟内存大小
	if (ImageBuffer == NULL)
	{
		printf("申请虚拟内存失败\n");
		exit(0);
	}
	memset(ImageBuffer, 0, pOptionHeader->SizeOfImage); //初始化虚拟内存
	memcpy(ImageBuffer, pFileBuffer, pOptionHeader->SizeOfHeaders); //将文件内存头字段数据复制到虚拟内存
	IMAGE_DOS_HEADER* iDosHeader = (IMAGE_DOS_HEADER*)ImageBuffer; //获取自定义虚拟内存内存缓冲区DOS头指针
	IMAGE_NT_HEADERS* iNTHeader = (IMAGE_NT_HEADERS*)((char*)ImageBuffer + iDosHeader->e_lfanew); //获取NT头指针
	IMAGE_FILE_HEADER* iFileHeader = (IMAGE_FILE_HEADER*)((char*)iNTHeader + 4);//获取标准PE头指针
	IMAGE_OPTIONAL_HEADER* iOptionHeader = (IMAGE_OPTIONAL_HEADER*)((char*)iFileHeader + 20);//获取可选PE头指针
	IMAGE_SECTION_HEADER* iSecHeader1 = (IMAGE_SECTION_HEADER*)((char*)iOptionHeader + pFileHeader->SizeOfOptionalHeader); // 获取虚拟内存节表指针
	IMAGE_SECTION_HEADER* iSecHeader2 = iSecHeader1;
	char* iSecBuffer1 = (char*)iDosHeader + iSecHeader1->VirtualAddress; //保存第一个节的指针
	char* iSecBuffer2 = iSecBuffer1;
	for (int i = 0; i < iFileHeader->NumberOfSections; i++)//循环将文件内存的节表数据复制到虚拟内存中
	{
		memcpy(iSecBuffer1, pSecBuffer, pSecHeader->SizeOfRawData); //复制文件内存节表数据
		pSecHeader++; //指向硬盘下一个节表
		iSecHeader1++;//指向内存下一个节表
		pSecBuffer = (char*)pDosHeader + pSecHeader->PointerToRawData; //指向硬盘下一个节
		iSecBuffer1 = (char*)iDosHeader + iSecHeader1->VirtualAddress; //指向内存下一个节
	}//此时文件内存转化为虚拟内存
	//以下开始虚拟内存节地址转换硬盘内存节地址
	DWORD RVA = 0;
	iSecHeader1--;// 使节表指针指向最后一个节表1q
	DWORD LastSecBuffer = (DWORD)ImageBuffer + iSecHeader1->VirtualAddress + iSecHeader1->SizeOfRawData;//最后一个节的有效内容末尾
	DWORD min = (DWORD)ImageBuffer + iSecHeader2->VirtualAddress;
	DWORD max = (DWORD)LastSecBuffer;
	printf("请选择你要转换的地址:");
	scanf("%d", &RVA);
	while(1)
	{
		if (RVA < min)
		{
            printf("输入地址过小,请重新输入");
		    scanf("%d", &RVA);
		}
		else if (RVA > max)
		{
		    printf("输入地址过大,请重新输入");
	    	scanf("%d", &RVA);
		}
		else
		{
	         printf("输入地址正确,开始转换地址");
			 break;
		}
	}
	DWORD offset1 = RVA - (DWORD)ImageBuffer; //获取转换地址在虚拟存中相对于DOS头的偏移量
	int nNumber = 0; //用于获取转换地址所在第几个节
	while(offset1)
	{
		if (offset1 >= (DWORD)iSecHeader2->VirtualAddress && offset1 <=(DWORD)iSecHeader2->VirtualAddress + iSecHeader2->Misc.VirtualSize)
		{
			break;
		}
		else
		{
			iSecHeader2++;
			nNumber++;
		}
	}
	DWORD offset2 = offset1 - iSecHeader2->VirtualAddress; //获取转换地址相对于目标节的偏移量
	pSecHeader2 += nNumber;
	char* pSecBufferPoint = (char*)pDosHeader + pSecHeader2->PointerToRawData + offset2;
	char* iSecBufferPoint = (char*)iDosHeader + iSecHeader2->VirtualAddress + offset2;
}



int main(int argc, char* argv[])
{
	const char* lpszFile = "C:\\Windows\\notepad.exe";
	RVAtoFOA(lpszFile);
	return 0;
}

上述代码本人经过多种测试能够正确运行,但本人并没有该作业的正确代码,所以无法保证代码绝对正确

ぃ扶摇ぅ
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FileBufferImageBuffer 互相转换(滴水PE作业
hambaga的博客
05-10 1048
主函数 // buffer.cpp : Defines the entry point for the console application. // #include "stdafx.h" int main(int argc, char *argv[]) { //PrintNTHeaders(); LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewBuffer = NULL; int fileSize = 0;
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
PE加载过程 FileBuffer-ImageBuffer
qq_51600802的博客
09-22 659
PE加载过程 FileBuffer-ImageBuffer
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1097
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向 FileBuffer-ImageBuffer 课后作业
bruce_devil的博客
04-27 607
PE文件加载到内存中时相对于ImageBase的偏移量。:PE 文件中的数据相对于文件开始的偏移量。
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 1999
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
FileBfufer转ImageBuffer【滴水逆向三期43作业源码】
WdIg-2023的博客
03-04 308
作业要求我们在上一章已经说明了,还有不懂的可以去上一张看一下,这里直接给出源码,代码我们就不做解释了,自己写出来或着自己理解一遍或许对PE会有更好的理解。 编写一个程序,实现从FileBuffer拉升到ImageBuffer再转回FileBuffer并且完成存盘:
PE结构学习作业
weixin_30745553的博客
06-27 105
#include "openfile.h" #include <stdio.h> #include <malloc.h> #include <memory.h> #include <Windows.h> #define MASSAGEBOXAADDR 0x757A7E60 #define IMAGE_SIZEOF_DOS_HEAD...
滴水逆向PE作业——扩大一个节
weixin_44584614的博客
03-19 753
扩大一个节: 流程如下: 注意:修改完ImageBuffer后需要将其再压缩(拉伸的逆过程)后再存盘。 代码: // ExtendLastSection.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "windows.h" #include "malloc....
滴水三期:day28.1-PE头字段说明
Edimade的博客
05-02 911
一、PE头字段>二、DOS头>三、PE标记>、标准PE头>五、可选PE头>六、可执行文件的读取到装入内存过程
filebuffer:快速简单的Rust读取文件
05-07
Filebuffer可以将文件映射到内存中。 这通常比在std::io使用原语更快,并且也更方便。 此外,该板条箱还提供了预取功能,并检查文件数据是否驻留在物理内存中(因此访问不会导致页面错误)。 这样可以进行非阻塞...
使用程序判断一个文件是否是有效的PE文件.pdf
12-24
使⽤程序判断⼀个⽂件是否是有效的PE⽂件 判断⼀个⽂件是否为有效的PE⽂件,判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是⼀个有效的PE⽂件; VC6,单⽂档...
detect-charset:检测文件的字符集
06-27
检测文件的字符集 安装 $ npm install --save detect-charset 用法 var detectCharset = require ( 'detect-charset' ) ; var fileBuffer = fs . readFileSync ( 'myfile.txt' ) ; detectCharset ( fileBuffer ) ;...
滴水三期完整版(96课时)
04-20
第37讲:2015-03-16(FileBufferImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-...
基于EasyX的贪吃蛇小游戏 - C语言
06-05
基于EasyX的贪吃蛇小游戏 - C语言
Energy Core ECP5705-V01.pdf
06-05
Energy Core ECP5705-V01.pdf
matlabGUI学生成绩管理系统pdf
最新发布
06-05
建立基于图形用户界面GUI的学生成绩管理系统,该系统能够实现学生成绩信息的增加、删除、查询(查询某门课所有学生的成绩并显示排名,查询某个学生的各科成绩并显示排名)、课程成绩统计最高分、最低分、平均分、方差、并显示相应的排名;绘制柱状图、条形图、饼状图、正太分布曲线等功能。 通过本实验使学生掌握图形用户界面GUI的操作和设计流程,并通过编写回调函数巩固前期的知识。
高职教育品牌专业申报汇总表.doc
06-05
高职教育品牌专业申报汇总表.doc
上传文件,后端接口入参是buffer
06-07
如果后端接口要求上传文件的数据格式为Buffer,则需要将文件内容读取到内存中,然后转换成Buffer对象后再发送给后端。这个过程可以使用Node.js中的fs模块和Buffer对象来完成。具体步骤如下: 1. 使用fs模块读取文件内容,例如: ``` const fs = require('fs'); const filePath = '/path/to/file'; // 文件路径 const buffer = fs.readFileSync(filePath); // 读取文件内容到内存中 ``` 2. 将文件内容转换成Buffer对象,例如: ``` const buffer = Buffer.from(fileBuffer); // 将文件内容转换成Buffer对象 ``` 3. 将Buffer对象作为请求体发送给后端,例如: ``` const http = require('http'); const options = { hostname: 'localhost', port: 3000, path: '/upload', method: 'POST', headers: { 'Content-Type': 'application/octet-stream', // 指定请求体的数据类型为二进制流 'Content-Length': buffer.length // 指定请求体的长度为Buffer对象的长度 } }; const req = http.request(options, res => { console.log(`statusCode: ${res.statusCode}`); }); req.write(buffer); // 将Buffer对象作为请求体发送给后端 req.end(); ``` 需要注意的是,将文件内容读取到内存中可能会导致内存占用过高,因此在处理大文件时需要注意内存的使用情况。如果文件较大,可以使用流(stream)的方式来读取和发送文件内容,以减少内存占用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值