如何打造一个简单的PELoader

已于 2023-12-18 10:39:24 修改
阅读量243 收藏 4
点赞数 3
文章标签: 网络安全 c语言
于 2023-12-18 10:23:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_79822944/article/details/135056469
版权

首先先介绍下什么是PEloader,它是相当于是一个PE加载器,运行该程序可以打开一个PE文件,如exe文件。而效果就如同双击该exe。PEloader可以帮助从本质上了解exe文件的格式和运行原理。然后我要介绍的是如何写一个简单的PEloader。

要完成这个任务需要的知识有对PE文件的基本了解,对指针的熟练运用和对指针的深入理解,然后C语言方面学完结构体基本就可以了,其次是对如何运用代码对文件进行操作有一些了解和会最基本的操作,如使用fread读取文件,用stat获取一个文件的一些基本信息。知道了这些,就可以着手于PEloader的建立了。其实比较好笑的一点是,在写这个之前我的PE文件格式并不是很深入了解,指针也只是大致知道,但是在敲PEloader的过程中,对于结构体、指针、内存与地址等的理解,在不断的调试中有了很大的进步。所以,写一个PEloader对于学习PE文件和指针原理是很有帮助的。

目录框架

1.将文件信息导入内存。

2.分配运行程序所需的内存,并装载PE头,同时检查PE头是否准确。

3.装载节区。

4.修复重定位表。

5.修复导入表。

1.将文件信息导入内存,再开始进行程序运行时的内存分配

这段要做的事情很简单,就是将exe的文件内容读取到内存中便于后期装载使用。

FILE* fp = fopen(fpp, "rb");//读取文件
if (fp == NULL)
{
	printf("文件打开失败\n");
	return 0;
}
fseek(fp, 0, SEEK_END);//指向尾端
int last = ftell(fp);
int fsize = last;//获取大小
fseek(fp, 0, SEEK_SET);//重新指向文件首端
PBYTE pBuf = (PBYTE)malloc(fsize);
fread(pBuf, fsize, 1, fp);//拷贝文件二进制信息到pBuf这块来,用来装载至另一块内存

2..分配运行程序所需的内存,并装载PE头,同时检查PE头是否准确

PEloader的代码并不需要花太久来写,但是写的过程中难免会有小问题,所以,在写的时候同时把检查的代码也写了有助于减少不必要的工作量。

比如写一段检查DOS头和NT头的代码,有些变量的声明我没有展示,但一般就是给它赋值的对象的强转类型。如pDH为PIMAGE_DOS_HEADER类型,即DOS头结构体指针。

pDH = (PIMAGE_DOS_HEADER)pBuf;
pNTH = (PIMAGE_NT_HEADERS32)(pBuf + pDH->e_lfanew);
if (pDH->e_magic != IMAGE_DOS_SIGNATURE)//检查DOS头和NT头
{
	printf("DOS头错误。\n");
	return 0;
}
if (pNTH->Signature != IMAGE_NT_SIGNATURE)
{
	printf("NT头错误\n");
	return 0;
}

通过可选头(OptionalHeader)找到文件在内存中运行时的大小,同时分配空间

//分配文件载入内存后的空间
PBYTE pe = (PBYTE)VirtualAlloc(NULL, pNTH->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

然后装载无需对齐的PE头

memset(pe, 0, pNTH->OptionalHeader.SizeOfImage);//初始化

DWORD sizeofPEH = pNTH->OptionalHeader.SizeOfHeaders;
//把PE头装载到分配的空间	
memmove(pe, pBuf, sizeofPEH);

3.装载节区

其实节区虽然按理来说需要用0补齐,但是我们事先就把pe用0来初始化了,所以我们只要保证每个节区的开始数据也就是头部位置装载是正确的,那么这个节区按理来说就是装载到了正确的位置,但是我也没有深究节区在文件到内存的大小转化问题。

 

int num = pNTH->FileHeader.NumberOfSections;
//循环装载Section节区
for (int i = 0; i < num; i++)
{
    if (pSH->PointerToRawData == NULL)
    {
        pSH = (PIMAGE_SECTION_HEADER)((PBYTE)pSH + (BYTE)(sizeof(IMAGE_SECTION_HEADER)));
        continue;
    }
    memcpy(pe + pSH->VirtualAddress, pBuf + pSH->PointerToRawData, pSH->SizeOfRawData);//不需要再补0对齐了,因为一开始就全是0

    pSH = (PIMAGE_SECTION_HEADER)((PBYTE)pSH + (BYTE)(sizeof(IMAGE_SECTION_HEADER)));//指向下一个节区头
}

 

4.修复重定位表

然后是关于重定位表的修复,这点要注意下类型的强转,因为很容易忽略或忘记了指针的类型赋值。

重定位表的修复就是找到Offset存储的地址,然后修改该地址存储的值,这一步的原因是有一些值在文件中是硬编码无法改变,而文件被加载的内存是不确定的,所以需要根据重定位表的记录来根据实际情况修改。

Address = (DWORD*)(pe + (pBR->VirtualAddress) + offset);//找到要修改的值的地址
*Address = *Address - pNTH->OptionalHeader.ImageBase + (DWORD)pe;//将值修改后并赋值回去

5.修复导入表

导入表的修复一共分两步,先是装载dll,然后由函数GetProcAddress得到dll中具体函数的地址,再赋值给相应位置的IAT。

首先加载dll,这里要注意自己的peloader要加载的是32位的还是64位的程序,把自己的peloader改成相应的位数程序即可。

char dllname[50] = { 0 };
strncpy(dllname, (char*)(pI->Name + pe), 49);
HMODULE hProcess = LoadLibraryA(dllname);//之前这里LoadLibrary找不到dll,因为加载的dll是32位的

然后是根据INT中的存储名来找到地址给pIAT相应位置赋值。这里有一点是IAT和INT结构体里是联合体,所以我们赋值时不用太在意赋值给结构体里的哪个元素。

typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      // PBYTE 
        DWORD Function;             // PDWORD
        DWORD Ordinal;
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

最后就是装载地址,有两种情况,一种是INT内存储的是序号,另一种是存储的名字。

if (pINT->u1.AddressOfData & IMAGE_ORDINAL_FLAG32)
{
	pIAT->u1.AddressOfData = (DWORD)(GetProcAddress(hProcess, (LPCSTR)(pINT->u1.Ordinal)));//是序号
}
else
{
	pIAT->u1.AddressOfData = (DWORD)(GetProcAddress(hProcess, (LPCSTR)pFucname->Name));		//非序号
}

之后要对下一个IAT操作只需要IAT++即可,效果就是+了一个结构体大小。

最后就是进入要加载的程序的main函数运行它,有两种方法,一种是我没太看懂,是看其他师傅的,另一种是用汇编语言来jmp到main函数。第二种更易看。

至此,结束。

关于无法运行的话,要结合动调来看,启动main函数之前报错,那就结合winhex或010editor等工具和VS查看结构体是否找对,节区是否装载成功,也可以运行一份正确的peloader来同步检查自己的错误,如果到main也就是运行对象程序时失败,那就需要进入反汇编调试汇编指令,找到报错点,这一步推荐IDA和VS同步一起调试,方便查找错误。这里说一下我写的时候出现的几个错误,一个是节区装载时有点小问题导致qq运行时有一个循环读取到错误信息进入了死循环,还有就是我只是写了一个简易peloader,运行了一个dll调用dll的程序,没有修复dll等的代码,所以失败,但这个很难绷的错误点我花了三天才找到。

最后,这篇文章写的很潦草,之后有时间的话应该会再修改修改,写一篇更为详细的PEloader文章。

在这里放上我的源代码。

#include<stdio.h>
#include<Windows.h>
#define fpp "D:\\qq\\Bin\\QQScLauncher.exe"
#include<stdbool.h>
#include<stdlib.h>
#include <sys/stat.h>
typedef   BOOL(__cdecl* ProcMain)();

int main()
{

	PIMAGE_DOS_HEADER pDH = NULL;//前期的定义
	PIMAGE_NT_HEADERS32 pNTH = NULL;
	PIMAGE_FILE_HEADER pFH = NULL;
	PIMAGE_OPTIONAL_HEADER pOH = NULL;
	PIMAGE_SECTION_HEADER pSH = NULL;
	FILE* fp = fopen(fpp, "rb");//读取文件
	if (fp == NULL)
	{
		printf("文件打开失败\n");
		return 0;
	}
	fseek(fp, 0, SEEK_END);//指向尾端
	int last = ftell(fp);
	int fsize = last;//获取大小
	fseek(fp, 0, SEEK_SET);//重新指向文件首端
	PBYTE pBuf = (PBYTE)malloc(fsize);
	fread(pBuf, fsize, 1, fp);//拷贝文件二进制信息到pBuf这块来,用来装载至另一块内存
	pDH = (PIMAGE_DOS_HEADER)pBuf;
	pNTH = (PIMAGE_NT_HEADERS32)(pBuf + pDH->e_lfanew);
	if (pDH->e_magic != IMAGE_DOS_SIGNATURE)//检查DOS头和NT头
	{
		printf("DOS头错误。\n");
		return 0;
	}
	if (pNTH->Signature != IMAGE_NT_SIGNATURE)
	{
		printf("NT头错误\n");
		return 0;
	}
	//根据NT头找到节区头
	pSH = (PIMAGE_SECTION_HEADER)((PBYTE)(pNTH)+0x18 + (pNTH->FileHeader.SizeOfOptionalHeader));
	//分配文件载入内存后的空间
	PBYTE pe = (PBYTE)VirtualAlloc(NULL, pNTH->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (pe == NULL)
	{
		printf("分配空间失败\n");
		return 0;

	}

	memset(pe, 0, pNTH->OptionalHeader.SizeOfImage);//初始化

	DWORD sizeofPEH = pNTH->OptionalHeader.SizeOfHeaders;
	//把PE头装载到分配的空间	
	memmove(pe, pBuf, sizeofPEH);
	int num = pNTH->FileHeader.NumberOfSections;
	//循环装载Section节区
	for (int i = 0; i < num; i++)
	{
		if (pSH->PointerToRawData == NULL)
		{
			pSH = (PIMAGE_SECTION_HEADER)((PBYTE)pSH + (BYTE)(sizeof(IMAGE_SECTION_HEADER)));
			continue;
		}
		memcpy(pe + pSH->VirtualAddress, pBuf + pSH->PointerToRawData, pSH->SizeOfRawData);//不需要再补0对齐了,因为一开始就全是0

		pSH = (PIMAGE_SECTION_HEADER)((PBYTE)pSH + (BYTE)(sizeof(IMAGE_SECTION_HEADER)));//指向下一个节区头
	}
	//加载重定位表
	PIMAGE_BASE_RELOCATION pBR = (PIMAGE_BASE_RELOCATION)(pe + pNTH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);//pBR为Base_Relocation的缩写
	int SizeofBR = pNTH->OptionalHeader.DataDirectory[5].Size;
	if (pBR == NULL)
	{
		printf("重定位表错误。\n");
		return 0;
	}
	//开始重定位//高危区
	int h = 0;
	while (true)//这个循环的对象是重定位表
	{
		if (pBR->SizeOfBlock == 0)
		{
			break;
		}
		PWORD TypeOffset = (PWORD)((PBYTE)pBR + 8);//54B927
		num = (pBR->SizeOfBlock - 8) / 2;

		for (int i = 0; i < num; i++)//这个的对象是每张重定位表的元素
		{
			WORD type = TypeOffset[i] >> 12;//低十二位才是数据的真正值,高四位是一个标记
			WORD offset = TypeOffset[i] & 0x0FFF;//保留低十二位
			PDWORD Address = 0;
			if (type == 3)//标记正确
			{	//节区已经装载好,重定位表在节区内,所以直接以pe为基址找
				Address = (DWORD*)(pe + (pBR->VirtualAddress) + offset);//找到要修改的值的地址
				*Address = *Address - pNTH->OptionalHeader.ImageBase + (DWORD)pe;//将值修改后并赋值回去
			}
		}
		//重定位表不只是一张
		pBR = (PIMAGE_BASE_RELOCATION)((PBYTE)pBR + pBR->SizeOfBlock);

	}

PIMAGE_IMPORT_DESCRIPTOR pI = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)pe + (DWORD)pNTH->OptionalHeader.DataDirectory[1].VirtualAddress);
	if (pI == NULL)
	{
		printf("导入表错误\n");
		return 0;
	}
	if (pI->Name == NULL)
	{
		printf("导入表函数名错误\n");
		return 0;
	}
SetDllDirectoryA("D:\\qq\\Bin");
	while (pI->Name != NULL)
	{
		char dllname[50] = { 0 };
		strncpy(dllname, (char*)(pI->Name + pe), 49);
		HMODULE hProcess = LoadLibraryA(dllname);//之前这里LoadLibrary找不到dll,因为加载的dll是32位的
		if (!hProcess)
		{
			char err[100];
			sprintf(err, "未找到%s", dllname);
			MessageBox(NULL, err, "Error", MB_OKCANCEL);
			return 0;
		}
		PIMAGE_THUNK_DATA32 pINT = (PIMAGE_THUNK_DATA32)(pe + pI->OriginalFirstThunk);
		PIMAGE_THUNK_DATA32 pIAT = (PIMAGE_THUNK_DATA32)(pe + pI->FirstThunk);
		while ((DWORD)pINT->u1.AddressOfData != NULL)
		{
			PIMAGE_IMPORT_BY_NAME pFucname = (PIMAGE_IMPORT_BY_NAME)(pe + pINT->u1.AddressOfData);
			if (pINT->u1.AddressOfData & IMAGE_ORDINAL_FLAG32)
			{
				pIAT->u1.AddressOfData = (DWORD)(GetProcAddress(hProcess, (LPCSTR)(pINT->u1.Ordinal)));//是序号
			}
			else
			{
				pIAT->u1.AddressOfData = (DWORD)(GetProcAddress(hProcess, (LPCSTR)pFucname->Name));		//非序号
			}
			pINT++;
			pIAT++;
		}
		pI++;
	}

	ProcMain MMain = NULL;
	MMain = (ProcMain)(pNTH->OptionalHeader.AddressOfEntryPoint + pe);
	MMain();
	return 0;
}

 

 

 

 

 

 

 

 

 

 

嗒了啦
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
PE loader (x86)
zylg
11-20 1047
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
PE_Loade技术解析
qq_18811919的博客
12-29 525
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白+黑进行白名单绕过等等,红蓝对抗是永无止境。
推荐文章:SimplePELoader——轻量级PE加载器
最新发布
gitblog_00017的博客
05-24 299
推荐文章:SimplePELoader——轻量级PE加载器 项目地址:https://gitcode.com/nettitude/SimplePELoader 1、项目介绍 在软件开发和逆向工程领域,有时我们需要在不依赖操作系统API的情况下动态地加载DLL文件。这就是SimplePELoader大显身手的地方。这是一个微型的PE(Portable Executable)加载器,其设计目标是无需使...
探索PeLoader:一款强大的PE文件加载器与分析工具
gitblog_00032的博客
04-06 539
探索PeLoader:一款强大的PE文件加载器与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8370
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
仿照windows的loader实现的pe-loader
maplele
02-09 4954
    本人接触pe文件格式不久,参考网上的一些资料写了一个pe loader,主要是通过把需要加载的文件的所所有section加载到相应的RVA上,然后进行重定位处理、导入表和导出表处理、资源段处理。由于本loader.exe会被加载到0x0f400000处,因此可以把0x400000给被加载的文件预留了,这样可以避免重定位所带来的性能损耗。导入表的处理主要是通过调用GetProcAddress
构建非常基础的PEloader
2303_79701639的博客
12-27 580
新手学习
peloader.7z
11-20
PE加载器(peloader)是Windows操作系统中用于执行可执行文件(exe)的关键组件。在Windows环境下,当用户双击一个.exe文件时,实际上是在启动PE加载器的...而peloader.7z文件为我们提供了一个研究PE加载的实践案例。
易语言汇编PeLoader
07-22
易语言汇编PeLoader源码,汇编PeLoader,LoadMemLibrary,LoadMemLibraryEx1,LoadMemLibraryEx2,GetMemProcList,GetMemProcAddress,GetMemEntryPoint,FreeMemLibrary,调用子程序1_,调用子程序2_,指针到整数_
PeLoader_汇编.zip
07-16
【标题】"PeLoader_汇编.zip"是一个与汇编编程相关的压缩文件,其中包含了用于在内存中加载和调用DLL动态链接库函数的技术。PeLoader通常是指一个小程序,它能够在不将DLL写入磁盘的情况下,直接在内存中加载和执行...
易语言汇编PeLoader源码
06-06
在提供的压缩包文件中,“易语言汇编PeLoader源码”显然是一个关于易语言与PE(Portable Executable)文件加载器相关的项目。PE文件格式是Windows操作系统中可执行程序的标准格式,包括.exe和.dll文件。PeLoader通常...
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存加载DLL的实现
PE加载器1.7版(PeLoader_fne.fne)-易语言
06-13
PeLoader。 操作系统支持: Windows
PELoader自加载PE文件(转载)
02-28
自加载PE文件 支持用户态和内核态(转载)
PeLoader
04-06
反向进程注入,模拟Windows系统的Exe装载程序,应经测试CMD.exe,Excel.exe通过
pe-loader:Windows PE格式的文件加载器
05-15
Windows可执行文件加载器 这是Windows PE格式的文件加载器应用程序,提供与OS内部可执行文件加载器类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
白加黑远控木马分析
dsb2468的专栏
07-30 3701
概述: 病毒伪装成一个DLL文件,QQ游戏启动的同时,病毒DLL也会被加载启动(也叫DLL劫持)。病毒加载之后,会在内存中释放出远控模块,通过建立本地端口映射的方式,意图绕过某些安软的网络拦截,从而控制目标计算机。 病毒目录文件如下: 病毒运行加载流程如下:   详细分析: 1、启动方式: 首先,病毒作者将关键文件全部隐藏打包了起来,只留了了一个快捷方式,通过调用CMD的方式...
PE文件操作-动态加载
yeshahayes的博客
08-14 1842
有时会有这样的需求,要把一个dll加载到进程空间或者对付地址空间随机化技术,这就需要自己实现一个PELoader。在PE文件中,许多数据在内存中的位置已经以RVA的形式在链接时给出,我们只需要根据节表的描述准确的按位置加载,大部分程序就可以正确运行了,但有几个类型的数据还是需要loader来调整的: IAT 在PE文件中,调用静态链接的DLL例程一般都是以call ds:[xxxxxxxxh]的
DLL隐藏和逆向
m0_75243362的博客
11-08 1566
DLL注入新手详解示例
boot loader
05-17
Boot loader一个计算机程序,负责启动操作系统。它通常位于存储设备的最前面,例如硬盘、U盘等。当计算机启动时,BIOS会读取存储设备的第一个扇区(通常为512字节),这个扇区就是boot loader所在的位置。Boot loader会被加载到内存中,并运行。它的主要作用是加载操作系统内核,并将控制权交给内核,从而启动操作系统。 Boot loader的工作原理如下: 1. BIOS读取存储设备的第一个扇区,并将其加载到内存中。 2. Boot loader被执行,并开始查找操作系统内核。 3. Boot loader加载操作系统内核,并将控制权交给内核。 4. 操作系统内核开始运行,并初始化系统。 常见的boot loader有GRUB、LILO等。它们支持多种操作系统,并提供了图形界面和命令行界面供用户选择。在Linux系统中,GRUB是最常用的boot loader之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值