仿真WINDOWS PE加载器的程序

最新推荐文章于 2024-06-16 09:49:04 发布
最新推荐文章于 2024-06-16 09:49:04 发布
阅读量2k 收藏 1
点赞数
文章标签: windows image descriptor import delete header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KernelEx/article/details/4531884
版权
此程序用来仿真 PE 加载器,可以直接运行内存中的程序。

bool PELoader ( char * lpStaticPEBuff , long lStaticPELen )
{
  long lPESignOffset = *( long *)( lpStaticPEBuff + 0x3c );
  IMAGE_NT_HEADERS * pINH = ( IMAGE_NT_HEADERS *)( lpStaticPEBuff + lPESignOffset );

  //取加载到内存中大小
  long lImageSize = pINH - > OptionalHeader . SizeOfImage ;
  char * lpDynPEBuff = new char [ lImageSize ];
  if ( lpDynPEBuff == NULL )
  {
    return false ;
  }
  memset ( lpDynPEBuff , 0 , lImageSize );

  //取PE文件的节数量
  long lSectionNum = pINH - > FileHeader . NumberOfSections ;

  //计算PE头信息及节表信息占用内存大小
  long lPEHeadSize = lPESignOffset + sizeof ( IMAGE_NT_HEADERS ) + lSectionNum * sizeof ( IMAGE_SECTION_HEADER );
 
  //加载PE头部信息及其各个节表
  memcpy ( lpDynPEBuff , lpStaticPEBuff , lPEHeadSize );

  //加载各个节
  long lFileAlignMask = pINH - > OptionalHeader . FileAlignment - 1 ;         //各节在磁盘中的对齐掩码
  long lSectionAlignMask = pINH - > OptionalHeader . SectionAlignment - 1 ;   //各节在load后内存中的对齐掩码
  IMAGE_SECTION_HEADER * pISH = ( IMAGE_SECTION_HEADER *)(( char *) pINH + sizeof ( IMAGE_NT_HEADERS ));
  for ( int nIndex = 0 ; nIndex < lSectionNum ; nIndex ++, pISH ++)
  {
    //判定各节的对齐属性,合法不
    if (( pISH - > VirtualAddress & lSectionAlignMask ) || ( pISH - > SizeOfRawData & lFileAlignMask ))
    {
      //出现非法节
      delete lpDynPEBuff ;
      return false ;
    }

    //加载改节
    memcpy ( lpDynPEBuff + pISH - > VirtualAddress , lpStaticPEBuff + pISH - > PointerToRawData , pISH - > SizeOfRawData );
  }

  //修改导入表,导入程序执行过程中要用到的API函数地址
  if ( pINH - > OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_IMPORT ]. Size > 0 ) //大于0说明有导入表
  {
    IMAGE_IMPORT_DESCRIPTOR * pIID = ( IMAGE_IMPORT_DESCRIPTOR *)( lpDynPEBuff + /
      pINH - > OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_IMPORT ]. VirtualAddress );

    //循环扫描每个将有函数导入的dll
    for (; pIID - > Name != NULL ; pIID ++)
    {
      /*曾看过OllyDump源代码,那里在重建导入表的时候,并没有初始化OriginalFirstThunk这个字段,
      所以这里也不对OriginalFirstThunk这个字段进行处理了*/
      IMAGE_THUNK_DATA * pITD = ( IMAGE_THUNK_DATA *)( lpDynPEBuff + pIID - > FirstThunk );

      HINSTANCE hInstance = LoadLibrary ( lpDynPEBuff + pIID - > Name );
      if ( hInstance == NULL )
      {
        //导入这个dll失败
        delete lpDynPEBuff ;
        return false ;
      }

      //循环扫描dll内每个被导入函数
      for (; pITD - > u1 . Ordinal != 0 ; pITD ++)
      {
        FARPROC fpFun ;
        if ( pITD - > u1 . Ordinal & IMAGE_ORDINAL_FLAG32 )
        {
          //函数是以序号的方式导入的
          fpFun = GetProcAddress ( hInstance , ( LPCSTR )( pITD - > u1 . Ordinal & 0x0000ffff ));
        }
        else
        {
          //函数是以名称方式导入的
          IMAGE_IMPORT_BY_NAME * pIIBN = ( IMAGE_IMPORT_BY_NAME *)( lpDynPEBuff + pITD - > u1 . Ordinal );
          fpFun = GetProcAddress ( hInstance , ( LPCSTR ) pIIBN - > Name );
        }

        if ( fpFun == NULL )
        {
          //导出这个函数失败
          delete lpDynPEBuff ;
          return false ;
        }

        pITD - > u1 . Ordinal = ( long ) fpFun ;
      }

      FreeLibrary ( hInstance );
    }
  }


  //重定位处理
  if ( pINH - > OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_BASERELOC ]. Size > 0 )
  {
    //取第一个重定位块
    IMAGE_BASE_RELOCATION * pIBR = ( IMAGE_BASE_RELOCATION *)( lpDynPEBuff + /
      pINH - > OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_BASERELOC ]. VirtualAddress );

    long lDifference = ( long ) lpDynPEBuff - pINH - > OptionalHeader . ImageBase ;

    //循环每个重定位块
    for (; pIBR - > VirtualAddress != 0 ; )
    {
      char * lpMemPage = lpDynPEBuff + pIBR - > VirtualAddress ;
      long lCount = ( pIBR - > SizeOfBlock - sizeof ( IMAGE_BASE_RELOCATION )) >> 1 ;

      //对这个页面中的每个需重定位的项进行处理
      short int * pRelocationItem = ( short int *)(( char *) pIBR + sizeof ( IMAGE_BASE_RELOCATION ));
      for ( int nIndex = 0 ; nIndex < lCount ; nIndex ++)
      {
        int nOffset = pRelocationItem [ nIndex ] & 0x0fff ;
        int nType = pRelocationItem [ nIndex ] >> 12 ;

        //虽然windows定义了很多重定位类型,但是在PE文件中只能见到0和3两种
        if ( nType == 3 )
        {
          *( long *)( lpDynPEBuff + nOffset ) += lDifference ;
        }
        else if ( nType == 0 )
        {
          //什么也不做
        }
      }

      //pIBR指向下一个重定位块
      pIBR = ( IMAGE_BASE_RELOCATION *)( pRelocationItem + lCount );
    }

  }

  delete lpDynPEBuff ;

  return true ;
}
KernelEx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
PE复写:模仿PE加载过程
KKMI的博客
06-02 1288
FileBuffer->ImageBuffer->NewBuffer->存盘一.主要函数实现1.PE文件到FileBuffer2.FileBuffer到ImageBuffer 一.主要函数实现 1.PE文件到FileBuffer 这个过程还是单纯的只是PE文件的读取,详情见上一章,这里只截取部分代码 2.FileBuffer到ImageBuffer 这是个文件拉伸的过程,如果PE文件的内存对齐和硬盘对齐不一样,那么这个文 ...
PE文件(1)导入表
nyzdmc的博客
03-02 732
PE文件(1)导入表 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows加载才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
一段仿真PE加载行为的程序
Chinawash 专栏
07-09 1548
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
探索技术新高度:DreamLoader —— 轻巧高效的PE加载
最新发布
gitblog_00070的博客
06-16 319
探索技术新高度:DreamLoader —— 轻巧高效的PE加载 项目地址:https://gitcode.com/86hh/DreamLoader 项目介绍 在软件开发的世界里,高效的二进制加载是许多系统和应用程序的基石。【DreamLoader】是由hh86打造的一款强大而简洁的跨平台PE(Portable Executable)加载,支持x86与x64架构,将Intel 386与AMD...
PE 文件加载实现
pureman_mega的博客
08-12 803
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
反向进程注入及隐藏--动手做一个最简单的PELoader
08-16 1552
文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE加载。这个PE加载
windows pe程序
05-18
2. **启动加载**:PE环境的启动过程通常涉及Boot.wim文件,这是包含Windows PE操作系统的映像文件。 3. **命令行工具**:Windows PE中包含许多命令行工具,如diskpart(磁盘管理)、sfc /scannow(系统文件检查...
pemicro CYCLONE PRO飞思卡尔烧录驱动
08-19
而"Autorun.inf"文件则是一个自动运行配置文件,当插入包含该文件的光盘或USB驱动时,Windows系统会自动执行其中指定的操作,通常用于指导用户如何启动安装程序。 总的来说,这个压缩包提供了一个完整的解决方案...
飞思卡尔仿真器使用说明
08-29
通过双击驱动程序目录下的批处理文件“InstallCodewarriorFiles”,按任意键执行批处理文件,即可完成仿真器配置动态库文件的安装。 #### 四、飞思卡尔BDM 2.0仿真器的实际应用价值 1. **提升开发效率**:通过支持...
U盘启动测试
11-13
2. 启动加载:测试会将合适的启动加载(如GRUB、BOOTMGR等)写入U盘,这个加载负责读取和执行存储在U盘上的操作系统引导程序。 三、使用步骤 1. 下载U盘启动测试软件,例如文中提到的"U盘启动测试 V...
基于ModelSim的仿真PPT学习教案.pptx
10-02
ModelSim的仿真步骤包括建立工作库、编译源代码、启动仿真器和执行仿真。在软件中,用户可以使用多种界面,如主窗口、结构窗口、源程序窗口、信号窗口、进程窗口、变量窗口、数据流窗口、波形窗口、存储窗口和列表...
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存加载DLL的实现
PEMicro Debugger仿真器驱动程序.rar
09-05
软件介绍: PEMicro仿真器Windows系统下的驱动程序WIN7系统上安装会弹出WINDOWS安全窗口,需要勾选始终信任来自Jungo Connectivity Lty这个软件。redistuninstalldifxapi.dllpe_winusb_interface.infpe_winusb_interface.logpemicro12.catwd1170.catwdreg_gui.exewindrvr6.infwindrvr6.syswindrvr6_install.log
标题:**MemoryModule:灵活的内存PE加载,让模块载入更自由**
gitblog_00076的博客
06-13 366
标题:MemoryModule:灵活的内存PE加载,让模块载入更自由 MemoryModuleA tool to parse and load module in memory, as well as attach a DLL in EXE. Most of the functions are inline, so that it can also be used in shellcode....
PE loader (x86)
zylg
11-20 1066
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
探索PeLoader:一款强大的PE文件加载与分析工具
gitblog_00032的博客
04-06 646
探索PeLoader:一款强大的PE文件加载与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
关于PE文件——输入表
chfsuihan的专栏
01-04 952
什么是输入表? 输入表就相当于exe文件与DLL文件沟通的桥梁,形象的可以比喻成两个城市之间交流的高速公路。在PE文件映射到内存后,windows将相应的DLL文件装入,EXE文件通过“输入表”找到相应的DLL中的导入函数,从而完成程序的正常运行。 输入表的组成与工作原理? 首先大概了解整体的结构: 三个表:         ①输入表: 对应IMAGE_IMPORT_
PE格式详解(八)
LewisCheng的专栏
08-31 2783
          上次讲了输出区段,还是比较简单的,但输入区段内容就稍稍多了点,保持耐心阿,这是本系列关于PE格式部分的最后一讲啦!         输入区段(Import Section),包含了所有从DLL中引用的函数的信息。与输出区段类似,这些信息是由几个数据结构描述的,其中最重要的是输入目录表(Import Directory)与输入地址表(Import Address Tabl
PE文件解析-输入表、输出表与重定位表
zhyulo的博客
01-03 3246
一、 输入表 1、输入表地址定位    PE文件头可选映像头中数据目录表的第二成员指向输入表,输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。     数据目录表的第二成员 IMAGE_DATA_DIRECTORY DataDirectory[IM...
软启动的MATLAB仿真与优势分析
"软启动及其MATLAB仿真" 软启动是一种专用于控制鼠笼式异步电动机的设备,旨在减少电机启动时对电网和电机本身的冲击。它主要由大功率双向晶闸管构建的交流调压电路组成,通过调整晶闸管的触发角来改变输出电压...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值