内核重载

最新推荐文章于 2023-04-15 12:29:26 发布
最新推荐文章于 2023-04-15 12:29:26 发布
阅读量272 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2321503/article/details/84473714
版权 
#include "stdio.h"
#include "windows.h"

#define	__Max(a,b)	a>b?a:b

void ReadPeFile()
{
	HANDLE					hFile;
	ULONG					uIndex;
	BOOL					bStatus;
	DWORD					dwRetSize;
	LARGE_INTEGER			FileOffset;
	IMAGE_DOS_HEADER		ImageDosHeader;
	IMAGE_NT_HEADERS		ImageNtHeader;
	IMAGE_SECTION_HEADER	*pImageSectionHeader;

	hFile = CreateFile(\
		L"C:\\EditPlus_E\\EditPlus 3\\EditPlus.exe",\
		FILE_ALL_ACCESS,\
		0,\
		NULL,\
		OPEN_ALWAYS,\
		FILE_ATTRIBUTE_NORMAL,\
		NULL);

	if (hFile==INVALID_HANDLE_VALUE)
	{
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		&ImageDosHeader,\
		sizeof(IMAGE_DOS_HEADER),\
		&dwRetSize,\
		NULL);

	if (bStatus==FALSE)
	{
		printf("read image_dos_header failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	printf("ImageDosHeader.e_magic:%s\nImageDosHeader.e_lfanew:%X\n",\
		&ImageDosHeader.e_magic,
		ImageDosHeader.e_lfanew);

	FileOffset.QuadPart = ImageDosHeader.e_lfanew;
	bStatus = SetFilePointerEx(hFile,FileOffset,NULL,FILE_BEGIN);
	if (bStatus==FALSE)
	{
		printf("SetFilePointerEx failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		&ImageNtHeader,\
		sizeof(IMAGE_NT_HEADERS),\
		&dwRetSize,\
		NULL);
	if (bStatus==FALSE)
	{
		printf("read image_nt_header failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	printf("ImageNtHeader.Signature:%s\nNumberOfSections:%d\n",\
		&ImageNtHeader.Signature,\
		ImageNtHeader.FileHeader.NumberOfSections);

	FileOffset.QuadPart += sizeof(IMAGE_NT_HEADERS);
	bStatus = SetFilePointerEx(hFile,FileOffset,NULL,FILE_BEGIN);
	if (bStatus==FALSE)
	{
		printf("SetFilePointerEx failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	pImageSectionHeader = malloc(sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections);
	if (pImageSectionHeader==0)
	{
		CloseHandle(hFile);
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		pImageSectionHeader,
		sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections,\
		&dwRetSize,\
		NULL);
	if (bStatus==FALSE)
	{
		printf("read image_section_header failed:%d",GetLastError());
		free(pImageSectionHeader);
		CloseHandle(hFile);
		return;
	}

	for (uIndex = 0;uIndex<ImageNtHeader.FileHeader.NumberOfSections;uIndex++)
	{
		printf("pImageSectionHeader[%d]:%s\n",uIndex,&pImageSectionHeader[uIndex].Name);
	}

	free(pImageSectionHeader);
	CloseHandle(hFile);
}

void ReadFileToMemory()
{
	HANDLE					hFile;
	ULONG					uIndex;
	BOOL					bStatus;
	DWORD					dwRetSize;
	DWORD					VirtualSizeOfImage;
	PVOID					lpVirtualPointer;
	DWORD					SecVirtualAddress,SizeOfSection;
	DWORD					PointerToRawData;
	LARGE_INTEGER			FileOffset;
	IMAGE_DOS_HEADER		ImageDosHeader;
	IMAGE_NT_HEADERS		ImageNtHeader;
	IMAGE_SECTION_HEADER	*pImageSectionHeader;

	hFile = CreateFile(\
		L"C:\\EditPlus_E\\EditPlus 3\\EditPlus.exe",\
		FILE_ALL_ACCESS,\
		0,\
		NULL,\
		OPEN_ALWAYS,\
		FILE_ATTRIBUTE_NORMAL,\
		NULL);

	if (hFile==INVALID_HANDLE_VALUE)
	{
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		&ImageDosHeader,\
		sizeof(IMAGE_DOS_HEADER),\
		&dwRetSize,\
		NULL);

	if (bStatus==FALSE)
	{
		printf("read image_dos_header failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	printf("ImageDosHeader.e_magic:%s\nImageDosHeader.e_lfanew:%X\n",\
		&ImageDosHeader.e_magic,
		ImageDosHeader.e_lfanew);

	FileOffset.QuadPart = ImageDosHeader.e_lfanew;
	bStatus = SetFilePointerEx(hFile,FileOffset,NULL,FILE_BEGIN);
	if (bStatus==FALSE)
	{
		printf("SetFilePointerEx failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		&ImageNtHeader,\
		sizeof(IMAGE_NT_HEADERS),\
		&dwRetSize,\
		NULL);
	if (bStatus==FALSE)
	{
		printf("read image_nt_header failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	printf("ImageNtHeader.Signature:%s\nNumberOfSections:%d\n",\
		&ImageNtHeader.Signature,\
		ImageNtHeader.FileHeader.NumberOfSections);

	FileOffset.QuadPart += sizeof(IMAGE_NT_HEADERS);
	bStatus = SetFilePointerEx(hFile,FileOffset,NULL,FILE_BEGIN);
	if (bStatus==FALSE)
	{
		printf("SetFilePointerEx failed:%d",GetLastError());
		CloseHandle(hFile);
		return;
	}

	pImageSectionHeader = malloc(sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections);
	if (pImageSectionHeader==0)
	{
		CloseHandle(hFile);
		return;
	}

	bStatus = ReadFile(\
		hFile,\
		pImageSectionHeader,
		sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections,\
		&dwRetSize,\
		NULL);
	if (bStatus==FALSE)
	{
		printf("read image_section_header failed:%d",GetLastError());
		free(pImageSectionHeader);
		CloseHandle(hFile);
		return;
	}

	for (uIndex = 0;uIndex<ImageNtHeader.FileHeader.NumberOfSections;uIndex++)
	{
		printf("pImageSectionHeader[%d]:%s\n",uIndex,&pImageSectionHeader[uIndex].Name);
	}

	VirtualSizeOfImage = ImageNtHeader.OptionalHeader.SizeOfImage;

	lpVirtualPointer = malloc(VirtualSizeOfImage);
	if (lpVirtualPointer==0)
	{
		free(pImageSectionHeader);
		CloseHandle(hFile);
		return;
	}
	memset(lpVirtualPointer,0,VirtualSizeOfImage);

	memcpy(lpVirtualPointer,\
		&ImageDosHeader,\
		sizeof(IMAGE_DOS_HEADER));

	memcpy((PVOID)((long)lpVirtualPointer+ImageDosHeader.e_lfanew),\
		&ImageNtHeader,sizeof(IMAGE_NT_HEADERS));

	memcpy((PVOID)((ULONG)lpVirtualPointer+ImageDosHeader.e_lfanew+sizeof(IMAGE_NT_HEADERS)),\
		pImageSectionHeader,\
		sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections);

	for (uIndex = 0;uIndex<ImageNtHeader.FileHeader.NumberOfSections;uIndex++)
	{
		SecVirtualAddress = pImageSectionHeader[uIndex].VirtualAddress;
		SizeOfSection = __Max(pImageSectionHeader[uIndex].SizeOfRawData,\
			pImageSectionHeader[uIndex].Misc.VirtualSize);

		PointerToRawData = pImageSectionHeader[uIndex].PointerToRawData;

		FileOffset.QuadPart = PointerToRawData;
		bStatus = SetFilePointerEx(hFile,FileOffset,NULL,FILE_BEGIN);
		if (bStatus==FALSE)
		{
			free(pImageSectionHeader);
			free(lpVirtualPointer);
			CloseHandle(hFile);
			return;
		}

		bStatus = ReadFile(\
			hFile,\
			(PVOID)((DWORD)lpVirtualPointer+SecVirtualAddress),\
			SizeOfSection,
			&dwRetSize,\
			NULL);
		if (bStatus==FALSE)
		{
			free(pImageSectionHeader);
			free(lpVirtualPointer);
			CloseHandle(hFile);
			return;
		}
	}

	printf("lpVirtualPointer:%X",lpVirtualPointer);

	getchar();
	getchar();

	free(pImageSectionHeader);
	free(lpVirtualPointer);
	CloseHandle(hFile);
}

void main(int argc, char **argv)
{
	ReadFileToMemory();
}
a2321503
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一份内核重载代码的学习笔记
0xDQ的博客
04-21 1182
0x00 前言 参考文章:https://blog.csdn.net/whatday/article/details/14160875 https://blog.csdn.net/pjz969/article/details/8615085 首先重载内核不是什么新技术,对于绕过HOOK是一种一刀切的做法,不过对于我这样初探内核的小白还是很有总结意义的。 本篇涉及的知识点:0环和3环通信...
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1294
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
内核重载的认识
weixin_41725706的博客
12-03 341
内核重载得认识
驱动-内核重载
chengtoreal的博客
03-13 471
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
linux内核重载分区,linux内核 mtd分区
weixin_33362096的博客
05-03 170
首先内核配置需要打开MTD选项Memory Technology Devices (MTD) --->如果是NOR Flash,需要选择Common Flash Interface (CFI)相关的选项;而且需要配置映射首地址(和uboot中配置的flash首地址一致)、映射地址大小和位宽 CFI Flash device in physical memory map(0xff800000...
Windows驱动开发学习笔记(七)—— 多核同步&内核重载
qq_41988448的博客
12-17 1611
Windows驱动开发学习笔记(七)—— 多核同步之临界区前言基础知识并发与同步示例分析InterlockedIncrement原子操作相关API内核文件临界区错误的临界区正确的临界区自旋锁分析 KeAcquireSpinLockAtDpcLevel 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 并发:指多个线程在同时执行 ...
win10驱动开发8——内核重载new/delete关键字
qq_41610493的博客
11-30 559
内部重载 new 和delete 关键字在驱动里面是不可以使用,通过重载的方式即可在内核中使用 #include <ntddk.h> class Myclass { public: Myclass() { KdPrint(("构造函数\n")); } ~Myclass() { KdPrint(("析构函数\n")); } void * _cdecl operator new (size_t size,POOL_TYPE poolType= PagedPool)
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8382
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核
x86重载内核[源码在最后]
deadpoolwilson12的博客
04-15 716
[滴水三期中级学习记录]x86内核重载技术,驱动程序编写
1.ring0-内核重载详解(NTOS)
热门推荐
hgy413的专栏
08-07 2万+
1.取得NTOS原始的地址: 这个可以通过遍历系统模块,找到第一个被加载的模块(NTOS),获得NTOS的路径,基地址,大小: 基本思路为: 1.1 ZwQuerySystemInformation查询到所有模块 1.2 获得NTOS的路径,基地址,大小 代码如下: NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,
内核重载_hospitalb3n_内核重载_x86内核重载_
09-30
内核重载是一种在计算机操作系统中,为了实现特定功能或者优化系统性能,对原生内核进行替换或扩展的技术。在x86架构的计算机上,由于其广泛的硬件支持和丰富的软件生态,内核重载成为了许多高级用户和开发者进行...
X86内核重载.rar
06-05
《X86内核重载:理解与实践》 在计算机科学领域,X86内核重载是一项高级技术,涉及到操作系统内部的工作机制。本文将深入探讨这一主题,特别是如何实现一个类似Windows PELoader的功能,以及重载的含义和实际操作。...
易语言内核重载
08-01
《易语言内核重载:深入理解与实践》 易语言作为一款中文编程语言,以其易学易用的特点深受广大编程爱好者的喜爱。在易语言的框架下,开发者可以进行各种复杂的系统级操作,其中“内核重载”是一项至关重要的技术。...
内核重载易语言源码(含C驱动源码).rar
01-25
标题中的“内核重载易语言源码(含C驱动源码)”指的是一个与操作系统内核交互的编程项目,它包含用易语言编写的源代码以及C语言编写的驱动程序源代码。易语言是一种中国本土开发的编程语言,旨在简化编程,让普通用户...
windows xp内核重载
11-07
"内核重载"通常指的是通过修改或扩展内核功能来实现特定目的的技术,比如提高系统性能、增加新功能或者进行故障排查。这涉及到深入的系统编程和调试知识。 `KernelDebug.cpp` 和 `KernelDebug.h` 是两个常见的源...
chromedriver-mac-x64_122.0.6217.0.zip
最新发布
07-31
chromedriver-mac-x64_122.0.6217.0.zip
多元宇宙算法优化长短记忆网络MVO-LSTM故障诊断分类【含Matlab源码 6074期】.zip
07-31
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化LSTM分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化LSTM 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化LSTM 4.4.3 灰狼算法GWO/狼群算法WPA优化LSTM 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化LSTM 4.4.5 萤火虫算法FA/差分算法DE优化LSTM 4.4.6 其他优化算法优化LSTM
全国大学生电子设计竞赛(电赛)相关资源(流程、模板、心得、历届资料等).docx
07-31
全国大学生电子设计竞赛(简称电赛)是一项旨在促进大学生电子设计能力提升和创新能力培养的全国性学科竞赛。以下是对电赛相关资源(流程、模板、心得、历届资料等)的详细概述: 一、竞赛流程 全国大学生电子设计竞赛的流程通常包括以下几个关键步骤: 报名与组队:参赛学生需按照学校或赛区的规定时间进行报名,并组成三人一队的小组。报名时需确定参赛的组别(如本科生组或高职高专学生组)。 培训与准备:参赛队伍在比赛前需进行充分的准备,包括学习相关电子设计知识、掌握必要的软硬件技能、熟悉竞赛规则等。学校或赛区可能会组织培训课程、模拟竞赛等活动帮助参赛队伍提升能力。 竞赛开始:竞赛通常在单数年的8月份举行,为期四天三夜。竞赛当天公布题目,参赛队伍需在规定时间内完成作品设计、制作及报告撰写。 作品提交与评审:竞赛结束后,参赛队伍需将作品及报告提交给赛区组委会进行评审。评审工作包括初评和复评两个阶段,最终评选出获奖队伍。 二、竞赛模板 在电赛中,参赛队伍需要提交的作品报告通常需要遵循一定的模板格式。以下是一个简化的作品报告模板示例: 封面:包括作品名称、参赛队伍信息(队伍名称、成员姓名、学校名称等)、竞赛日
chromedriver-mac-arm64_128.0.6534.0.zip
07-31
chromedriver-mac-arm64_128.0.6534.0.zip
Android内核剖析之Binder机制详解
Android内核剖析 - Binder框架和进程间通信(IPC) Android内核剖析中,Binder是一个关键组件,负责完成进程间通信(IPC),即把多个进程“别”在一起。在Android系统中,Binder工作在Linux层面,属于一个驱动,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值