滴水PE作业(3月16日)

已于 2023-03-22 10:50:45 修改
阅读量137 收藏 1
点赞数
文章标签: c++ windows c语言
于 2023-03-17 19:49:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bruce_devil/article/details/129627226
版权

 目标如上图: 将文件放入内存后拉伸再拉回去存盘

代码如下, 写的比较乱, 没怎么整理, 大佬勿怪

发现一些问题, 节的数据没有存盘, 所以导出来的文件无法运行( ̄▽  ̄)

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<Windows.h>
//存入内存
//开始拉伸
//拉回来
//存回硬盘

//存入内存
//1. 打开文件
//2. 开辟空间
// 2.1获取开辟空间的大小
//3. 载入
FILE* OpenFile() {
	//打开文件
	FILE* file_point;
	int return1 = fopen_s(&file_point, "C:\\Windows\\System32\\notepad.exe","rb");
	if (return1 != 0) {
		printf("获取文件指针错误\n");
	}
	return file_point;
}
char* GetMemory(FILE* file_point) {
	//开辟空间
	fseek(file_point, 0, SEEK_END);
	int file_size = ftell(file_point);
	fseek(file_point, 0, SEEK_SET);
	char* enter_memory = (char*)malloc(sizeof(char) * file_size);
	fread(enter_memory, file_size, 1, file_point);
	return enter_memory;
}
void FreeMemory(FILE* file_point, char* memory_point[], int memory_size) {
	for (int i = 0; i < memory_size; i++) {
		free(memory_point[i]);
	}
	fclose(file_point);
}

//将16进制转成字符, 检测用, 一般没什么用
void conversion(int data) {
	char* point = (char*)&data;
	for (int i = 0; i < 4; i++) {
		printf("%c", *point);
		point++;
	}
}
//开始拉伸
// 1.根据可选PE头里sizofImage的大小申请空间, 将空间全部用0覆盖
// 2. 申请完后根据sizeofHeaders的值将headers的数据加入新的空间
// 3. 根据标准pe头里的numberofSection遍历节表, 
// 4.根据节表中的PointertoRawData与SizeOfRawData将数据填入VisualAddress所指向的内存
char* BeginStretch(char* memory) {
	PIMAGE_DOS_HEADER dos_header = NULL;
	dos_header = (PIMAGE_DOS_HEADER)memory;

	//创建nt头并根据dos头的数据设置nt头的起始地址
	PIMAGE_NT_HEADERS nt_header = NULL;
	nt_header = (PIMAGE_NT_HEADERS)((DWORD)dos_header + dos_header->e_lfanew);

	//创建PE标准头并从中获得NumberOfSections
	PIMAGE_FILE_HEADER file_header = NULL;
	file_header = &(nt_header->FileHeader);
	int section_num = file_header->NumberOfSections;

	//从标准PE头转到可选PE头并获取SizeOfImage
	PIMAGE_OPTIONAL_HEADER optional_header = NULL;
	optional_header = (PIMAGE_OPTIONAL_HEADER)((DWORD)file_header + IMAGE_SIZEOF_FILE_HEADER);
	int stretch_size = optional_header->SizeOfImage;

	//创建新的空间清零并复制headers至新的空间
	char* new_memory = (char*)malloc(sizeof(char)*stretch_size);
	memset(new_memory, 0, stretch_size);
	memcpy(new_memory, memory, optional_header->SizeOfHeaders);
	//获取memory的节表
	PIMAGE_SECTION_HEADER section_header = NULL;
	section_header = (PIMAGE_SECTION_HEADER)((DWORD)optional_header + file_header->SizeOfOptionalHeader);

	//创建新的dos头并根据dos头的e_lfanew创建nt头
	PIMAGE_DOS_HEADER new_dos = NULL;
	new_dos = (PIMAGE_DOS_HEADER)new_memory;
	PIMAGE_NT_HEADERS new_nt_header = NULL;
	new_nt_header = (PIMAGE_NT_HEADERS)((DWORD)new_dos + new_dos->e_lfanew);

	//获取new_memory的节表, 寻找到了速度较快的写法
	PIMAGE_SECTION_HEADER new_section = NULL;
	new_section = (PIMAGE_SECTION_HEADER)((DWORD)(new_nt_header + 1));

	//遍历节表, 根据memory节表中的PointertoRawData与SizeOfRawData将数据填入new_memory的VisualAddress所指向的内存
	//偏移需要加上memory才是正确的地址
	for (int i = 0; i < section_num; i++) {
		memcpy((char*)(new_memory+new_section->VirtualAddress), (char*)(memory+section_header->PointerToRawData), section_header->SizeOfRawData);
		section_header++;
		new_section++;
	}
	return new_memory;
}
//拉回来
//先确定需要申请多大的空间后申请空间后清零
// 1.根据file_header中的number_of_section确定节表的数量
// 2. 根据节表中最后一个节的pointer_to_raw_data+Visual_size的起始地址确定需要的大小
//根据optional_header中的size_of_headers将headers加入新的内存
//根据节表中的visual_address+memory起始地址确定节的位置
//根据节表中的visual_size确定每个节要复制的大小
//将上面的节根据新节表中的PointeToRawData复制到last_memory
char* Back_Origin(char* new_memory){
	//新建nt头
	PIMAGE_DOS_HEADER new2_dos = NULL;
	new2_dos = (PIMAGE_DOS_HEADER)new_memory;
	PIMAGE_NT_HEADERS new2_nt = NULL;
	new2_nt = (PIMAGE_NT_HEADERS)((DWORD)new2_dos + new2_dos->e_lfanew);

	//根据file_header中的number_of_section确定节表的数量
	PIMAGE_FILE_HEADER new2_file = (PIMAGE_FILE_HEADER)((DWORD)new2_nt+4);
	int new2_section_num = new2_file->NumberOfSections;
	
	//找到第一个节表的位置
	PIMAGE_SECTION_HEADER new2_section = NULL;
	new2_section = (PIMAGE_SECTION_HEADER)((DWORD)(new2_nt + 1));

	//定位到最后一个节
	for (int i = 0; i < new2_section_num-1; i++) {
		new2_section++;
	}
	//根据节表中最后一个节的pointer_to_raw_data+Visual_size确定需要的大小
	DWORD size = (DWORD)(new2_section->PointerToRawData + new2_section->Misc.VirtualSize);
	
	//申请空间
	char* last_memory = (char*)malloc(sizeof(char) * size);
	memset(last_memory, 0, size);

	//获取headers的大小并复制到last_memory
	PIMAGE_OPTIONAL_HEADER new2_optional = (PIMAGE_OPTIONAL_HEADER)((DWORD)new2_file + 20);
	DWORD last_headers_size = new2_optional->SizeOfHeaders;
	memcpy(last_memory, new_memory, last_headers_size);

	//定位到last_memory的起始节表
	PIMAGE_DOS_HEADER last_dos = NULL;
	last_dos = (PIMAGE_DOS_HEADER)last_memory;
	PIMAGE_NT_HEADERS last_nt = NULL;
	last_nt = (PIMAGE_NT_HEADERS)((DWORD)last_dos + last_dos->e_lfanew);
	PIMAGE_SECTION_HEADER last_section = NULL;
	last_section = (PIMAGE_SECTION_HEADER)((DWORD)(last_nt + 1));
	
	for (int i = 0; i < new2_section_num; i++) {
		memcpy((char*)(last_memory + last_section->PointerToRawData), (char*)(new_memory + new2_section->VirtualAddress), new2_section->Misc.VirtualSize);
		last_section++;
		new2_section++;
	}
	return last_memory;
}
// 存回硬盘
//确定last_memory的容量
//使用fwrite函数
void Back_Rom(char* last_memory) {
	//新建nt头
	PIMAGE_DOS_HEADER new2_dos = NULL;
	new2_dos = (PIMAGE_DOS_HEADER)last_memory;
	PIMAGE_NT_HEADERS new2_nt = NULL;
	new2_nt = (PIMAGE_NT_HEADERS)((DWORD)new2_dos + new2_dos->e_lfanew);

	//根据file_header中的number_of_section确定节表的数量
	PIMAGE_FILE_HEADER new2_file = (PIMAGE_FILE_HEADER)((DWORD)new2_nt + 4);
	int new2_section_num = new2_file->NumberOfSections;

	//找到第一个节表的位置
	PIMAGE_SECTION_HEADER new2_section = NULL;
	new2_section = (PIMAGE_SECTION_HEADER)((DWORD)(new2_nt + 1));

	//定位到最后一个节
	for (int i = 0; i < new2_section_num - 1; i++) {
		new2_section++;
	}
	//根据节表中最后一个节的pointer_to_raw_data+Visual_size确定需要的大小
	DWORD size = (DWORD)(new2_section->PointerToRawData + new2_section->Misc.VirtualSize);
	FILE* last_one_file = NULL;
	fopen_s(&last_one_file, "D:\\Ddisk\\last_memory.exe", "wb");
	fwrite(last_memory, 1, size, last_one_file);
	fclose(last_one_file);
}
void main() {
	FILE* file_point = OpenFile();
	char* memory_point = GetMemory(file_point);
	char* new_memory = BeginStretch(memory_point);
	char* last_memory = Back_Origin(new_memory);
	Back_Rom(last_memory);
	//conversion(0x7865742e);
	char* memory[] = { memory_point,new_memory, last_memory};
	int num = (sizeof(memory)) / 4;
	FreeMemory(file_point, memory, num);
}

wave_sky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FileBuffer 与 ImageBuffer 互相转换(滴水PE作业
hambaga的博客
05-10 1062
主函数 // buffer.cpp : Defines the entry point for the console application. // #include "stdafx.h" int main(int argc, char *argv[]) { //PrintNTHeaders(); LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewBuffer = NULL; int fileSize = 0;
滴水逆向三期笔记和作业-PE总结3
weixin_44449397的博客
01-20 1292
导出表,重定位表,IAT表和导入表,绑定导入表
滴水_PE结构_pdf.zip
08-04
滴水逆向PE结构高清 PE文件是Windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅用在Windows系列操作系统下。 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。
滴水PE知识点学习笔记
qq_28526211的博客
03-27 1067
PE文件分为四部分: DOS部分,多是历史遗留问题,并不重要; DOS内一共有2个部分,第一个是MZ文件头,也就是拖入文件后显示的4D5A,大小一共64个字节; 第二部分是DOS Stub,也就是DOS块,他的大小不确定;如果是病毒程序,则可以在这里注入一些代码; 如何确定DOS块的大小:在MZ文件头结构体中,最后四个字节指向PE头的地址,PE头到结构体的距离就是DOS块的大小; PE文件头;...
PE头解析_手动(滴水
若面朝大海边竹妮春暖花开的博客
04-21 478
文件存储在硬盘上和在内存上加载时文件内容几乎相同,位置不同 打开notepad.exe在硬盘上是从0开始,在内存中是从100000开始 应用程序、DLL和SYS程序的开头全都是4D 5A,他们都是PE文件 可以看到文件总是分成一段一段的,中间有很多0,我们叫它分节 硬盘中的段之间空隙小,内存中空隙大 文件中有一部分是代码,有一部分是数据,有的数据是可读可写,有的数据是只能读不能写 老的编译器硬盘...
滴水逆向培训基础教程_PE结构笔记
06-01
滴水逆向培训基础教程_PE结构笔记
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
"滴水逆向3期作业"是一个关于逆向工程的学习项目,重点在于理解C++源码中如何处理文件,特别是与PE(Portable Executable)文件格式相关的操作。PE文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和...
滴水三期完整版(96课时)
04-20
项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
滴水逆向作业——PE_02打印PE头部信息
weixin_44584614的博客
02-15 1259
打印PE头部信息: PE头包含:DOS头+4字节PE标识符+NT头(标准PE头+可选PE头)。 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> FILE* open_file(char* file_path,char* open_mode); int com...
PE文件的结构图,pe学习必备
05-19
pe文件结构复杂,不易掌握,有了此图对于学习pe文件的结构大有帮助哈!
滴水三期:day27.1-PE结构概况
Edimade的博客
05-02 1012
一、引入PE结构(1.硬盘上的与加载到内存的文件结构异同>2.可执行文件与不可执行文件)>二、PE结构(1.PE文件的两种状态>2.分节(段)>3.硬盘对齐与内存对齐>4.记录文件信息的PE结构>5.PE文件结构组成部分)>三、手动解析DOS头和NT头(1.DOS头与NT头整体框架>2.找出DOS头数据并计算大小>3.找出NT头数据)
滴水PE前漏洞
2514804004的博客
03-28 274
滴水逆向PE前复习漏洞1. 只用逻辑运算2-3=?2. 标志寄存器的位置3. CPU是如何计算2+3=?4. 获取某个值的第N位的值是多少?5. 常见的几种调用约定6. console程序入口查找7. 变量的特点8. 参数传递的问题 1. 只用逻辑运算2-3=? 2-3=-1 #用计算机的逻辑运算本质运算 X:0010 #将2存入容器X Y:1101 #将-3存入容器Y 0010 xor 1101 #异或 1111 #值为-1 0010
滴水逆向三期41作业C语言提取文件PE头部信息
WdIg-2023的博客
02-27 560
C语言提取文件PE头部信息
滴水PE作业添加节并在节中添加代码
qq_52442096的博客
01-18 125
【代码】滴水PE作业添加节并在节中添加代码。
滴水逆向PE作业——扩大一个节
weixin_44584614的博客
03-19 771
扩大一个节: 流程如下: 注意:修改完ImageBuffer后需要将其再压缩(拉伸的逆过程)后再存盘。 代码: // ExtendLastSection.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include "windows.h" #include "malloc....
滴水逆向c++视频
fuxiu_it的博客
01-25 6370
2018年最新的滴水逆向c++视频 该视频收集于网络 目前是全网最新的 编程达人上的,口碑不错 推荐给大家,试看地址: 链接:https://pan.baidu.com/s/1hsU5LCK 密码:fgf4 视频收集不易,收取少量费用,地址内有购买链接
滴水--------------PE节表解析
clayoa的博客
12-19 818
上一篇文章我们说到PE头解析,我们这次继续解析节表 先学习一个新的类型【节表中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员表 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
C语言 之 理解指针(1)
最新发布
fallzzzzz的博客
07-20 1127
就是先获取该数组的首元素的地址,从前面我们知道,指针的类型的作用是指针+1 所跳过的字节数,int为整形,大小为4个字节,所以p+1就跳过4个字节,p+2就跳过8个字节,计算机的CPU(中央处理器)在处理数据的时候,需要的数据是在内存中读取的,处理后数据也会放回内存中,如果想对这些空间进行高效的管理,就可以。并且我们知道,数组的元素存放是随着下标增长,内存地址变大的。上面的代码创建了一个整型变量n,因为一个整形的大小是4个字节,所以内存中申请了4个字节,⽤于存放整数10,其中每个字节都有地址。
C语言实现:文件系统操作与PE修改源码
本文档是关于滴水逆向文件操作和PE文件修改的C语言源代码,主要关注于对可执行文件(PE)的低级操作。以下是关键知识点的详细解析: 1. **文件系统操作入口点**: 文件名为`Filesystem_operations.cpp`,定义了一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值