滴水逆向 FileBuffer-ImageBuffer 课后作业

最新推荐文章于 2024-07-25 09:29:02 发布
最新推荐文章于 2024-07-25 09:29:02 发布
阅读量621 收藏 15
点赞数 8
文章标签: 单片机 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bruce_devil/article/details/138230034
版权

1)- 实现如下功能 

#include<stdio.h>
#include<stdlib.h>
#include<windows.h>
BYTE* bufferApply = nullptr;//将磁盘文件复制到内存中后, 使用bufferApply指向该空间
DWORD fileSize = 0;//将磁盘文件复制到内存时使用需要申请空间, 使用fileSize设置申请空间的大小

BYTE* bufferMem = nullptr;//将内存中文件进行拉伸时需要申请新的空间, 使用bufferMem指向该空间
BYTE* bufferNewMem = nullptr;//将内存中拉伸后的文件拉回到新的空间, 使用bufferNewMem指向该空间

WORD section_num = 0;//代表文件中节的个数
LPVOID pFileBuffer = NULL;
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS pNTHeader = NULL;
PIMAGE_FILE_HEADER pPEHeader = NULL;
PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
PIMAGE_SECTION_HEADER pSectionHeader = NULL;
char str[9] = { 0 };//用于存储节表中的节表名称字符串
void LoadToMemory() {
	char* road = "D:\\Ddisk\\goodThing\\fg.exe";//设置文件路径
	FILE *note = NULL;
	fopen_s(&note, road, "rb");//打开文件
	fseek(note, 0, SEEK_END);//将文件指针移到末端
	fileSize = ftell(note);//获取文件指针位置得知文件大小
	fseek(note, 0, SEEK_SET);//将文件指针移到开始位置
	bufferApply = (BYTE*)malloc(fileSize);//根据文件大小分配内存
	fread(bufferApply, 1, fileSize, note);//将文件指针指向的内容读取到内存中
	fclose(note);//关闭文件指针
}
void SetHeader() {//设置各个PE文件头的参数
	pDosHeader = (PIMAGE_DOS_HEADER)bufferApply;
	pNTHeader = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + (DWORD)bufferApply);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
	WORD optional_size = pPEHeader->SizeOfOptionalHeader;
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + optional_size);
	section_num = pPEHeader->NumberOfSections;
}
void ReleaseMem() {
	free(bufferApply);
	free(bufferMem);
	free(bufferNewMem);
}
void File_To_Image() {//将内存中的文件拉伸到新的空间
	bufferMem = (BYTE*)calloc(pOptionHeader->SizeOfImage, sizeof(char));
	memcpy(bufferMem, bufferApply, pOptionHeader->SizeOfHeaders);
	PIMAGE_SECTION_HEADER SectionHeader = pSectionHeader;
	for (int i = 0; i < section_num; i++) {
		memcpy((void*)((DWORD)bufferMem + SectionHeader->VirtualAddress),
			(void*)((DWORD)bufferApply + SectionHeader->PointerToRawData), SectionHeader->SizeOfRawData);
		SectionHeader++;
	}
	
}
void Image_To_Mem() {//将内存中的文件拉回到新的空间
	bufferNewMem = (BYTE*)malloc(fileSize);
	memcpy(bufferNewMem, bufferMem, pOptionHeader->SizeOfHeaders);
	PIMAGE_SECTION_HEADER SectionHeader = pSectionHeader;
	for (int i = 0; i < section_num; i++) {
		memcpy((void*)((DWORD)bufferNewMem + SectionHeader->PointerToRawData),
			(void*)((DWORD)bufferMem + SectionHeader->VirtualAddress), SectionHeader->SizeOfRawData);
		SectionHeader++;
	}
}
int main() {
	LoadToMemory();
	SetHeader();
	File_To_Image();
	Image_To_Mem();
	char* road = "D:\\Ddisk\\goodThing\\hello.exe";
	FILE *bomb = NULL;
	fopen_s(&bomb, road, "wb");
	size_t written = fwrite(bufferNewMem, 1, fileSize, bomb);
	fclose(bomb);
	ReleaseMem();
}

2)- 编写一个函数,能够将RVA的值转换成FOA. 

  • RVA (Relative Virtual Address):PE文件加载到内存中时相对于ImageBase的偏移量

  • FOA (File Offset Address):PE 文件中的数据相对于文件开始的偏移量

    #include<stdio.h>
#include<stdlib.h>
#include<windows.h>
BYTE* bufferApply = nullptr;//将磁盘文件复制到内存中后, 使用bufferApply指向该空间
DWORD fileSize = 0;//将磁盘文件复制到内存时使用需要申请空间, 使用fileSize设置申请空间的大小

WORD section_num = 0;//代表文件中节的个数
LPVOID pFileBuffer = NULL;
PIMAGE_DOS_HEADER pDosHeader = NULL;
PIMAGE_NT_HEADERS pNTHeader = NULL;
PIMAGE_FILE_HEADER pPEHeader = NULL;
PIMAGE_OPTIONAL_HEADER pOptionHeader = NULL;
PIMAGE_SECTION_HEADER pSectionHeader = NULL;
void LoadToMemory() {
	char* road = "D:\\Ddisk\\goodThing\\fg.exe";//设置文件路径
	FILE *note = NULL;
	fopen_s(&note, road, "rb");//打开文件
	fseek(note, 0, SEEK_END);//将文件指针移到末端
	fileSize = ftell(note);//获取文件指针位置得知文件大小
	fseek(note, 0, SEEK_SET);//将文件指针移到开始位置
	bufferApply = (BYTE*)malloc(fileSize);//根据文件大小分配内存
	fread(bufferApply, 1, fileSize, note);//将文件指针指向的内容读取到内存中
	fclose(note);//关闭文件指针
}
void SetHeader(BYTE* buffer) {//设置各个PE文件头的参数
	pDosHeader = (PIMAGE_DOS_HEADER)buffer;
	pNTHeader = (PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + (DWORD)buffer);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
	WORD optional_size = pPEHeader->SizeOfOptionalHeader;
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + optional_size);
	section_num = pPEHeader->NumberOfSections;
}
void ReleaseMem() {
	free(bufferApply);
}
DWORD RVA_To_FOA(BYTE* addr, BYTE* buffer) {
	BYTE* tem_buffer = (BYTE*)pDosHeader;//存储原来pDosHeader的数据, 因为下面要对数据进行修改
	SetHeader(buffer);//改变pDosHeader中的数据
	PIMAGE_SECTION_HEADER SectionHeader = pSectionHeader;
	DWORD offset = (DWORD)addr - (DWORD)buffer;//得到相对于起始位置的偏移地址
	for (int i = 0; i < section_num; i++) {//判断地址属于哪个节并做相应转换
		if (offset > SectionHeader->VirtualAddress &&
			(offset < (SectionHeader->VirtualAddress+SectionHeader->Misc.VirtualSize) || 
				offset < (SectionHeader->VirtualAddress+SectionHeader->SizeOfRawData))) {
			offset = offset - SectionHeader->VirtualAddress;
			DWORD file_off = (SectionHeader->PointerToRawData) + offset;
			SetHeader(tem_buffer);
			return file_off;
		}
		SectionHeader++;
	}
	SetHeader(tem_buffer);
	return -1;
}
int main() {
	LoadToMemory();
	SetHeader(bufferApply);
	ReleaseMem();
}

wave_sky
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
接下来,"filebuffer->imagebuffer->newbuffer"的过程可能是从磁盘读取PE文件到内存(filebuffer),然后解析文件内容,将PE头和节区数据加载到imagebuffer。在这个过程中,可能涉及到对不同节区(section)的解析,...
滴水三期完整版(96课时)
04-20
第37讲:2015-03-16(FileBufferImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-...
滴水逆向 FileBuffer--->ImageBuffer
clayoa的博客
01-02 846
上节课说到遍历节表,这节课让我们把FileBuffer-->ImageBuffer 海哥让我们用notepad.exe因为他的文件对齐和内存对齐是不一样的,如果一样的化,FileBufferImageBuffer是一样的,为什么ImageBuffer还是不能执行呢?因为ImageBuffer的地址是我们malloc出来的,首地址不是ImageBase。 写代码之前我们需要掌握几个知识点 1.ImageBuffer的大小是多少? 我们不能直接把FileBuffer复制过来,因为notepad.
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1563
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1167
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向第三期-fileBuffer_imageBuffer
tscg_的博客
03-20 460
本文详细介绍了一个PE文件从FileBufferImageBuffer的具体过程
filebuffer:快速简单的Rust读取文件
05-07
Filebuffer可以将文件映射到内存中。 这通常比在std::io使用原语更快,并且也更方便。 此外,该板条箱还提供了预取功能,并检查文件数据是否驻留在物理内存中(因此访问不会导致页面错误)。 这样可以进行非阻塞...
Content-Disposition使用方法和注意事项
12-19
HttpContext.Current.Response.BinaryWrite(fileBuffer); HttpContext.Current.Response.End(); } } // 在线打开 public static void ToOpen(string serverFilePath, string filename) { using (FileStream ...
detect-charset:检测文件的字符集
06-27
var fileBuffer = fs . readFileSync ( 'myfile.txt' ) ; detectCharset ( fileBuffer ) ; // "latin1" 支持的功能 拉丁语1 任何没有字节顺序标记或 unicode 字符的文件都将返回“latin1”。 没有任何 unicode ...
如何排查GD32 MCU复位是由哪个复位源导致的?
最新发布
聚沃科技&GD32 MCU开发者社区
07-25 306
GD32 MCU贴心的为大家提供了一个查看复位源的寄存器,如下图所示,该寄存器的bit26-bit31显示各种复位状态,其中LPRSTF表示发生过低功耗复位、WWDGTRSTF表示发上过窗口看门狗复位、FWDGTRSTF表示发生过独立看门狗复位、SWRSTF表示发生过系统软复位、PORRSTF表示发生过POR电源复位、EPRSTF表示发生过NRST引脚复位,这几个状态标志位为只读标志位,如果希望清除复位标志,可以通过置位bit24 RSTFC控制位实现。那么该寄存器该如何使用进行查看异常复位源呢?
MCU常见相关术语缩写说明
GY3509
07-17 677
MCU常见相关术语缩写说明
基于STM32F103的FreeRTOS系列(一)·单片机设计模式介绍·裸机程序的设计模式
时光の尘的博客
07-22 1093
裸机程序的设计模式可以分为:轮询、前后台、定时器驱动、基于状态机。:周期性地查询各个模块或函数的状态,适用于简单且响应时间要求不高的系统,但无法有效解决复杂函数之间的相互影响问题。:通过将关键任务放在前台处理,而非关键任务放在后台,以确保关键任务的优先执行。这种方式对优先级管理有效,但复杂函数之间的相互影响仍可能存在。:通过定时器周期性地触发任务执行,适合需要定期执行任务的场景,但不能解决函数间相互影响的问题。:将系统的各种状态和状态转移定义清晰,通过状态切换来控制系统行为。
龙迅LT9721 高性能MIPIDSI & HDMi转DP或者EDP点屏,支持4K60HZ分辨率,内置MCU
Ren19154948136的博客
07-23 636
转换器解码输入的18/24位RGB数据包,并将格式化的视频数据流转换为与4通道DP1.2兼容的输出,支持RBR(1.62Gbps)、HBR(2.7Gbps)和HBR2(5.4Gbps)链路速度。HDMI输入,LT9721特性HDMI1.4接收器1时钟车道和3数据车道运行在最大3.4Gbps每数据车道和最大输入带宽10.2Gbps,允许分辨率4Kx2K@30HzRGB格式和4Kx2K@60HzYUV420格式。3-水平当前能力广告(主机模式)或检测(设备模式)c型电源: USB默认,1。
【STM32】IIC学习笔记
祖国花朵的博文
07-22 258
最近沉迷手写笔记~尝试解读江科大的IIC程序,结合笔记更理解IIC
FreeRTOS操作系统(详细速通篇)——— 第六章
weixin_49007164的博客
07-21 804
1.1中断定义中断是 CPU 的一种常见特性,通常由硬件触发。当中断发生时,CPU 会暂停当前的程序,转而执行与该中断相关的服务程序。ARM Cortex-M 内核的微控制器(MCU)配备了嵌套向量中断控制器(NVIC,Nested Vectored Interrupt Controller),专门用于高效管理中断。简而言之,让CPU打断正常运行的程序,转而去处理紧急的事件(程序),就叫中断。
从0开始的STM32HAL库学习9
hwq_1229_0525的博客
07-22 339
选择如上图所示。
四、GD32 MCU 常见外设介绍 (5) TIMER 模块介绍
聚沃科技&GD32 MCU开发者社区
07-22 855
GD32 TIMER 主要特性◼ 总通道数: 4;◼ 计数器宽度: 16位;◼ 定时器时钟源可选:内部时钟,内部触发,外部输入,外部触发;◼ 多种计数模式:向上计数,向下计数和中央计数;◼ 正交编码器接口:用来追踪运动和分辨旋转方向和位置;◼ 霍尔传感器接口:用来做三相电机控制;◼ 可编程的预分频器: 16位。运行时可以被改变;◼ 每个通道可配置:输入捕获模式,输出比较模式,可编程的PWM模式,单脉冲模式;◼ 可编程的死区时间;◼ 自动重装载功能;◼ 可编程的计数器重复功能;
GPIO子系统
xace007的博客
07-24 841
芯片内部有很多引脚,这些引脚可以接到GPIO模块,也可以接到I2C等模块。通过Pinctrl子系统来选择引脚的功能(mux function)、配置引脚:当一个引脚被复用为GPIO功能时,我们可以去设置它的方向、设置/读取它的值。GPIO名为"General Purpose Input/Output",通用目的输入/输出,就是常用的引脚。GPIO可能是芯片自带的,也可能通过I2C、SPI接口扩展:GPIO有一些通用功能、通用属性。
addPic: function () { let that = this; wx.chooseImage({ count: 1, sizeType: ['original'], success: function(res) { var filePath = res.tempFilePaths[0]; wx.getFileSystemManager().readFile({ filePath: filePath, success: function(res) { wx.cloud .callFunction({ name: "checkImageSec", data: { //使用wx.cloud.CDN避免传输的图片过大 imgData: wx.cloud.CDN({ type: "filePath", filePath: filePath, }), }, }) .then((res) => { if (res.result.errCode === 87014) { wx.showToast({ title: "图片可能违规,请仔细检查后再试!", icon: "none", duration: 5000, }); } else { wx.showToast({ title: "图片检测通过", icon: "none", duration: 1000, }) } }); } }) } }) },这段函数中var filePath = res.tempFilePaths[0];图片可能超过1M会导致云函数报错,所以需要对图片进行压缩在上传云函数,怎么这个函数中添加图片压缩这个功能
05-27
可以使用第三方库node-image-resizer来实现图片压缩功能。首先需要安装node-image-resizer,在云函数中引入该库: ``` const imageResizer = require('image-resizer'); ``` 然后在success回调函数中添加图片压缩代码: ``` wx.getFileSystemManager().readFile({ filePath: filePath, success: function(res) { imageResizer(res.data, { width: 800, // 设置压缩后的宽度 quality: 80 // 设置压缩质量,值越大质量越高 }, function(err, buffer, image) { if (err) { console.error(err); return; } wx.cloud.callFunction({ name: "checkImageSec", data: { imgData: wx.cloud.CDN({ type: "fileBuffer", buffer: buffer, }), }, }).then((res) => { if (res.result.errCode === 87014) { wx.showToast({ title: "图片可能违规,请仔细检查后再试!", icon: "none", duration: 5000, }); } else { wx.showToast({ title: "图片检测通过", icon: "none", duration: 1000, }) } }); }); } }) ``` 在这个代码中,我们使用了image-resizer库来压缩图片,并将压缩后的图片以buffer形式传递给云函数。注意,使用buffer传递图片时,需要将wx.cloud.CDN的type设置为"fileBuffer"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值