Wine中PE格式文件的加载(三):PE格式文件的加载

最新推荐文章于 2023-05-28 11:14:06 发布
最新推荐文章于 2023-05-28 11:14:06 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: wine分析 文章标签: wine 系统兼容
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chrisnotfound/article/details/79957564
版权
本文深入解析Wine如何加载PE格式的Windows应用程序,从获取路径到映射到内存,涉及NtCreateSection、NtMapViewOfSection等关键步骤,详细阐述了wine在系统兼容性方面的实现。
摘要由CSDN通过智能技术生成

前面分析到ntdll中加载了kernel32,然后调用了kernel32的初始化函数__wine_kernel_init。该函数的实现在dlls/kernel32/process.c中。内容较多,就不完整截图了

首先函数开始获取了需要加载的windows应用的路径名,这个就是在开始执行的命令的微信的绝对路径,在wine中一般为“/home/username/.wine/drive_c/Programfile/Tencent/WeChat/WeChat.exe”

这个值在wine开始时将其放入全局变量,使用时还做了一些字符编码格式的处理

__wine_main_argc = argc;

__wine_main_argv = argv;

还有需要注意的是之前创建的PEB,TEB在这个过程中会不断的完善数据,而且需要是使用,比如这里也将路径写入了PEB。

得到了可执行文件的路径,接下来就是加载的具体实现。

 

部分函数代码如下图所示:

LoadLibraryExW在dlls/kernel32/module.c中实现,kernel32是加载了的,因此可以使用该函数。

最终在dlls/ntdll/loader.c中实现,实现函数为LdrLoadDll,这也符合windows以及wine的实现结构,从kernel32到ntdll。

 

LdrLoadDll函数如下图所示:

最低0.47元/天 解锁文章
chrisnotfound
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加载PE文件——PE加载器模拟法
跃然实验室
06-10 2335
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE文件:PE加载的过程
weixin_43742894的博客
03-31 2123
1、将PE文件从磁盘读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE加载过程
qq_58405021的博客
12-05 1365
PE加载过程
写一个PE的壳_Part 1:加载PE文件到内存
可乐松子的博客
05-25 1177
前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳和调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式和脱壳很有帮助 下面是结合自己的实践写的笔记,不是教程的原版翻译 教程主要实现的壳的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
Pe研究之:从内存加载Pe文件(代码重定位,进程隐藏,代码注入)
mergerly的专栏
01-19 5009
<br />Pe研究之:<br /> <br />从内存加载Pe文件<br /> <br />作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月<br />关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件<br />Remotthread, injectcode, relocation code, load dll from memory, load pe from memory load pe from memor
WinePE格式文件加载(一):Wine初始化过程
chrisnotfound
04-16 3093
首先了解下Wine初始化过程。我们执行”wine WeChat.exe”命令,发生的过程是怎么样的?接下来从wine源码一步步分析函数调用过程。在loader/目录下的源码编译,由main.c生成了“wine”Linux可执行文件;preloader.c生成了“pre-loader”Linux可执行文件。假设在终端通过命令“wine  WeChat.exe”启动微信;该过程涉及preloader,...
WinePE格式文件加载(四):DLL的装入和连接
chrisnotfound
05-04 2116
加载PE可执行文件后,回到kernel32的入口函数__wine_kernel_init,接下来调用了函数LdrInitializeThunk。dll的装入和连接过程主要是该函数实现的。函数部分代码如下图所示: 先用main_exe_file判断主模块是否已经被建立了,这是在wine_process_init函数被赋值的一个句柄类型。get_moderf的作用正如注释所说,是为可执行文件分...
linux wine 原理,wine的工作原理与自动运行PE程序
weixin_29476767的博客
05-14 1681
一次偶然的情况,发现我电脑上的linux可以直接使用./来执行tools/vnd/BCM7584UPKFxBA/brcm_sign_enc.exe程序,但是另外一台linux电脑就不可以。使用file命令查看该文件是windowsPE格式的程序。由于我电脑上有wine,猜测它是通过wine来执行的,因此 cat /proc/PID/maps,发现确实是被wine执行的,代码段加载了很多wine相关...
Linux内核实现PE加载器——Longene源码分析
chrisnotfound
06-06 1063
Longene是一个源自国的自由、开源的操作系统项目,目的是要把Linux的内核扩充成一个既支持Linux应用、也支持Windows应用,既支持Linux设备驱动、也支持Windows设备驱动的兼容内核;使用户可以直接在Linux操作系统上高效运行Windows应用。2006年发布了其第一个版本,但是自2014年以来,项目开发已停止,2018年5月其官网无法访问。这里就不多做介绍了,直接开始从源...
PE文件节区添加并弹出简单的对话框
12-03
PE文件自动添加节区,并弹出一个简单的对话框(可以自己修改成其它的东西)
pe 加载过程详解
abcd8080的博客
07-08 424
转载自 cvvd 最终编辑 cvvd PE文件格式作为Windows框架下的一种最为通用的可移植文件格式,被广泛使用的同时,也被广大Cracker研究。我写本系列文章的目的也主要立意于作为一名程序员或信息安全人员应该如何理解PE文件,这有助于我们对Windows旗下的win32子系统程序的理解和运用。闲话不多说。现在我们就将作为一个PELoader来学习一下PE文...
逆向分析学习笔记--PE文件加载流程
王二娃的生活的博客
10-07 2351
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数指定的程序状态和文件
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1135
主要步骤: 1.将要加载的文件读取到内存(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间(模仿PE加载器将文件装载到虚拟内存),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
pe加载流程的理解
goushixiun的专栏
11-08 1193
。当试图运行可执行模块时,操作系统加载程序将执行下面的操作步骤: 加载程序为新进程创建一个虚拟地址空间。可执行模块被映射到新进程的地址空间。加载程序对可执行模块的输入节进行分析。对于该节列出的每个D L L名字,加载程序要找出用户系统上的D L L模块,再将该D L L映射到进程的地址空间。注意,由于D L L模块可以从另一个D L L模块输入函数和变量,因此D L L模块可以拥有它自己的输入
PE文件加载到内存的主要步骤
gzfqh的专栏 →底层代码研究
04-16 7778
1 当PE文件被执行,PE加载器会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载器会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载器读取节表的信息,然后采用内存文件映射的方法将这些节映射到内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射到内存后,P
【已解决】win7系统出现ntdll.dll错误模块怎么解决?
热门推荐
qdx698767896的博客
01-06 2万+
ntdll.dll模块故障怎么办?ntdll.dll是windonws 7操作系统重要的一个组件,是NT内核级文件,系统从ring3到ring0的入口。当Windows启动时,ntdll.dll就驻留在内存特定的写保护区域,使别的程序无法占用这个内存区域!当我们在win7 64位系统遇到了ntdll.dll模块故障的错误提示后该如何解决?在本文winwin7小编给大家分享下修复方法。 ntdll.dll丢失的解决方法 1、从本站下载ntdll.dll文件【点击进入下载地址】 2、将下载过
模拟PE文件加载
qq_35289660的博客
08-10 864
PE重载 文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:1245885144???????? 1.PE重载原理 模拟系统加载一个exe的过程, 通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方
Linux_使用wine_软件_安装使用windows软件
最新发布
qq_44681788的博客
05-28 1万+
Linux_使用wine_软件_安装使用windows软件
Wine在Linux运行Windows应用:安装、配置与字体处理
在【标题】提到的“iec_tr_62380可靠性预计通用模型分析”可能是指国际电工委员会(IEC)的62380标准,该标准涉及电力系统设备的可靠性预计,但在此文的上下文并未具体展开讨论,而是重点放在了Wine的使用上。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值