滴水逆向 FileBuffer--->ImageBuffer

最新推荐文章于 2024-05-07 18:25:24 发布
最新推荐文章于 2024-05-07 18:25:24 发布
阅读量823 收藏 1
点赞数 2
文章标签: c++ 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clayoa/article/details/122277701
版权

上节课说到遍历节表,这节课让我们把FileBuffer-->ImageBuffer

海哥让我们用notepad.exe因为他的文件对齐和内存对齐是不一样的,如果一样的化,FileBuffer和ImageBuffer是一样的,为什么ImageBuffer还是不能执行呢?因为ImageBuffer的地址是我们malloc出来的,首地址不是ImageBase。

写代码之前我们需要掌握几个知识点

1.ImageBuffer的大小是多少?

我们不能直接把FileBuffer复制过来,因为notepad.exe的FileBuffer没有拉伸,我们回想PE结构,OptionalHeader有一个属性记载着ImageBuffer的大小,那就是SizeOfImage。

2.FileBuffer和ImageBuffer的Headers是没有区别的,头部没有拉伸,直接复制过来即可

3.如何复制节表?

因为FileBuffer和ImageBuffer的区别就是节表在内存中的位置不同,我们要一个一个节表的循环复制,那么我们要复制几次?FilePE头的NumberOfSection参数记录这节表的数量。我们要从哪里开始复制复制多少?节表里给出了答案。我们要从FileBuffer的PointerToRawData开始复制到ImgaeBuffer的VirtualAddress,复制SizeOfRawData的大小。

4.这里用到了二级指针,为什么要用到二级指针?因为当一个函数要返回两个参数的时候,就要用到二级指针。

5.当我们ImageBuffer——>NewBuffer的时候,我们怎么知道NewBuffer开辟malloc的大小?

因为Headers是一样的,我们只需要看节表就行,我们首先要循环到最后一个节表,找到PointerToRawData也就是在文件中的偏移,然后再找到SizeOfRawData也就是文件对齐后的大小,这两个相加就是NewBuffer的大小(记得把SectionHeader的指针还原,因为后面还需要遍历)

代码:

#include "stdafx.h"
#include<stdio.h>
#include<windows.h>
#include<malloc.h>
//
//FileBuffer函数
DWORD ReadPEFile(LPVOID* ppFileBuffer)
{
	FILE* pFile=NULL;
	DWORD SizeFileBuffer=0;
	pFile=fopen("C://WINDOWS//system32//notepad.exe","rb");
	if(!pFile)
	{
		printf("打开notepad失败\n");
		return 0;
	}
	//获取文件大小
	fseek(pFile,0,SEEK_END);
	SizeFileBuffer=ftell(pFile);
	fseek(pFile,0,SEEK_SET);
	if(!SizeFileBuffer)
	{
		printf("读取文件大小失败\n");
		return 0;
	}
	//开辟空间
	*ppFileBuffer=malloc(SizeFileBuffer);
	if(!*ppFileBuffer)
	{
		printf("开辟空间失败\n");
		fclose(pFile);
		return 0;
	}
	//复制数据
	size_t n=fread(*ppFileBuffer,SizeFileBuffer,1,pFile);
	if(!n)
	{
		printf("复制数据失败\n");
		free(*ppFileBuffer);
		fclose(pFile);
		return 0;
	}
	fclose(pFile);
	return SizeFileBuffer;
}



///
//FileBuffer--->ImgaeBuffer
DWORD FileBufferToImageBuffer(LPVOID pFileBuffer,LPVOID* ppImageBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader=NULL;
	PIMAGE_NT_HEADERS pNTHeader=NULL;
	PIMAGE_FILE_HEADER pFileHeader=NULL;
	PIMAGE_OPTIONAL_HEADER pOptionalHeader=NULL;
	PIMAGE_SECTION_HEADER pSectionHeader=NULL;

	if(!pFileBuffer)
	{
		printf("FileBuffer函数调用失败\n");
		return 0;
	}
	printf("%x\n",pFileBuffer);
//判断是否是PE文件
	pDosHeader=(PIMAGE_DOS_HEADER)pFileBuffer;
	if(pDosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return 0;
	}

	pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);
	if(pNTHeader->Signature!=IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return 0;
	}

	pFileHeader=(PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);
	
	pOptionalHeader=(PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader+20);


	//开辟ImageBuffer空间
	*ppImageBuffer=malloc(pOptionalHeader->SizeOfImage);
	if(!*ppImageBuffer)
	{
		printf("开辟ImageBuffer空间失败");
		return 0;
	}
	printf("SizeOfImage%x\n",pOptionalHeader->SizeOfImage);
	//malloc清零
	memset(*ppImageBuffer,0,pOptionalHeader->SizeOfImage);

	//复制Headers
	printf("SizeOfHeader%x\n",pOptionalHeader->SizeOfHeaders);
	memcpy(*ppImageBuffer,pDosHeader,pOptionalHeader->SizeOfHeaders);

	//循环复制节表
	pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader+pFileHeader->SizeOfOptionalHeader);
	for(int i=1;i<=pFileHeader->NumberOfSections;i++,pSectionHeader++)
	{
		memcpy((LPVOID)((DWORD)*ppImageBuffer+pSectionHeader->VirtualAddress),(LPVOID)((DWORD)pFileBuffer+pSectionHeader->PointerToRawData),pSectionHeader->SizeOfRawData);
		printf("%d\n",i);
	}
	printf("拷贝完成\n");
	return pOptionalHeader->SizeOfImage;
}




/
//ImageBufferToFileBuffer
DWORD ImageBufferToFileBuffer(LPVOID pImageBuffer,LPVOID* ppBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader=NULL;
	PIMAGE_NT_HEADERS pNTHeader=NULL;
	PIMAGE_FILE_HEADER pFileHeader=NULL;
	PIMAGE_OPTIONAL_HEADER pOptionalHeader=NULL;
	PIMAGE_SECTION_HEADER pSectionHeader=NULL;

	if(!pImageBuffer)
	{
		printf("error");
		return 0;
	}

	pDosHeader=(PIMAGE_DOS_HEADER)pImageBuffer;
	pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pImageBuffer+pDosHeader->e_lfanew);
	pFileHeader=(PIMAGE_FILE_HEADER)((DWORD)pNTHeader+4);
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + 20);
	pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader+pFileHeader->SizeOfOptionalHeader);

	//得到FileBuffer的大小
	for(int i=1;i<pFileHeader->NumberOfSections;i++,pSectionHeader++)
	{
		printf("%d\n",i);
	}
	
	//循环到最后一个节表
	DWORD SizeOfBuffer=pSectionHeader->PointerToRawData+pSectionHeader->SizeOfRawData;

	//开辟空间
	*ppBuffer=malloc(SizeOfBuffer);
	if(!*ppBuffer)
	{
		printf("开辟Buffer空间失败\n");
		return 0;
	}
	printf("SizeOfBuffer%x\n",SizeOfBuffer);
	memset(*ppBuffer,0,SizeOfBuffer);

	//复制头
	memcpy(*ppBuffer,pImageBuffer,pOptionalHeader->SizeOfHeaders);
	//复制节表
	pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionalHeader+pFileHeader->SizeOfOptionalHeader);
	for(int j=1;j<=pFileHeader->NumberOfSections;j++,pSectionHeader++)
	{
		printf("%d\n",j);
		memcpy((LPVOID)((DWORD)*ppBuffer+pSectionHeader->PointerToRawData),(LPVOID)((DWORD)pImageBuffer+pSectionHeader->VirtualAddress),pSectionHeader->SizeOfRawData);
	}
	printf("拷贝完成\n");
	return SizeOfBuffer;


}





/
//存贮到新的exe
BOOL MemeryToFile(LPVOID pBuffer,DWORD SizeOfBuffer)
{
	FILE* fpw=fopen("C://WINDOWS//system32//creakme.exe","wb");
	if(!fpw)
	{
		printf("fpw error");
		return false;
	}
	if (fwrite(pBuffer, 1, SizeOfBuffer, fpw) == 0)
	{
		printf("fpw fwrite fail");
		return false;
	}
	fclose(fpw);			
	fpw = NULL;
	printf("success\n");
	return true;

}








int main()
{
	LPVOID pFileBuffer=NULL;
	LPVOID* ppFileBuffer=&pFileBuffer;    //定义二级指针
	LPVOID pImageBuffer=NULL;
	LPVOID* ppImageBuffer=&pImageBuffer;  //定义二级指针
	DWORD SizeOfFileBuffer=0;
	DWORD SizeOfImageBuffer=0;
	DWORD SizeOfBuffer=0;

	LPVOID pBuffer=NULL;
	LPVOID* ppBuffer=&pBuffer;


	//调用filebuffer函数
	SizeOfFileBuffer=ReadPEFile(ppFileBuffer);
	if(!SizeOfFileBuffer)
	{
		printf("FileBuffer函数调用失败 \n");
		return 0;
	}
	pFileBuffer=*ppFileBuffer;



	//调用FileBufferToImageBuffer函数
	SizeOfBuffer=FileBufferToImageBuffer(pFileBuffer,ppImageBuffer);

	if(!SizeOfBuffer)
	{
		printf("调用FileBufferToImageBuffer函数失败");
		return 0;
	}

	//调用ImageBufferToBuffer
	SizeOfBuffer=ImageBufferToFileBuffer(pImageBuffer,ppBuffer);
	pBuffer=*ppBuffer;
	if(!SizeOfBuffer)
	{
		printf("SizeOfBuffer error");
		return 0;
	}

	//调用MemeryToFile
	if(MemeryToFile(pBuffer,SizeOfBuffer)==false)
	{
		printf("end");
		return 0;
	}





}

代码效果:

 

 

ma_lic
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
filebuffer-imagebuffer
tell_me_404的博客
08-09 825
问题描述 映像关系 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pfile = NULL; // 文件指针 DWORD file_size = 0; LPVOI
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1098
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件(四)FileBuffer-ImageBuffer
最新发布
2301_78838647的博客
05-07 639
4.复制所有的节:通过第一个节对应节表中的PointerToRawData的值确定该节在FileBuffer的起始地址,然后通过SizeOfRawData的值确定该节在FileBuffer中需要复制的数据的大小,再通过VirtualAddress再加上ImageBase得到此节在ImageBuffer中的起始地址,最后将FileBuffer对应的数据在ImageBuffer中的起始地址位置开始复制,完成第一个节的复制。此时ImageBuffer中的文件的数据满足文件运行的条件,但文件仍然不能真正的运行。
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 1999
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1480
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
detect-charset:检测文件的字符集
06-27
var fileBuffer = fs . readFileSync ( 'myfile.txt' ) ; detectCharset ( fileBuffer ) ; // "latin1" 支持的功能 拉丁语1 任何没有字节顺序标记或 unicode 字符的文件都将返回“latin1”。 没有任何 unicode ...
滴水三期完整版(96课时)
04-20
第37讲:2015-03-16(FileBufferImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-...
node-id3:纯JavaScript ID3标签库
04-27
安装npm install node-id3用法const NodeID3 = require ( 'node-id3' )/* Variables found in the following usage examples */const filebuffer = Buffer . from ( "Some Buffer of a (mp3) file" )const filepath ...
积分java源码-tech_talk:帮助AdventureStory开源
06-06
fileBuffer.length; i++) { fileBuffer[i] = (uint_8) (fileBuffer[i] ^ key[i % 0x11]); } 网络通信使用RESTful 风格API,通信走HTTP协议,将数据通过过自定义加密之后进行传输 加密方式: int rand1 = rand() % ...
FileBuffer-ImageBuffer-FileBuffer
qq_42363151的博客
08-28 255
PE
ImageBuffer.h头文件
06-01
头文件 ImageBuffer.h 代码
file-buffer:将大数据缓冲到磁盘,提供java InputStreams和OutputStreams
05-14
文件缓冲区 概述 该软件包实现了FileBuffer类,该类可以用java.io.OutputStream写入并通过java.io.InputStream读取。 写入会进入缓冲区的尾部,而读取会从头部开始。 该实现可确保阅读不会超过写作,从而保留了java.io.InputStream的阻塞语义。 +--------------+ | | OutputStream.write -> | FileBuffer | -> InputStream.read | | +--------------+ FileBuffer旨在允许并发下载大
FILE_BUFFERIMAGE_BUFFER
CSDN-ych
03-10 153
首先需要知道FILE_BUFFER是什么,FILE_BUFFER就是文件存放在磁盘上的空间,IMAGE_BUFFER指的是文件在内存上存放的空间,而从磁盘到内存上,文件到底发生了什么。在这里先简略介绍一个,因为其中还有其他的很多因素,导入表,重定位表,段页,虚拟内存等等 首先,当我们点下鼠标,OS会给文件分配可选文件头中的虚拟的4GB大小的空间(我们不考虑虚拟内存,认为OS将这个文件全都存放在内存上的一个连续空间中)。 这个SizeOfImage的大小包括:DOS头大小,垃圾数据,NT文件头,节表的大小
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1628
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
6.PE文件之FileBufferImageBuffer转换
kernelhack
10-27 3908
FileBuffer可以看作是文件在硬盘时的数据,WinHex等工具展示出来就是这种状态. ImageBuffer可以看作是文件按照PE格式拉伸到内存中的状态,可以称为进程,OD等工具查看的就是文件在内存中的数据(已经完成重定位,IAT等修复). FileBuffer <-> ImageBuffer 下述过程不进行重定位,IAT等修复,只是将数据按照PE格式进行拉伸. FileBuffer -> ImageBuffer 1.根据IMAGE_OPTIONAL_HEADER.
html5 缓冲,HTML5图像缓冲区(HTML5 Image Buffer)
weixin_39739395的博客
06-29 477
HTML5图像缓冲区(HTML5 Image Buffer)我是一名JavaScript初学者程序员。 我不使用jQuery! 我想做一个简单的游戏。我正在使用多个图像加载到画布imageObj.onload = function(){}我为多个按键使用了一个keylistener,这样图像就可以在对角线上移动,同时按下向上和向左按键,如下所示:函数keydown_handler(e){my_ke...
pe:filebufferimagebuffer地址对应
Iamangle122的博客
12-16 653
VirtualAddress+misc.VirtualSize>VirtualAddress-ImageBuffer>VirtualAddress找到对应节,在fileBuffer找到对应节,RawData+节偏移
BufferImageimagezh整理归纳
码农的田园
08-18 1297
BufferImageimage的直接子类,增加了缓冲功能。BufferedImage生成的图片在内存里有一个图像缓冲区,利用这个缓冲区我们可以很方便的操作这个图片,通常用来做图片修改操作如大小变换、图片变灰、设置图片透明或不透明等。 加载图片到内存: BufferedImage image = ImageIO.read(new FileInputStream(imgPath));//利用g
antd vue 中 table列表中实现点击预览xlsx文件弹窗可以吗
06-07
是的,可以通过以下步骤在 Antd Vue 的 Table 列表中实现点击预览 XLSX 文件弹窗: 1. 安装 `file-saver` 和 `xlsx` 库 ``` npm install file-saver xlsx --save ``` 2. 在 Table 组件中添加一个列,用于显示预览按钮 ```vue <template> <a-table :dataSource="dataSource" :columns="columns"> <template #action="text, record"> <a @click="previewExcel(record)">预览</a> </template> </a-table> </template> <script> import { saveAs } from 'file-saver'; import XLSX from 'xlsx'; export default { data() { return { dataSource: [{ name: 'John', age: 32 }, { name: 'Bob', age: 24 }], columns: [ { title: 'Name', dataIndex: 'name', key: 'name', }, { title: 'Age', dataIndex: 'age', key: 'age', }, { title: 'Action', key: 'action', slots: { customRender: 'action' }, }, ], }; }, methods: { previewExcel(record) { const worksheet = XLSX.utils.json_to_sheet([record]); const workbook = XLSX.utils.book_new(); XLSX.utils.book_append_sheet(workbook, worksheet, 'Sheet1'); const fileBuffer = XLSX.write(workbook, { type: 'array', bookType: 'xlsx' }); const blob = new Blob([fileBuffer], { type: 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet' }); saveAs(blob, `preview-${record.name}.xlsx`); }, }, }; </script> ``` 在上面的代码中,我们添加了一个 `action` 列,用于显示预览按钮。在 `previewExcel` 方法中,我们将当前行的数据转换为 XLSX 文件,并将其保存为 Blob 对象,然后使用 `file-saver` 库的 `saveAs` 方法将该 Blob 对象保存为文件并下载。 注意,这里我们使用的是 `json_to_sheet` 方法将数据转换为 XLSX 文件,只会将第一个数据对象转换为 XLSX 文件。如果需要将整个列表转换为 XLSX 文件,可以使用 `json_to_sheet` 方法将整个数据源转换为 XLSX 文件,然后使用 `book_append_sheet` 方法将该表添加到工作簿中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值