PE文件加载流程

最新推荐文章于 2024-05-20 21:00:33 发布
最新推荐文章于 2024-05-20 21:00:33 发布
阅读量4.4k 收藏 22
点赞数 7
分类专栏: PE文件 文章标签: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dohxxx/article/details/88680000
版权

PE加载器流程

1.将PE文件用ReadFile读取数据

char szFileName[] = "1.exe";

//打开文件,设置属性可读可写
HANDLE hFile = CreateFileA(szFileName,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_ARCHIVE,
        NULL);

if (INVALID_HANDLE_VALUE == hFile)
{
        printf("文件打开失败\n");
        return 1;
}

//获取文件大小
DWORD dwFileSize = GetFileSize(hFile, NULL);

//申请空间将exe读取到内存中
char *pData = new char[dwFileSize];
if (NULL == pData)
{
        printf("空间申请失败\n");
        return 2;
}

DWORD dwRet = 0;
ReadFile(hFile, pData, dwFileSize, &dwRet, NULL);
CloseHandle(hFile);

2.根据PE结构获取镜像大小,在自己的程序中申请可读可写可执行的内存

char* chBaseAddress = NULL;

//获取镜像大小
DWORD dwSizeOfImage = GetSizeOfImage(pFileBuff);

//在进程中开辟一块内存空间
chBaseAddress = (char*)VirtualAlloc(NULL,
        dwSizeOfImage,
        MEM_COMMIT | MEM_RESERVE,
        PAGE_EXECUTE_READWRITE);
if (NULL == chBaseAddress)
{
        printf("申请进程空间失败\n");
        return NULL;
}

3.将申请的空间全部填为0

RtlZeroMemory(chBaseAddress, dwSizeOfImage);

4.将用ReadFile读取的数据映射到内存中

在这里插入图片描述由上图可知,PE文件在加载到内存中对齐粒度不同,因此在写代码时要注意这个问

最低0.47元/天 解锁文章
玖哥爱吃肉
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
加载PE文件——PE加载模拟法
跃然实验室
06-10 2330
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE文件PE加载的过程
weixin_43742894的博客
03-31 2082
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
peloader:PE二进制加载示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE加载来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可加载和执行二进制文件的示例代码。
关于PE文件的内存加载分享
最新发布
2401_84434570的博客
05-20 960
当我们想要加载执行一个程序或者shellcode时,通常的做法就是双击exe执行,然而在攻防场景中这并不容易做到,考虑到有杀软或EDR设备的环境下,命令行执行很大概率也会报毒,这是因为进程的调用链是cmd→灰进程,对于av来说这种调用很可疑,为了规避这种敏感调用,一种方法是断链, 关于断链的内容这里不多赘述,读者可自行查找学习,另一种方法就是内存加载,把DLL或者exe等PE格式的文件从内存中直接加载到内存中去执行,不需要通过LoadLibrary等API函数去操作,这样做的好处是。
PE 文件加载实现
pureman_mega的博客
08-12 786
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1167
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1197
Windows进程创建过程 第一阶段:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
PE加载支持库
07-24
当一个PE文件被执行时,操作系统会调用PE加载来处理这个文件,完成诸如内存映射、依赖项解析、重定位等一系列复杂任务,使得程序能够正确运行。 首先,我们需要理解PE文件结构。PE文件由多个部分组成,包括DOS头...
PE文件分析工具
11-24
PE文件分析工具是一种专门用于解析和理解PE(Portable Executable)文件格式的软件或库。在Windows操作系统中,...它能揭示PE文件的深层细节,提供对代码执行流程的深刻洞察,是Windows平台下程序分析的重要辅助手段。
PEtool pe文件信息查看工具
03-30
**PEtool:Windows PE文件信息查看利** 在Windows操作系统中,可执行文件(Executable)通常遵循PE(Portable Executable)格式。PE格式是Microsoft为32位和64位Windows系统设计的一种文件格式,用于存储代码、...
PE加载
11-28
一个PE文件加载,可以直接从内存中加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
PE文件格式详解
07-25
MS-DOS头部的保留不仅仅是为了向后兼容,更重要的是确保了即使是在不支持PE文件格式的操作系统下,用户也能收到明确的错误提示信息,而不是导致加载失败并显示无意义的信息。例如,在MS-DOS 6.0下尝试运行Windows NT...
易语言取PE文件区段源码
06-03
在易语言中,我们需要了解其语法特性,如变量声明、控制流程、函数调用等,来编写读取PE文件的代码。 3. **PE文件分析**:要取PE文件区段,首先需要打开文件并读取其头部信息,以确定区段的数量和它们的属性。这些...
PE加载过程
qq_58405021的博客
12-05 1359
PE加载过程
一段仿真PE加载行为的程序
Chinawash 专栏
07-09 1540
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
Pe-Loader Sample:一个实用的PE文件加载示例
gitblog_00093的博客
03-16 440
Pe-Loader Sample:一个实用的PE文件加载示例 如果你正在寻找一个实用的Windows PE文件加载,并希望了解其工作原理,那么这个开源项目值得一看:Pe-Loader Sample 什么是Pe-Loader Sample? Pe-Loader Sample是一个简单的C语言编写的Windows应用程序,它能够加载并执行PE(Portable Executable)文件。通过这个...
反向进程注入及隐藏--动手做一个最简单的PELoader
08-16 1520
文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE加载。这个PE加载
PE加载的实现
08-13 1357
来源:http://blog.vckbase.com/windowssky  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4.0上找到了其实现,前者实现的比较清晰,不过还是看看Nt4.0的实现吧/
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值