加载PE文件——PE加载器模拟法

最新推荐文章于 2020-04-20 14:50:42 发布
最新推荐文章于 2020-04-20 14:50:42 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: PE 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91358047
版权
本文介绍了PE文件加载到内存的过程,包括确定文件基址、获取内存对齐、加载PE头、加载各节及处理重定位等步骤,详细解析了PE加载器的工作机制。
摘要由CSDN通过智能技术生成

1、找到文件加载到内存的基址

     通常为0x0040 0000

 

2、取得内存对齐粒度

 

3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处

 

4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。

 

5、基址不对,需要重定位修复。

// LoadPeWithRead.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <tchar.h>
#include <Windows.h>

//以dwAlignment 对齐dwOperateNum 值,也就是让dwOperateNum为dwAlignment的整数倍
DWORD AlignmentNum(DWORD dwOperateNum, DWORD dwAlignment )
{
                 if (dwAlignment == 0)
                {
                                 return dwOperateNum ;
                }
                 int iTemp = dwOperateNum % dwAlignment;
                 if (iTemp != 0)
                {
                                 return dwOperateNum + dwAlignment - iTemp;
                }
                 return dwOperateNum ;
}
int main(int argc,
最低0.47元/天 解锁文章
跃然实验室
关注
专栏目录
LoadPE工具
02-19
LoadPE工具
Windows逆向项目-LoadPE
最新发布
08-25 1369
Windows逆向项目-LoadPE
实现LoadPE功能
wjy555的专栏
03-09 1543
// MyTestPE.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include #include "winnt.h"#include #include #include using namespace std;//本程序实现打印出PE文件的段信息//////////////////////////////////////////////////
反病毒工具-LordPE
热门推荐
KD的疯狂实验室
07-24 1万+
LordPE简介一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑.不包括反汇编模块.它名字叫LordPE而不是LoadPE. 其拥有基于最小功能的PE修改方式.对于win32平台下如果不将样本拖到其中分析看看,还叫分析恶意程序吗?可见其非常常用实用.
模拟操作系统的装载LoadPE
qq_35426012的博客
11-15 999
模拟操作系统实现loadPE 设计思路 将PE文件加载到内存中 把所有节区数据加载到内存 修正导入表,也就是上面的获取导入函数地址填入到IAT中 注意:为了防止装载的程序涉及到VA不一样,导致loadPE访问地址崩溃,所以自己的loadPe程序的基址要和装载的程序地址要一样,可以修改link 选项 /base:基地址 举例说明:假如对方模块基址为10000000 有个指令为jmp 0x1000...
PE 可执行文件时间戳转换工具
12-13
在IT领域,PE(Portable Executable)可执行文件是Windows操作系统中的标准文件格式,用于存储编译后的程序代码和数据。PE文件包含了运行程序所需的所有信息,如代码、资源、符号表以及元数据等。时间戳是PE文件的一...
android实现模拟加载中的效果
09-01
本篇文章将详细介绍如何在Android中实现模拟加载中的效果。 首先,我们需要了解的是ProgressDialog,这是一个在Android中常用的标准对话框,用于显示进度条或简单的文本消息,表示应用程序正在进行后台操作。在示例...
javascript模拟实现ajax加载框实例
10-25
在介绍如何使用JavaScript来模拟实现一个Ajax加载框之前,我们需要了解一些相关的基础知识。Ajax(Asynchronous JavaScript and XML)是一种用于创建快速动态网页的技术,它能够使网页异步更新,这意味着在不重新...
Selenium 模拟浏览动态加载页面的实现方法
09-20
根据给定文件信息,我们可以梳理出以下知识点: 1. Selenium的作用和应用场景 Selenium是一个用于Web应用程序测试的工具,可以用来模拟用户与浏览之间的交互。在爬虫开发中,Selenium通过模拟浏览环境,可以...
PE加载程序
12-13
RunPE技术的核心原理在于,它能够将一个PE文件的内容动态地映射到另一个已经运行的进程的地址空间中,然后模拟正常的PE加载过程。这一过程包括解析PE头,设置适当的内存保护属性,解析和执行导入表,以及初始化线程...
pe-loader:Windows PE格式的文件加载
05-15
Windows可执行文件加载 这是Windows PE格式的文件加载应用程序,提供与OS内部可执行文件加载类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
易语言学习-PE加载(PeLoader)支持库版.zip
07-09
易语言学习-PE加载(PeLoader)支持库版.zip
LoadPE源代码
11-08
LoadPE源代码
PE加载与反射式注入
qq_41861225的博客
02-01 891
一、PE加载PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载,其基本流程可以分为以下几点: 将PE文件从磁盘中读出 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0 将读取数据映射到内存中 修复导出导入入表 修复重定位 跳转到PE入口点进行执行 相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
PE加载——你爱的很沉重,可还是得看她想不想要
sxr__nc的博客
04-20 1232
构造PE加载,简而言之就是手动把PE文件在内存中展开,并且如果有重定位表的话手动修复重定位表,以及修复IAT表等一些重要数据。 源码: #include<stdio.h> #include<windows.h> #include<winnt.h> int main() { HANDLE hFile = CreateFileA("你的测试程序的绝对地址", G...
PE文件加载到内存的主要步骤
gzfqh的专栏 →底层代码研究
04-16 7784
1 当PE文件被执行,PE加载会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载读取节表中的信息,然后采用内存文件映射的方法将这些节映射到内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射到内存后,P
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 3045
 不赖猴的笔记,转载请注明出处。一、        Windows加载加载读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
加载PE文件——内存映射文件
跃然实验室
06-10 745
将程序安装内存对齐的方式读取到内存有两种方法: 1、内存映射文件 2、PE加载模拟法 1、内存映射文件 lpHeader所指内存是只读的,尽管是PAGE_READWRITE // LoadPeWithMap.cpp : Defines the entry point for the console application. // #include "stdafx.h" #...
Java爬虫解决数据异步加载:Selenium与反向解析法
"本文主要探讨了Java爬虫在面对数据异步加载问题时的解决方案,提供了两种策略:内置浏览内核(如Selenium、HtmlUnit、PhantomJS)和反向解析法。这两种方法都有其优缺点,前者能处理JS渲染的页面但效率较低,后者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值