Windows加载器加载PE文件

最新推荐文章于 2024-08-26 07:28:54 发布
最新推荐文章于 2024-08-26 07:28:54 发布
阅读量1.5k 收藏 7
点赞数 2
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91405589
版权
安全 同时被 2 个专栏收录
60 篇文章 2 订阅
订阅专栏
PE
26 篇文章 0 订阅
订阅专栏

 

加载器读取一个PE文件的过程如下:

1. 先读入PE文件的DOS头,PE头和Section头。

2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。

3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。

4. 如果文件被加载的地址不是ImageBase定义的地址,则重新修正ImageBase。

5. 根据PE文件的输入表加载所需要的DLL到进程空间。

6. 然后替换IAT表内的数据为实际调用函数的地址。

7. 根据PE头内的数据生成初始化的堆和栈。

8. 创建初始化线程,开始运行进程。

 

这里要提的是加载PE文件所需DLL的过程是建立在六个底层的API上。

LdrpCheckForLoadedDll:检查要加载的模块是否已经存在。

LdrpMapDll:映射模块和所需信息到内存。

LdrpWalkImportDescriptor:遍历模块的输入表来加载其所需的其他模块。

LdrpUpdateLoadCount:计数模块的使用次数。

LdrpRunInitializeRoutines:初始化模块。

LdrpClearLoadInProgress:清除某些标志,表明加载已经完成。

加载PE文件——PE加载模拟法
跃然实验室
06-10 2381
1、找到文件加载内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式Windows操作系统已经更换了很多版本,其结构的变
PE加载
11-28
一个PE文件加载,可以直接从内存加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
内存资源中加载DLL 模拟PE加载
kendyhj9999的专栏
12-21 1340
一种保护应用程序的方法 模拟Windows PE加载,从内存资源中加载DLL From:http://www.zeroplace.cn/article.asp?id=122 1、前言 目前很多敏感和重要的DLL(Dynamic-link library) 都没有提供静态版本供编译进行静态连接(.lib文件),即使提供了静态版本也因为兼容性问题导致无法使用,而只提供DLL版本,并且很多
Windows PE》2.2 加载PE文件
最新发布
bcdaren的博客
08-26 1130
如图2-8所示:我们可以通过GDTR寄存找到GDT全局段描述符表,在GDT全局段描述符表中保存LDT1、LDT2、LDT3三个局部段描述符表的段描述符,对应的局部段描述符表的段选择子分别为Selector1、Selector2、Selector3。G=0表示界限粒度为字节(实模式下内存地址空间以字节为单位,20位段界限域可访问的地址空间就是220个字节,1MB大小),G = 1表示界限粒度是4KB(保护模式下,内存地址空间以页为单位,20位段界限域可访问的地址空间就是220*212个字节,4GB大小)。
PE 文件加载实现
pureman_mega的博客
08-12 839
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PE加载加载dll模块的Lirary.zip
09-18
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PE加载加载dll模块的Lirary mmLoader http://tishion.github.io/mmLoader/直接绕过窗口PE加载程序从内存加载dll模块上次生成状态: Nuget本机软件包:https://www.nuget.org/packag
模拟Windows PE加载,从内存资源中加载DLL
03-26 1759
// 以下代码经过Win2k Sp4/WinXp Sp2 下测试通过 // MemLoadDll.h: interface for the CMemLoadDll class. // ////////////////////////////////////////////////////////////////////// #if !defined(AFX_MEMLOADDLL_H__E1
PE加载支持库
07-24
这意味着它包含所有必要的功能,可以在没有外部依赖的情况下加载PE文件。这种加载可能更适合于某些特殊环境,如嵌入式系统或安全相关的应用,因为它减少了潜在的攻击面。 总的来说,PE加载Windows执行程序的...
易语言学习-PE加载(PeLoader)支持库版.zip
07-09
PE加载是系统的一部分,负责解析PE文件的结构,为程序创建内存映像,并准备执行环境。PeLoader是易语言中用于处理PE文件加载的工具或库,它可以帮助开发者更好地理解和控制程序的加载过程,进行一些自定义操作,如...
pe-loader:Windows PE格式的文件加载
05-15
Windows可执行文件加载 这是Windows PE格式的文件加载应用程序,提供与OS内部可执行文件加载类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
PE文件的3大结构体_PE文件加载
02-06 376
#include"stdio.h" #include"stdlib.h" #include"windows.h" int main() { IMAGE_DOS_HEADER imafe_dos_header;//dos头 IMAGE_NT_HEADERS image_nt_headers;//pe头 IMAGE_SECTION_HEADER *image_section_header;//区
PE文件结构及其加载机制(四)
weixin_33778778的博客
09-04 122
下面我们开始学习节表。 不知道还记不记得在前面哪个结构体中出现过节的数量?   嘿嘿,忘记了吧,我们翻开以前的记录,看看。 原来是 typedef struct IMAGE_NT_HEADERS   {    DWORD Signature;    IMAGE_FILE_HEADER FileHeader;    IMAGE_OPTIONAL_H...
PE加载1.7版(PeLoader_fne.fne)-易语言
06-13
PeLoader。 操作系统支持: Windows
程序时如何被链接和加载的???
H002399的专栏
06-08 720
运行 PE 可执行文件 启动一个 PE 可执行程序的过程是相对简单的。  读入文件的第一页,其中有 DOS 头部,PE 头部和区段头部等。  确定地址空间的目标区域是否有效,如果不可用则另分配一块区域。  根据各区段头部的信息,将文件中的所有区段映射到地址空间的适当位置上。  如果文件并没有被加载到它的目标地址中,则进行重定位。  遍历导入区段中的 DLL 列表,将任何未加载
操作系统的 (program)loader(程序加载
05-13 3965
在计算机科学中,加载(也叫程序加载)属于操作系统的一部分,用于加载程序(programs)和库(libraries)。加载是执行程序和代码必不可少的组件,正是它负责将程序送入内存,为程序的运行提供准备。加载的工作一旦完成,操作系统才会移交控制权给被加载的程序代码以执行该程序。嵌入式系统无需加载,代码可直接在 ROM 中执行。特别地,为了加载操作系统本身,在 booting(自举)的过程中,还
深入理解PE文件格式加载行为
2. 加载行为:PE加载的具体实现细节,如何解析PE文件的各个部分,以及它如何处理不同类型的节。 3. 内存管理:操作系统如何管理不同进程的内存空间,包括分配、保护和共享内存。 4. 系统安全:PE加载加载...
PE加载——你爱的很沉重,可还是得看她想不想要
sxr__nc的博客
04-20 1263
构造PE加载,简而言之就是手动把PE文件内存中展开,并且如果有重定位表的话手动修复重定位表,以及修复IAT表等一些重要数据。 源码: #include<stdio.h> #include<windows.h> #include<winnt.h> int main() { HANDLE hFile = CreateFileA("你的测试程序的绝对地址", G...
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1242
Windows进程创建过程 第一阶段:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
Windows加载与模块初始化
lionzl的专栏
08-29 809
在最近的MSJ专栏中,我讨论了COM类型库和数据库访问层,例如ActiveX®数据对象(ADO)和OLE DB。MSJ专栏的长期读者可能认为我已经不行了(写不出技术层次比较高的文章了)。为了重振雄风,这个月我要讲解一部分Windows NT®加载代码,它是操作系统和你的代码接合的地方。同时我也会向你演示一些获取加载状态信息的高超技巧,以及可以用在Developer Studio®调试中的相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值