PE程序壳编写学习过程(一)PE文件的读取

最新推荐文章于 2024-05-24 16:50:27 发布
最新推荐文章于 2024-05-24 16:50:27 发布
阅读量1.5k 收藏
点赞数
分类专栏: windows c 文章标签: windows 解密 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l470279614/article/details/52325104
版权
c 同时被 2 个专栏收录
1 篇文章 0 订阅
订阅专栏
windows
0 篇文章 0 订阅
订阅专栏

参考书籍《加密与解密》第三版

CODEBLOCK下编写


一,头文件的包含。

由于使用WinGw编译,需要包含windef.h。然后为了windows文件的读取,包含winbase.h。又由于提示缺少va_list的声明,包含stdarg.h解决。



二,程序代码。

读取的原理是先定位到IMAGE_NT_HEADERS,然后再逐个读取IMAGE_SECTION_HEADER。

还有一种简单的读取方式是申请整个文件大小的内存空间,然后将文件直接读入内存,但这种读取方式对以后的操作会造成不便,故不采用。

UINT   m_nImageSize = 0;//映像大小
PIMAGE_NT_HEADERS m_pntHeaders = 0;//PE结构指针
PIMAGE_SECTION_HEADER m_psecHeader = 0;//第一个SECTION结构指针
PCHAR m_pImageBase = 0 ; //映像基址


先声明几个全局变量,方便以后使用。 

    HANDLE hFile = CreateFile("notepad.exe",GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);

    if( hFile == INVALID_HANDLE_VALUE){
        cout<<"Fail to open the file!"<<endl;
        return 0;
    }
    //读DOS头
    DWORD fsize=GetFileSize(hFile,NULL);
	DWORD buffersize=fsize;//+0x2000;
	BYTE *buffer = new BYTE[buffersize];
    DWORD read;
	ReadFile(hFile,buffer,fsize,&read,NULL);
    PIMAGE_DOS_HEADER dosHeader = (PIMAGE_DOS_HEADER) buffer;//获取到dos头
    cout << "DOS signature: " << dosHeader->e_magic << endl;
    if (dosHeader->e_magic!=IMAGE_DOS_SIGNATURE)
		cout << "DOS signature mismatch!" << endl;

    PIMAGE_NT_HEADERS ntHeaders = (PIMAGE_NT_HEADERS)&buffer[dosHeader->e_lfanew];//获取到NT头
	cout << "NT signature: " << ntHeaders->Signature << endl;
	if (ntHeaders->Signature!=IMAGE_NT_SIGNATURE)
		cout << "NT signature mismatch!" << endl;

需要注意的是获取NT头时,要在dosHeader的之后加上dosHeader的长度,然后再将其整体转换成PIMAGE_NT_HEADER的形式。 

    m_pImageBase = new char[m_nImageSize];
    memset(m_pImageBase,0,m_nImageSize);//清空申请内存
    SetFilePointer(hFile,0,NULL,FILE_BEGIN);
    ReadFile(hFile,m_pImageBase,nHeaderSize,&read,NULL);//这个语句会导致内存错误,原因暂时不明
    m_pntHeaders = (PIMAGE_NT_HEADERS)((DWORD)m_pImageBase + dosHeader->e_lfanew);
    //计算IMAGE_NT_HEADERS大小
    DWORD nNtHeaderSize = sizeof(ntHeaders->FileHeader)+sizeof(ntHeaders->Signature)+ntHeaders->FileHeader.SizeOfOptionalHeader;
    //cout<<nNtHeaderSize<<endl;
    m_psecHeader = (PIMAGE_SECTION_HEADER)((DWORD)m_pntHeaders + nNtHeaderSize);
    //循环依次读出SECTION数据到映像中的虚拟地址处
    PIMAGE_SECTION_HEADER psecHeader = m_psecHeader;
    for(WORD nIndex = 0;nIndex<nSectionNum;++nIndex,++psecHeader)
    {
        DWORD nRawDataSize = psecHeader->SizeOfRawData;
        DWORD nRawDataOffset = psecHeader->PointerToRawData;
        DWORD nVirtualAddress = psecHeader->VirtualAddress;
        DWORD nvirtualSize = psecHeader->Misc.VirtualSize;
        SetFilePointer(hFile,nRawDataOffset,NULL,FILE_BEGIN);//定位到下一SECTION
        ReadFile(hFile,&m_pImageBase[nVirtualAddress],nRawDataSize,NULL,NULL);//读数据到映像中
        cout<<nIndex<<endl;
    }

其中有一个ReadFile()的函数会造成内存错误,并没有成功解决,虽然不影响程序运行结果,但如果谁有解决方法请务必告诉我。

-SamLoon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件复看:打印PE信息
KKMI的博客
05-31 812
PE文件解析打印部信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件的信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7438
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
逆向编程一,PE结构拉伸内存
cszrydn的专栏
05-20 685
PE的加载从文件到内存有一个拉伸的过程,拉伸的原因是因为PE文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件和内存对齐字节都是一样的)。文件对齐字节在可选PE里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
C++通过读取二进制流的方式来解析PE(静态文件读取法)
最新发布
meis27461的博客
05-24 189
【代码】C++通过读取二进制流的方式来解析PE(静态文件读取法)
PE_修正重定位表
qq_42363151的博客
09-25 299
PE
病毒实验四
weixin_34402090的博客
03-07 261
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
2.PE文件NT(IMAGE_NT_HEADERS)
kernelhack
10-25 4827
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
PE文件读取程序示例
04-14
PE文件读取程序示例】是一个面向编程初学者的程序,主要目的是解析和展示PE文件(Portable Executable)的相关信息。PE文件Windows操作系统上常见的程序文件格式,包括.exe、.dll、.ocx、.sys和.com等类型。它们...
TPE.rar_pe文件
09-24
描述中提到的"PE文件格式分析程序VC++"表明这是一个使用C++编程语言编写程序,用于分析PE文件的结构和内容。这个程序可能包含对PE、节区、导入和导出表等关键元素的解析功能。 PE文件格式是Microsoft为32位和64...
PE文件区段.rar
04-06
5. **源码分析**:压缩包中的“易语言取PE文件区段源码”很可能是用易语言编写的代码示例,用于演示如何在易语言环境下操作PE文件。源码可能包含读取PE、解析节表、读取区段等关键步骤的实现。 6. **应用**:取PE...
rs.rar_PE 资源_PE资源_pe文件_rs
09-23
标题"rs.rar_PE资源_PE资源_pe文件_rs"暗示我们关注的是与PE文件资源相关的操作,特别是涉及"rs"的某个过程或工具。"rs"可能是指资源脚本(Resource Script)或者某种特定的资源操作。在这个场景下,它可能是用于...
PE文件版本信息模块.rar
04-06
这个"取PE文件版本信息模块.rar"是一个易语言编写的模块,专门用于提取PE文件中的版本信息。易语言是一种中国本土开发的编程语言,以其易学易用的特点受到很多初学者和专业人士的喜爱。 版本信息在PE文件中通常存储...
PE文件-NT
weixin_45012273的博客
11-06 325
DOSNT之间 存储着一些被DOS使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS的最后一个成员指向了新PE的位置 NT格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件 IMAGE_OPTIONAL_HEADER32.
PE结构】2.NT文件、扩展
SMOne
06-22 2928
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表四、NT图4.1起始地址:0x0158H,和上一篇DOS里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件)和IMAGE_OPTIONAL_...
导入表注入
qq_41232519的博客
10-14 553
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加节 3、定位导入表 4、将导入表移动到新增的节里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8189
系统安全绕不开PE文件PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
PE文件导出表解析
windows小菜鸡的博客
08-16 946
1、导出表的结构 导出表是option可选PE的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出表 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称表的RVA,需要转为FOA,每个表存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称表找到Ordinals表下标,然后通过下标在Or
滴水三期逆向基础系列(二)-加初识-文件弹出对话框
henuyl的博客
04-23 643
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
网络安全学习笔记(7)
qq_40316844的博客
09-11 165
具体的学习总结: PE结构详解: 1、DOS:共40H(64字节) 0X00 WORD e_magic; //※Magic DOS signature MZ(4Dh 5Ah):MZ标记:用于标记是否是可执行文件 0x3C DWORD e_lfanew; //※Offset to start of PE header:定位PE文件PE相对于文件的偏移量 2、PE: //NT...
基于8086汇编语言编写一个程序,解析PE文件格式,包括运行截图
06-02
非常抱歉,由于我是一个自然语言处理模型,无法提供运行截图和编写汇编程序的能力。但我可以给出一个PE文件格式的解析流程供参考: 1. 打开PE文件读取DOS部信息 2. 从DOS部信息中找到PE部偏移地址 3. 读取PE部信息,包括文件部信息和可选部信息 4. 读取节表信息,包括节表名、大小、偏移地址等 5. 解析导入表、导出表等其他信息 以上是PE文件格式解析的基本流程,具体实现过程需要根据汇编语言的语法和PE文件格式的具体规范进行编写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值