利用masm32输出PE文件头的基本属性

最新推荐文章于 2024-03-07 09:49:56 发布
最新推荐文章于 2024-03-07 09:49:56 发布
阅读量1.5k 收藏 20
点赞数 19
文章标签: masm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52196359/article/details/121096098
版权

利用masm32输出PE文件头的基本属性

文章目录

注:本文章作者水平较低,本文仅为作者自主实验时的学习笔记,如有不妥之处,还请指正,文中斜体皆为参考权威书籍
参考:《X86汇编语言》王爽
《加密与解密》第四版
《逆向工程核心原理》
工具:PEView,ollydbg,masm32环境

一、masm32中的INVOKE

INVOKE伪指令仅在32位的情况下使用,将参数逆序(与声明参数顺序相反)入栈,它是call的方便替代品,在一行代码内就可以传送多个参数,例如:

;原型声明
Print PROTO stdcall:DWORD,:DWORD,:DWORD,:DWORD
;.....
.code
;过程定义
Print PROC res:DWORD,blank:DWORD,blank1:DWORD,t:DWORD
    ;......
    ret
Print ENDP

在该例中,Print函数接收四个Dword类型参数:res,blank,blank1,t
其中 PROTO是原型伪指令,stdcall是调用约定,PROC和ENDP中间夹着的是过程的程序指令
1、PROTO
PROTO伪指令为现有的过程创建原型(名称和参数列表),MASM要求所有INVOKE调用的过程都有原型,所以,标准格式如下

func PROTO
;原型声明
INVOKE func
;过程调用
;实现
func PROC
;.....
func ENDP

2、调用约定
我们先来看看invoke调用过程的具体汇编代码:

.data
str1 BYTE "abcde",0
num1 DWORD 66h
func1 PROTO :DWORD,:DWORD
func2 PROTO stdcall :DWORD,:DWORD
.code

func1 PROC n1:DWORD,n2:DWORD
MOV eax,n1
ret
func1 ENDP

func2 PROC n1:DWORD,n2:DWORD
MOV eax,n2
ret
func2 ENDP

main PROC
INVOKE func1 ,num1,addr str1
INVOKE func2 ,num1,addr str1
INVOKE ExitProcess,0
main ENDP
END main

汇编以后放入OLLYDBG中在这里插入图片描述
可以看到,在INVOKE经过汇编器后,转化成了正常的函数调用,即
①将参数和返回地址入栈②将程序流程转到对应函数
在这里插入图片描述
看到函数内部,INVOKE自动帮我们完成了栈帧的建立(每个函数前两句汇编),并且
①加入leave②将ret变成retn,帮助我们清除了栈帧
下面陈述栈帧与调用约定的关系
在这里插入图片描述
①在函数调用开始前,调用函数的程序将参数(arguments)压入栈中
call指令执行,栈中压入call下一条指令的地址,并将EIP设置成函数第一条指令的地址
③那么函数是怎么描述自己参数的呢?答案是靠相对位置,栈底位置(地址)保存在ebp中,而栈顶位置保存在esp中,在新的函数中有新的临时变量和参数,程序需要利用参数和ebp相对的位置[ebp+x]描述参数或者变量所以需要更新旧的ebp。故,将last ebp入栈保存->push ebp。并将ebp设置为现在的栈底->mov ebp,esp(还没有往新的函数栈里面添加临时变量,所以栈顶栈底同位置)
④返回时,将ebp赋给esp,将栈顶瞬间缩至栈底,并且将旧ebp的值弹出至ebp,这两步在leave中实现
最后retn是将返回地址弹出给EIP,再将栈缩小操作数个字节,把栈顶调到参数之下(图上的下)
至此:栈在函数调用前后保持一致,可继续工作!
而这种由被调用函数进行栈清空的方式叫做stdcall!

(摘自百度百科)__stdcall表示
1.参数从右向左压入堆栈
2.函数被调用者修改堆栈
3.函数名(在编译器这个层次)自动加前导的下划线,后面紧跟一个@符号,其后紧跟着参数的尺寸

二、PE头格式

在这里插入图片描述
从上到下从左到右除蓝黑色以外的部分分别是(图中为小端序)
IMAGE_DOS_HEADER:
e_magic: 5a4d
e_lfanew:000000e8
IMAGE_NT_HEADER:
Signature:00004550
IMAGE_FILE_HEADE:
NumberOfSections: 0003
TimeDateStamp:45d69be5
Characteristic: 010f
IMAGE_OPTIONAL_HEADER:
AddressOfEntryPoint:000073a5
ImageBase:01000000
SectionAligment:00001000
FileAligment:00000200

条件一:其中,除了蓝黑色的DOS存根以外,IMAGE_DOS_HEADER,IMAGE_NT_HEADER,IMAGE_FILE_HEADER是的长度是定长的

条件二:IMAGE_OPTINONAL_HEADER中显示的几项距离IMAGE_OPTINONAL_HEADER起始的偏移也是一定的

所以仅仅需要用CreateFile SetFilePointer ReadFile将文件读入,按照先后顺序利用基址变址寻址即可实现文件任意部分的读取
例如读入文件数据的首地址为buf,则WORD PTR [buf+esi] (esi此时为0)读取的就是4D 5A即e_magic,后只需要改变esi和取值时PTR类型即可读取文件的后续部分

解决DOS存根:在DOS头中,红色部分为e_lfanew其中存储的是NT头的文件偏移,正因为DOS存根不定长,所以需要此属性,在读取该属性后,赋给存变址的寄存器,加上基址就是程序中读入的NT头偏移了

三、读取代码

读一个文件用到的Windows API函数有CreateFile、SetFilePointer、ReadFile、CloseHandle。
CreateFile的MSDN文档地址添加链接描述

SetFilePointer函数的MSDN文档地址 添加链接描述

ReadFile函数的MSDN文档地址添加链接描述

CloseHandle函数的MSDN文档地址
添加链接描述
通过路径得到句柄,打开程序和文件的联系->通过句柄得到指向文件的指针->通过句柄读取文件内容->关闭文件和程序的连接

.386
.model flat, stdcall
option casemap:none
include D:\masm32\include\windows.inc
include D:\masm32\include\kernel32.inc
include D:\masm32\include\masm32.inc
includelib D:\masm32\lib\kernel32.lib
includelib D:\masm32\lib\masm32.lib
include D:\masm32\include\user32.inc 
includelib D:\masm32\lib\user32.lib
ExitProcess PROTO, dwEXITCODE: DWORD

.data
;待处理文件绝对路径
path BYTE "C:\Users\Em1ya\Desktop\Re\NOTE.exe",0

;存放待处理文件的句柄
filehandle DWORD ?

;以下数据全为显示字符,没有实际含义
str0 BYTE "    ",0
str1 BYTE "IMAGE_DOS_HEADER:",0
str2 BYTE "IMAGE_NT_HEADER:",0
str3 BYTE "IMAGE_FILE_HEADE:",0
str4 BYTE "IMAGE_OPTIONAL_HEADER:",0
str5 BYTE "e_magic:",0
str6 BYTE "e_lfanew:",0
str7 BYTE "Signature:",0
str8 BYTE "NumberOfSections:",0
str9 BYTE "TimeDateStamp:",0
stra BYTE "Characteristic:",0
strb BYTE "AddressOfEntryPoint:",0
strc BYTE "ImageBase:",0
strd BYTE "SectionAligment:",0
stre BYTE "FileAligment:",0
strn BYTE 0ah,00h

filebuf BYTE 4000 DUP(0)
filebase DWORD ?
var DWORD ?
;下面声明的是把十六进制值转为字符串输出的函数
Print PROTO stdcall:DWORD,:DWORD,:DWORD
Res BYTE "00000000",0
table BYTE "0123456789ABCDEF",0

.code
Print PROC res:DWORD,hexdw:DWORD,t:DWORD
    ;参数res待写缓冲区,hexdw待转换十六进制值,t数据种类,控制最后输出的字符个数
    MOV edx,0
    MOV edi,hexdw
    MOV ecx,8h
    MOV eax,res
    ;edi指向待转换的值,ecx为循环变量,eax指向待写的缓冲区字符串
    ;循环将最高位保留做与运算,拿到最低位作为索引在table里面拿值
L2:
    MOV ebx,edi
    AND ebx,0f0000000h
    SHR ebx,28
    MOV dl,BYTE PTR [table+ebx]
    MOV BYTE PTR[eax],dl
    INC eax
    SHL edi,4
LOOP L2

    ;将res的前t位变成空格
    MOV ecx,t
    MOV eax,res
L1: 
    CMP ecx,0h
    JE L999
    MOV BYTE PTR[eax],20h
    INC eax
    DEC ecx
    JMP L1
L999:
    ;输出
    INVOKE StdOut, res
    MOV eax,hexdw
    ret
Print ENDP


main PROC
INVOKE CreateFile,addr path,\
                  GENERIC_READ,\
                  FILE_SHARE_READ,\
                  0,\
                  OPEN_EXISTING,\
                  FILE_ATTRIBUTE_ARCHIVE,\
                  0
MOV filehandle,eax
INVOKE SetFilePointer, filehandle,\
                 0,\
                 0,\
                 FILE_BEGIN
INVOKE ReadFile, filehandle,\
                 addr filebuf,\
                 3900,\
                 0,\
                 0
MOV esi,OFFSET filebuf
;以上操作将文件的内容写到了filebuf,之后读取filebuf就可以拿到PE文件的内容
;以下所有,esi为目标量在内存中的地址,eax为该地址对应值,print函数把eax传入,输出对应8-t个字符串
INVOKE StdOut,addr str1
INVOKE StdOut,addr strn
MOV eax,0h
INVOKE StdOut,addr str0
INVOKE StdOut,addr str5
;读第一个量
MOV ax,WORD PTR [esi]
MOV filebase,esi
INVOKE Print,addr Res,\
             eax,\
             4
INVOKE StdOut,addr strn


ADD esi,3ch
INVOKE StdOut,addr str0
INVOKE StdOut,addr str6
;读第二个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
;此处要注意,该数据为NT头的偏移量,所以将esi调整至NT头->内存基址加上NT头偏移
ADD eax,filebase
MOV esi,eax
INVOKE StdOut,addr strn

INVOKE StdOut,addr str2
INVOKE StdOut,addr strn
INVOKE StdOut,addr str0
INVOKE StdOut,addr str7
;读第三个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn

INVOKE StdOut,addr str3
INVOKE StdOut,addr strn
ADD esi,6h
INVOKE StdOut,addr str0
INVOKE StdOut,addr str8
;读第四个量
MOV eax,0
MOV ax,WORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             4
INVOKE StdOut,addr strn

ADD esi,2h
INVOKE StdOut,addr str0
INVOKE StdOut,addr str9
;读第五个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn

ADD esi,0Eh
INVOKE StdOut,addr str0
INVOKE StdOut,addr stra
MOV eax,0
;读第六个量
MOV ax,WORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             4
INVOKE StdOut,addr strn

INVOKE StdOut,addr str4
INVOKE StdOut,addr strn
ADD esi,18
INVOKE StdOut,addr str0
INVOKE StdOut,addr strb
;读第七个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn

ADD esi,0ch
INVOKE StdOut,addr str0
INVOKE StdOut,addr strc
;读第八个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn

ADD esi,4h
INVOKE StdOut,addr str0
INVOKE StdOut,addr strd
;读第九个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn

ADD esi,4h
INVOKE StdOut,addr str0
INVOKE StdOut,addr stre
;读第十个量
MOV eax,DWORD PTR [esi]
INVOKE Print,addr Res,\
             eax,\
             0
INVOKE StdOut,addr strn
INVOKE CloseHandle,filehandle
INVOKE ExitProcess,0
main ENDP
END main

读取->转化->变址->读取
在这里插入图片描述
在这里插入图片描述
对照PEView验证
在这里插入图片描述

在这里插入图片描述

Em1y@
关注
屏幕取词编程学习总结
bcbobo21cn的专栏
04-22 5527
屏幕取词的研究 现在词典市场金山词霸占了绝对优势,所以再做字典也没什么前途了。我就是这么认为的,所以我虽然 掌握了这项技术,却没去做字典软件。只做了一个和词霸相似的软件自己用,本来想拿出来做共享软件 ,但我的词库是“偷”来的,而且词汇不多,所以也就算了,词库太小,只能取词有什么用呢?而且词 霸有共享版的。但既然很多人想了解这项技术,我也不会保留。我准备分多次
MASM32 控制台输入输出
XboxMicro
03-20 4285
=。=crt_printf MASM CUI的确有点坑 .386 .model flat, stdcall option casemap : none include windows.inc include kernel32.inc includelib kernel32.lib include masm32.inc includelib masm32.lib include user3
MASM32编程使用PE文件信息计算文件长度
Purpleendurer@CSDN
11-12 2568
要获取一个文件的长度,我们可以使用API函数 GetFileSize()。 对于PE格式的文件,我们还可以利用PE文件中的信息来获取文件长度,方法是:optional header中的 SizeOfHeaders值 + 所有节表中SizeOfRawData值 = 文件长度 PE文件格式说明可参考:Iczelion的PE教程http://www.google.cn/search?c
PE学习(一)masm32开发环境和ollyICE使用
零点起步
03-17 1002
第一章:windows PE 开发环境 MASM32 ml.exe汇编编译器 rc.exe资源编译器 link.exe 安装masm32到d:\masm32 增加环境变量用户变量 include=d:\masm32\include; lib=d:\masm32\lib; path=d:\masm32\bin; 修改文件字节码: HEX数据  edit -> copy to excu
masm下编译一个较小的PE文件
谢绝(无视)留言与私信
07-18 705
前言写一段masm32汇编程序 link要使用masm32自带的link(改名或指定全路径) 使用link编译选项 /MERGE, 合并的段名用Winhex或PE分析工具来看.代码片段echo off rem file buildcmd.bat rem brief build projetcall clearcmd.batMl32.exe /c /coff hw.asm if errorleve
汇编语言读取PE文件
CANDY的杂货铺
11-15 1471
NKUERS的九九八十一难 之 汇编语言[读取PE文件]
学习笔记:pe文件格式、pe部分信息解析程序代码(win32asm)
11-25 2758
 一:PE整体结构PE 的意思就是Portable Executable(可移植的执行体)。PE文件的整体大概结构描述:struct pe{DOS MZ header:所有PE文件(甚至32位的DLLs) 必须以一个简单的DOS MZ header 开始。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header 之后的DOS stub
windows下32位汇编语言学习笔记
个人博客
11-10 5002
windows下32位汇编语言学习笔记 第一章  第一章 背景知识 80x86处理器的存储器 4个数据寄存器 EAX,EBX,ECX,EDX  EAX寄存器 所有API函数的返回值都保存在EAX里,注意是返回值,不是返回参数,本书3.2.2 节,说是winapi的返回值, 而经过我测试,自定义函数的返回值也一样保存在eax里。  EBX寄存器
开发知识点-C++之win32与NT内核
最新发布
aming小老弟
03-07 578
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
DOS的古董美(未完待續)
04-18 5153
DOS的古董美 MD DocUmEnT: 3/26/2016 10:26:57 AM by Jimbowhy 当计算机技术越来越先进,越来越快速更新,作为电子FANS,发现这样的现状不仅带给从事这个行业的人更多的便利,还有更多的迷失!而DOS就像是那个本应有活力的游乐园,收集资料的过程中发现,国外确实把DOS当成了计算机世界的大游乐场!国内很多在玩开发板的的同学几乎都不懂得,其实个人电脑才是功能最
PE教程1: PE文件格式一览
HeYu 's BLOG
11-10 1125
 PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32
masm32
cg2680139的专栏
06-10 1896
第一课 基本概念   翻译:Lxx,校对:LuoYunBins Win32 ASM Pagehttp://asm.yeah.net 我们先假设您已知道了如何使用MASM。如果您还不知道的话,请下载 win32asm.exe ,并请仔细研读其中所附带的文档资料。好
PE文件格式
weixin_49777720的博客
03-16 577
文章目录PE基本概念MS-DOSPE文件区块输入表输出表基地址重定位资源 PE基本概念 PE文件将可执行程序分为不同的块,区块中包含代码和数据,各个区块按页边界对齐。区块没有大小限制,是一个连续的结构。每个块都有他自己在内存中的一套属性,例如这个块是否包含代码,是否只读或可读/写等。 基地址(ImageBase) PE文件通过Windows加载器加载入内存。 模块(Module):内存中的版本。 模块句柄(hModule):映射文件的起始地址(这个地址也可以称为是基地址ImageBase),可以
PE文件格式详细解析(三)
weixin_47754894的博客
11-04 1245
3.PE文件的结构 3.3 节区表 节区表位于PE文件NT之后,也是PE的最后一个部分。节区表记录了PE文件中所有节区的相关属性,节区表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中IMAGE_SECTION_HEADER结构数量等于节的数量加一。IMAGE_SECTION_HEADER结构体大小0x28字节,为该结
1.masm32-输出到控制台
hgy413的专栏
06-05 2326
复习MASM32,温故而知新
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 2074
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件的相对偏移(RVA),指向真正的PE文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
第一个masm32汇编程序
rain_stark的博客
10-10 2793
之前的汇编语言课学的是16位汇编,各种中断调用不胜其烦,这学期的编译原理开始使用masm32,编写intel的32位汇编,有些不习惯。纪念一下第一个helloworld程序。       .486 .model flat, stdcall option casemap: none include D:\masm32\include\msvcrt.inc include D:\masm32\i
入门masm32编写简单汇编程序并做具体分析
codes_first的博客
10-19 1万+
masm32编写一个很简单的汇编程序来入门一下masm32,打算使用斐波拉切数列这个简单的小程序来作为例子讲述。
masm32 输出hello world
09-25
要在masm32输出“hello world”,您可以按照以下步骤进行操作: 1. 创建一个汇编代码文件,命名为hello.asm,并将其保存在D:\masm32目录下。 2. 打开hello.asm文件,并将以下代码粘贴到文件中: ``` .386 ....
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值