PE 文件加载器实现

最新推荐文章于 2024-05-15 09:54:59 发布
最新推荐文章于 2024-05-15 09:54:59 发布
阅读量786 收藏 1
点赞数 1
分类专栏: c/c++
原文链接:https://github.com/aaaddress1/Windows-APT-Warfare/blob/main/source/chapter%2306/peLoader.cpp
版权

介绍 pe 重定位表的文章:https://blog.csdn.net/qq_40890756/article/details/90080880?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-2.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-2.control

下面的代码实现了pe 文件的加载功能,经测试是可以正常运行exe文件的。有个地方需要注意:在pe 文件加载完成之后,调用pe 文件的入口函数时,需要确保其函数原型是一致的。样例中的pe 入口函数是没有给参数。如果不一样,会导致函数执行异常,程序会崩掉,可以根据实际的测试样例进行修改。

/**
 * peLoader.cpp
 * Windows APT Warfare
 * by aaaddress1@chroot.org
 */
#include <stdio.h>
#include <windows.h>
#pragma warning(disable : 4996)
#define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew))
#define getSectionArr(buf) ((IMAGE_SECTION_HEADER *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew + sizeof(IMAGE_NT_HEADERS)))

bool readBinFile(const char fileName[], char **bufPtr, size_t &length)
{
	if (FILE *fp = fopen(fileName, "rb"))
	{
		fseek(fp, 0, SEEK_END);
		length = ftell(fp);
		*bufPtr = (char *)malloc(length + 1);
		fseek(fp, 0, SEEK_SET);
		fread(*bufPtr, sizeof(char), length, fp);
		return true;
	}
	else
		return false;
}

void fixIat(char *peImage)
{
	auto dir_ImportTable = getNtHdr(peImage)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
	auto impModuleList = (IMAGE_IMPORT_DESCRIPTOR *)&peImage[dir_ImportTable.VirtualAddress];
	for (HMODULE currMod; impModuleList->Name; impModuleList++)
	{
		printf("\timport module : %s\n", &peImage[impModuleList->Name]);
		currMod = LoadLibraryA(&peImage[impModuleList->Name]);

		auto arr_callVia = (IMAGE_THUNK_DATA *)&peImage[impModuleList->FirstThunk];
		for (int count = 0; arr_callVia->u1.Function; count++, arr_callVia++)
		{
			auto curr_impApi = (PIMAGE_IMPORT_BY_NAME)&peImage[arr_callVia->u1.Function];
			arr_callVia->u1.Function = (size_t)GetProcAddress(currMod, (char *)curr_impApi->Name);
			if (count < 5)
				printf("\t\t- fix imp_%s\n", curr_impApi->Name);
		}
	}
}

#define RELOC_32BIT_FIELD 0x03
#define RELOC_64BIT_FIELD 0x0A
typedef struct BASE_RELOCATION_ENTRY
{
	WORD Offset : 12;
	WORD Type : 4;
} entry;

void fixReloc(char *peImage)
{
	auto dir_RelocTable = getNtHdr(peImage)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
	auto relocHdrBase = &peImage[dir_RelocTable.VirtualAddress];
	for (UINT hdrOffset = 0; hdrOffset < dir_RelocTable.Size;)
	{
		auto relocHdr = (IMAGE_BASE_RELOCATION *)&relocHdrBase[hdrOffset];
		entry *entryList = (entry *)((size_t)relocHdr + sizeof(*relocHdr));
		for (size_t i = 0; i < (relocHdr->SizeOfBlock - sizeof(*relocHdr)) / sizeof(entry); i++)
		{
			size_t rva_Where2Patch = relocHdr->VirtualAddress + entryList[i].Offset;
			if (entryList[i].Type == RELOC_32BIT_FIELD)
			{
				*(UINT32 *)&peImage[rva_Where2Patch] -= (size_t)getNtHdr(peImage)->OptionalHeader.ImageBase;
				*(UINT32 *)&peImage[rva_Where2Patch] += (size_t)peImage;
			}
			else if (entryList[i].Type == RELOC_64BIT_FIELD)
			{
				*(UINT64 *)&peImage[rva_Where2Patch] -= (size_t)getNtHdr(peImage)->OptionalHeader.ImageBase;
				*(UINT64 *)&peImage[rva_Where2Patch] += (size_t)peImage;
			}
		}
		hdrOffset += relocHdr->SizeOfBlock;
	}
}

void peLoader(char *exeData)
{
	auto imgBaseAt = (void *)getNtHdr(exeData)->OptionalHeader.ImageBase;
	auto imgSize = getNtHdr(exeData)->OptionalHeader.SizeOfImage;
	bool relocOk = !!getNtHdr(exeData)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress;

	char *peImage = (char *)VirtualAlloc(relocOk ? 0 : imgBaseAt, imgSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (peImage)
	{
		printf("[v] exe file mapped @ %p\n", peImage);
		memcpy(peImage, exeData, getNtHdr(exeData)->OptionalHeader.SizeOfHeaders);
		for (int i = 0; i < getNtHdr(exeData)->FileHeader.NumberOfSections; i++)
		{
			auto curr_section = getSectionArr(exeData)[i];
			memcpy(
				&peImage[curr_section.VirtualAddress],
				&exeData[curr_section.PointerToRawData],
				curr_section.SizeOfRawData);
		}
		printf("[v] file mapping ok\n");

		fixIat(peImage);
		printf("[v] fix iat.\n");

		if (relocOk)
		{
			fixReloc(peImage);
			printf("[v] apply reloc.\n");
		}

		auto addrOfEntry = getNtHdr(exeData)->OptionalHeader.AddressOfEntryPoint;
		printf("[v] invoke entry @ %p ...\n", &peImage[addrOfEntry]);
		((void (*)()) & peImage[addrOfEntry])();
	}
	else
		printf("[x] alloc memory for exe @ %p failure.\n", imgBaseAt);
}

int main(int argc, char **argv)
{
	char *exeBuf;
	size_t exeSize;
	if (argc != 2)
		puts("usage: ./peLoader [path/to/exe]");
	else if (readBinFile(argv[1], &exeBuf, exeSize))
		peLoader(exeBuf);
	else
		puts("[!] exe file not found.");
	return 0;
}

pureman_mega
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WindowsPE文件
跃然实验室
06-11 1465
读取一个PE文件的过程如下: 1. 先读入PE文件的DOS头,PE头和Section头。 2. 然后根据PE头里的ImageBase所定义的地址是否可用,如果已被其他模块占用,则重新分配一块空间。 3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。 4. 如果文件的地址不是Imag...
PE文件——PE模拟法
跃然实验室
06-10 2329
1、找到文件到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
反向进程注入及隐藏--动手做一个最简单的PELoader
08-16 1520
文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE。这个PE
题目:揭秘Amber:隐形的PE
最新发布
gitblog_00030的博客
05-15 314
题目:揭秘Amber:隐形的PE 项目地址:https://gitcode.com/EgeBalci/amber 1、项目介绍 在信息安全领域,隐藏并保护执行代码的技术是至关重要的。Amber是一个创新性的PE(Portable Executable),它能够实现PE文件(如EXE,DLL,SYS等)的内存中无痕执行。由Amber生成的反射性负可以被远程服务分阶段部署,或者直接在内...
易语言学习-PE(PeLoader)支持库版.zip
07-09
易语言学习-PE(PeLoader)支持库版.zip
探索Windows APT Warfare:一个深度安全研究与防御工具
gitblog_00061的博客
03-27 427
探索Windows APT Warfare:一个深度安全研究与防御工具 项目地址:https://gitcode.com/aaaddress1/Windows-APT-Warfare 该项目[[link]][1]由aaaddress1开发,是一个专注于Windows平台高级持续性威胁(Advanced Persistent Threat, APT)的实战演练和防御工具集。通过深入理解和模拟APT攻...
PE——你爱的很沉重,可还是得看她想不想要
sxr__nc的博客
04-20 1136
构造PE,简而言之就是手动把PE文件在内存中展开,并且如果有重定位表的话手动修复重定位表,以及修复IAT表等一些重要数据。 源码: #include<stdio.h> #include<windows.h> #include<winnt.h> int main() { HANDLE hFile = CreateFileA("你的测试程序的绝对地址", G...
PE文件流程
dohxxx的博客
03-20 4461
PE流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
PE文件基址
ChuMeng1999的博客
10-17 758
目录预备知识ODWinhex关于PE文件的一些基础知识PE头总览DOS-根和签名(DOS-stub and Signature)文件头(File Header)ImageBase实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 OD Ollydbg通常称作OD,是一个32位汇编级Microsoft的Windows的分析调试,汇编代码的动态分析工具,特别是在源代码不可用的情况下非常有用。 Winhex Winhex是一款16进制编辑。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢
商业编程-源码-PE文件分析.zip
06-21
PE文件在不同地址时,重定位表允许程序修正内部指针以适应新的内存位置。还有可能涉及到调试信息的解析,这对于调试和理解代码流程非常有用。 在安全角度,PE文件分析可以用于检测恶意软件。例如,分析可能...
pe-loader:Windows PE格式的文件
05-15
Windows可执行文件 这是Windows PE格式的文件应用程序,提供与OS内部可执行文件类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
peloader:PE二进制示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可和执行二进制文件的示例代码。
PE
11-28
一个PE文件,可以直接从内存中EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PEdll模块的Lirary.zip
09-18
mmLoader, 从内存( x86/x64 ) 中绕过 Windows PEdll模块的Lirary mmLoader http://tishion.github.io/mmLoader/直接绕过窗口PE程序从内存dll模块上次生成状态: Nuget本机软件包:https://www.nuget.org/packag
PE源码.rar
09-25
PE源码.rar
PE支持库
07-24
当一个PE文件被执行时,操作系统会调用PE来处理这个文件,完成诸如内存映射、依赖项解析、重定位等一系列复杂任务,使得程序能够正确运行。 首先,我们需要理解PE文件结构。PE文件由多个部分组成,包括DOS头...
PE文件分析VC源代码
03-15
本篇文章将围绕"PE文件分析VC源代码"这一主题,探讨如何通过VC++编程语言对PE文件进行深度剖析,特别是如何查看EXE文件依赖的DLL及其包含的函数。 首先,我们要理解PE文件结构。PE文件由若干节区(Section)组成...
Bind2File.rar_pe 捆绑_捆绑_文件捆绑
09-23
通过理解Bind2File源码,开发者不仅可以实现自己的文件捆绑,还可以深入了解PE文件格式的内部工作原理,这对于逆向工程和安全分析等领域都有极大的帮助。然而,需要注意的是,不当使用PE捆绑技术可能会违反软件...
Win32平台下的PE文件格式深度解析
11. **运行PE文件的步骤**:涉及到PE如何解析文件,映射到内存,解决依赖,准备执行等过程。 PE文件的解析和分析通常需要专门的工具,如WinHex和Stud_PE。通过理解PE文件的结构,开发者和逆向工程师可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值