PE Loader

最新推荐文章于 2024-05-24 09:45:17 发布
最新推荐文章于 2024-05-24 09:45:17 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Win32 文章标签: image header descriptor null import file 
/*
 *LocalFile是对读文件操作的一个简单封装
 */
//LocalFile.h
#pragma once

class CLocalFile
{
public:
	CLocalFile(const char * name);
	~CLocalFile(void);

	int Read(size_t offset, size_t size, void *ppBuf);

    size_t GetSize() const { return m_size;}

private:
	HANDLE           m_fd;
    size_t			m_size;
};

//LocalFile.cpp
#include "LocalFile.h"

CLocalFile::CLocalFile(const char * name)
{
	assert(NULL != name);
	assert(0 != name[0]);

	m_fd = CreateFileA(name, GENERIC_READ,
						FILE_SHARE_READ, NULL,
						OPEN_EXISTING,
						FILE_ATTRIBUTE_NORMAL, NULL);
	if (INVALID_HANDLE_VALUE == m_fd) {
		printf("Open file %s failed, error: %d!/n",name, GetLastError());
		return ;
	}

	m_size = GetFileSize(m_fd, NULL);
	return;
}

CLocalFile::~CLocalFile(void)
{
	if (NULL != m_fd) {
		CloseHandle(m_fd);
	}
}

int CLocalFile::Read(size_t offset,
					 size_t size,
					 void * pBuf)
{
	DWORD ret;
	ULONG rdsize;

	ret = SetFilePointer(m_fd, offset, NULL, FILE_BEGIN);
	if (INVALID_SET_FILE_POINTER == ret) {
		ret = GetLastError();
		printf("Seek file failed, error: %d!/n", ret);
		return ret;
	}

	if (!ReadFile(m_fd, pBuf, size, &rdsize, NULL)) {
		ret = GetLastError();
		printf("Read file failed, error: %d/n", ret);
		return ret;
	}

	return 0;
}

//loader.cpp

#include "LocalFile.h"

/*把该loader.exe的加载地址设置为0x0f400000,从而可以把0x00400000地址
 *预留给将要被加载的程序,从而可以避免因地址重定位而带来的性能损耗。
 */
#pragma comment(linker, "/BASE:0x0f400000")

inline int CDECL DebugPrint(const char *fmt,...)
{
	int nLength = 0;
#if defined(_DEBUG)
    va_list ap;
    va_start(ap, fmt);
    nLength = vprintf(fmt, ap);
    va_end(ap);
#endif
    return nLength;
}

void DumpPeInfo(PeInfo *pInfo)
{
	DebugPrint("------------headers info------------/n" /
			   "imageBase:        0x%x. /n" /
			   "entryPoint:       0x%x. /n" /
			   "sections:         0x%x. /n" /
			   "imageSize:        0x%x. /n" /
	           "exportRva:        0x%x. /n" /
			   "exportSize:       0x%x. /n" /
			   "importRva:        0x%x. /n" /
			   "importSize:       0x%x. /n" /
			   "resourceRva:      0x%x. /n" /
			   "resourceSize:     0x%x. /n" /
			   "relocRva:         0x%x. /n" /
			   "relocSize:        0x%x. /n" /
			   "debugRva:         0x%x. /n" /
			   "debugSize:        0x%x. /n" /
			   "offsetSections:   0x%x. /n" /
			   "fileType:         %s. /n",
				pInfo->imageBase,
				pInfo->entryPoint,
				pInfo->sections,
				pInfo->imageSize,
				pInfo->exRva,
				pInfo->exSize,
				pInfo->imRva,
				pInfo->imSize,
				pInfo->resRva,
				pInfo->resSize,
				pInfo->relocRva,
				pInfo->relocSize,
				pInfo->dbgRva,
				pInfo->dbgSize,
				pInfo->offsetSection,
				pInfo->fileType == 0 ? "exe":"dll");
}

BOOL IsPEFile(CLocalFile& lf)
{
	IMAGE_DOS_HEADER dh;
	IMAGE_NT_HEADERS nh;

	lf.Read(0, sizeof(IMAGE_DOS_HEADER), &dh);
	if (IMAGE_DOS_SIGNATURE != dh.e_magic) {
		return FALSE;
	}

	lf.Read(dh.e_lfanew, sizeof(IMAGE_NT_HEADERS), &nh);
	if (IMAGE_NT_SIGNATURE != nh.Signature) {
		return FALSE;
	}

	return TRUE;
}

BOOL ParseNTHeader(CLocalFile &lf, PeInfo &pe)
{
	IMAGE_DOS_HEADER dh;
	IMAGE_NT_HEADERS nh;
	PIMAGE_FILE_HEADER pfh;
	PIMAGE_OPTIONAL_HEADER32 poh;

	lf.Read(0, sizeof(IMAGE_DOS_HEADER), &dh);
	pe.offsetSection = dh.e_lfanew + sizeof(IMAGE_NT_HEADERS);
	lf.Read(dh.e_lfanew, sizeof(IMAGE_NT_HEADERS), &nh);

	pfh = &nh.FileHeader;
	poh = &nh.OptionalHeader;

	assert(IMAGE_FILE_MACHINE_I386 == pfh->Machine);
	assert(pfh->SizeOfOptionalHeader == sizeof(IMAGE_OPTIONAL_HEADER32));

	pe.sections = pfh->NumberOfSections;
	pe.imageBase = poh->ImageBase;
	pe.entryPoint = poh->AddressOfEntryPoint;
	pe.imageSize = poh->SizeOfImage;

	pe.exRva = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress;
	pe.exSize = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size;
	pe.imRva = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
	pe.imSize = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size;
	pe.resRva = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress;
	pe.resSize = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].Size;
	pe.relocRva = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress;
	pe.relocSize = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size;
	pe.dbgRva = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].VirtualAddress;
	pe.dbgSize = poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].Size;

	pe.fileType = pfh->Characteristics == IMAGE_FILE_DLL ? IMAGE_FILE_DLL : 0;

	DumpPeInfo(&pe);

	return TRUE;
}

BOOL LoadSections(CLocalFile &lf, PeInfo &pe, MODULEINFO &mi)
{
	PIMAGE_SECTION_HEADER psh, ptmp;
	DWORD protect = 0, oldProtect = 0;
	char name[9] = "/0";

	psh = (PIMAGE_SECTION_HEADER)_alloca(pe.sections * sizeof(IMAGE_SECTION_HEADER));
	if (NULL == psh) {
		printf("Memory not enough!/n");
		return FALSE;
	}
	lf.Read(pe.offsetSection, pe.sections * sizeof(IMAGE_SECTION_HEADER), psh);
	ptmp = psh;

	DebugPrint("/n/n------------sections info------------/n" /
			   "name/tVA/tSOD/tPTR/tPTR/tPTL/tNOR/tNOL/tCrt/n");

	/* 循环从被加载的文件中读取各个section内容,并存放在该section所指定的
	 * VirtualAddress地址空间中。
	 */
	for (int i = 0; i < pe.sections; ++i, ptmp++) {
		memcpy(name, ptmp->Name, 8);

		if (NULL != ptmp->PointerToRawData && 0 != ptmp->SizeOfRawData) {
			lf.Read(ptmp->PointerToRawData,
						ptmp->SizeOfRawData,
						(void *)((DWORD)mi.lpBaseOfDll + ptmp->VirtualAddress));
		}


		/* 此处代码主要功能是根据各个区段的Characteristics值,
		 * 来设置其所在内存的页属性,但因在RelocPeModule机制重定位时还需要对相关内存
		 * 进行写入,因此此处的代码应该在RelocPeModule函数调用之后才能执行。
		 */
#if 0 
		if (ptmp->Characteristics & IMAGE_SCN_MEM_READ) {
			protect = PAGE_READONLY;
		}
		if (ptmp->Characteristics & IMAGE_SCN_MEM_WRITE) {
			protect = PAGE_READWRITE;
		}
		if (ptmp->Characteristics & IMAGE_SCN_MEM_EXECUTE) {
			if (protect & PAGE_READONLY) {
				protect = PAGE_EXECUTE_READ;
			}
			else if (protect & PAGE_READWRITE) {
				protect = PAGE_EXECUTE_READWRITE;
			}
			else {
				protect = PAGE_EXECUTE;
			}
		}

		if (!VirtualProtect((LPVOID)(ptmp->VirtualAddress + (DWORD)mi.lpBaseOfDll),
							ptmp->SizeOfRawData, protect, &oldProtect)) {
			printf("Set memory protection failed, error: %d/n", GetLastError());
			return FALSE;
		}
#endif
		DebugPrint("%-8s" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/t" /
				   "0x%x/n",
				   name,
				   ptmp->VirtualAddress,
				   ptmp->SizeOfRawData,
				   ptmp->PointerToRawData,
				   ptmp->PointerToRelocations,
				   ptmp->PointerToLinenumbers,
				   ptmp->NumberOfRelocations,
				   ptmp->NumberOfLinenumbers,
				   ptmp->Characteristics);
	}

	return TRUE;
}

BOOL FixupResource(PIMAGE_RESOURCE_DIRECTORY pRes, DWORD imagebase, int offsetRlc)
{
	PIMAGE_RESOURCE_DIRECTORY_ENTRY pEntry;
	DWORD nEntries;

	nEntries = pRes->NumberOfIdEntries + pRes->NumberOfNamedEntries;

	pEntry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pRes + sizeof(IMAGE_RESOURCE_DIRECTORY));

	for (DWORD i = 0; i < nEntries; ++i, ++pEntry) {

		if (IMAGE_RESOURCE_DATA_IS_DIRECTORY & pEntry->OffsetToData) {
			PIMAGE_RESOURCE_DIRECTORY pRes2;
			PIMAGE_RESOURCE_DIRECTORY_ENTRY pEntry2;
			DWORD nEntries2;

			pRes2 = (PIMAGE_RESOURCE_DIRECTORY)((DWORD)pRes
						+ (~IMAGE_RESOURCE_DATA_IS_DIRECTORY & pEntry->OffsetToData));
			nEntries2 = pRes2->NumberOfIdEntries + pRes2->NumberOfNamedEntries;
			pEntry2 = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pRes2 + sizeof(IMAGE_RESOURCE_DIRECTORY));
			
			for (DWORD j = 0; j < nEntries2; ++j, ++pEntry2) {
				if (IMAGE_RESOURCE_NAME_IS_STRING & pEntry2->Name) {
					PIMAGE_RESOURCE_DIR_STRING_U pDirStr;
					pDirStr = (PIMAGE_RESOURCE_DIR_STRING_U)((DWORD)pRes
								+ (~IMAGE_RESOURCE_NAME_IS_STRING & pEntry2->Name));
				}
				if (IMAGE_RESOURCE_DATA_IS_DIRECTORY & pEntry2->OffsetToData) {
					PIMAGE_RESOURCE_DIRECTORY pRes3;
					PIMAGE_RESOURCE_DIRECTORY_ENTRY pEntry3;
					DWORD nEntries3;

					pRes3 = (PIMAGE_RESOURCE_DIRECTORY)((DWORD)pRes
								+ (~IMAGE_RESOURCE_DATA_IS_DIRECTORY & pEntry2->OffsetToData));
					nEntries3 = pRes3->NumberOfIdEntries + pRes3->NumberOfNamedEntries;
					pEntry3 = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)((DWORD)pRes3 + sizeof(IMAGE_RESOURCE_DIRECTORY));

					for (DWORD k = 0; k < nEntries3; ++k) {
						PIMAGE_RESOURCE_DATA_ENTRY pData;

						assert(~IMAGE_RESOURCE_DATA_IS_DIRECTORY & pEntry3->OffsetToData);

						pData = (PIMAGE_RESOURCE_DATA_ENTRY)((DWORD)pRes + pEntry3->OffsetToData);
						pData->OffsetToData += (DWORD)imagebase;
					}
				}
			}

		}
	}

	return TRUE;
}

BOOL RelocPeModule(PIMAGE_BASE_RELOCATION pBlc, DWORD imagebase, int offsetRlc)
{
	DWORD vaddr, count, offset, type;
	WORD *items = NULL;

	while (NULL != pBlc->VirtualAddress) {
		vaddr = imagebase + pBlc->VirtualAddress;

		count = (pBlc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) >> 1;
		items = (WORD *)((char *)pBlc + sizeof(IMAGE_BASE_RELOCATION));

		for (DWORD i = 0; i < count; ++i) {
			offset = items[i] & 0x0fff;
			type = items[i] >> 12;

			if (type == 3) {
				*(DWORD *)(vaddr + offset) += offsetRlc;
			}
		}
		pBlc = (PIMAGE_BASE_RELOCATION)(items + count);
	}

	return TRUE;
}

BOOL FixupExport(PIMAGE_EXPORT_DIRECTORY pExp, DWORD imagebase)
{
	return TRUE;
}

BOOL FixupImport(PIMAGE_IMPORT_DESCRIPTOR pImp, DWORD imagebase)
{
	PIMAGE_THUNK_DATA pOrgThunk, pFirstThunk;
    PIMAGE_IMPORT_BY_NAME pImportName;

	DebugPrint("/n/n------------import table info------------/n");

	while (NULL != pImp->OriginalFirstThunk) {
		pImp->Name += imagebase;

		DebugPrint("DLL: %s/n", pImp->Name);

		FARPROC fpFun;
		HINSTANCE hInstance = LoadLibraryA((LPCSTR)pImp->Name);
		if (NULL == hInstance) {
			printf("Load library %s failed, error: %d/n", pImp->Name, GetLastError());
			return FALSE;
		}

		pOrgThunk = (PIMAGE_THUNK_DATA)(imagebase + pImp->OriginalFirstThunk);
		pFirstThunk = (PIMAGE_THUNK_DATA)(imagebase + pImp->FirstThunk);

		while (NULL != *(DWORD *)pOrgThunk) {
			if (pOrgThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG32) {
				fpFun = GetProcAddress(hInstance, (LPCSTR)(pOrgThunk->u1.Ordinal & 0x0000ffff));

				//DebugPrint("/t0x%x/n", pOrgThunk->u1.Ordinal);
			}
			else {
				pImportName = (PIMAGE_IMPORT_BY_NAME)(imagebase + pOrgThunk->u1.AddressOfData);
				fpFun = GetProcAddress(hInstance, (LPCSTR)pImportName->Name);

				//DebugPrint("/t%s/n", pImportName->Name);
			}

			//DebugPrint("/t/t0x%x/n", fpFun);

			pFirstThunk->u1.Ordinal = (LONG)fpFun;
			
			++pFirstThunk;
			++pOrgThunk;
		}
		FreeLibrary(hInstance);

		++pImp;
	}

	return TRUE;
}

int LoadPeModule(const char * name, int argc, _TCHAR* argv[])
{
	CLocalFile lf(name);
	LPVOID addr;
	PeInfo pe;
	MODULEINFO mi;

	/* 验证是否为合法的pe文件 */
	assert(IsPEFile(lf));

	/* 处理nt header,获取pe文件的相关信息 */
	ParseNTHeader(lf, pe);

	/*为image按照imageBase优先原则分配空间地址。
	 *如该空间地址已被reserved或commit,则重新分配一个可用的空间地址,
	 *但此种情况下需要做基址重定位处理。*/
	addr = VirtualAlloc((LPVOID)(pe.imageBase),
								pe.imageSize,
								MEM_RESERVE | MEM_COMMIT,
								PAGE_EXECUTE_READWRITE);
	if (NULL == addr) {
		printf("VirtualAlloc failed, error: %d/n", GetLastError());
		addr = VirtualAlloc(NULL, pe.imageSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
		if (NULL == addr) {
			printf("VirtualAlloc failed, error: %d/n", GetLastError());
			return -1;
		}
	}
	memset((void *)addr, 0, pe.imageSize);

	mi.EntryPoint = (LPVOID)pe.entryPoint;
	mi.lpBaseOfDll = (LPVOID)addr;
	mi.SizeOfImage = pe.imageSize;

	/* 把sections加载到内存 */
	LoadSections(lf, pe, mi);

	/* 如果实际分配的空间地址和pe文件的基址不一样,则需要做基址重定位处理 */
	if ((int)mi.lpBaseOfDll != pe.imageBase) {
		if (0 == pe.relocSize) {
			printf("Cannot reloc address!/n");
			return -1;
		}
		PIMAGE_BASE_RELOCATION pBrlc = (PIMAGE_BASE_RELOCATION)((DWORD)mi.lpBaseOfDll + pe.relocRva);
		RelocPeModule(pBrlc, (DWORD)mi.lpBaseOfDll, (DWORD)mi.lpBaseOfDll - pe.imageBase);
	}

	/* 如果该pe文件有导出表,则处理导出表区段 */
	if (0 != pe.exSize) {
		PIMAGE_EXPORT_DIRECTORY pExp = (PIMAGE_EXPORT_DIRECTORY)((DWORD)mi.lpBaseOfDll + pe.exRva);
		FixupExport(pExp, (DWORD)mi.lpBaseOfDll);
	}

	/* 如果pe文件有资源文件,则需要处理资源区段 */
	if (0 != pe.resSize) {
		PIMAGE_RESOURCE_DIRECTORY pRes = (PIMAGE_RESOURCE_DIRECTORY)((DWORD)mi.lpBaseOfDll + pe.resRva);
		FixupResource(pRes, (DWORD)mi.lpBaseOfDll, (DWORD)mi.lpBaseOfDll - pe.imageBase);
	}

	/* 如果pe文件有导入表,则需要处理导入表区段 */
	if (0 != pe.imSize) {
		PIMAGE_IMPORT_DESCRIPTOR pImp = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)mi.lpBaseOfDll + pe.imRva);
		FixupImport(pImp, (DWORD)mi.lpBaseOfDll);
	}

	DebugPrint("/n/nentry: 0x%x/n/n", (DWORD)mi.EntryPoint + (DWORD)mi.lpBaseOfDll);

	/* 进入该pe文件的entry pointer,执行该pe文件 */
	__asm {
		push argc;
		push argv;
		mov eax, mi.EntryPoint;
		add eax, mi.lpBaseOfDll;
		call eax;
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	//LoadPeModule("HelloWorld.exe", argc - 1, argv + 1);
    LoadPeModule("btnlook.exe", argc - 1, argv + 1);

	return 0;
}

转载自: http://blog.csdn.net/lf8289/article/details/5301269
pyq881120
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE loader (x86)
zylg
11-20 1047
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
pe-loader:Windows PE格式的文件加载器
05-15
编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1局限性大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像根据官方PE格式...
易语言学习-PE加载器(PeLoader)支持库版.zip
07-09
易语言学习-PE加载器(PeLoader)支持库版.zip
推荐文章:SimplePELoader——轻量级PE加载器
最新发布
gitblog_00017的博客
05-24 299
推荐文章:SimplePELoader——轻量级PE加载器 项目地址:https://gitcode.com/nettitude/SimplePELoader 1、项目介绍 在软件开发和逆向工程领域,有时我们需要在不依赖操作系统API的情况下动态地加载DLL文件。这就是SimplePELoader大显身手的地方。这是一个微型的PE(Portable Executable)加载器,其设计目标是无需使...
loadEXEPE感染详细VC源码注释
qq_42577465的博客
06-03 312
// loadEXE.cpp : Defines the entry point for the console application. //实现将笔记本程序插入到计算器程序并替换掉程序进程名 #include "stdafx.h" #include <windows.h> #include <stdio.h> struct MZHeader //DOS { ...
如何打造一个简单的PELoader
2303_79822944的博客
12-18 243
首先先介绍下什么是PEloader,它是相当于是一个PE加载器,运行该程序可以打开一个PE文件,如exe文件。而效果就如同双击该exe。PEloader可以帮助从本质上了解exe文件的格式和运行原理。然后我要介绍的是如何写一个简单的PEloader。要完成这个任务需要的知识有对PE文件的基本了解,对指针的熟练运用和对指针的深入理解,然后C语言方面学完结构体基本就可以了,其次是对如何运用代码对文件进行操作有一些了解和会最基本的操作,如使用fread读取文件,用stat获取一个文件的一些基本信息。
PE_Loade技术解析
qq_18811919的博客
12-29 525
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白+黑进行白名单绕过等等,红蓝对抗是永无止境。
探索PeLoader:一款强大的PE文件加载器与分析工具
gitblog_00032的博客
04-06 539
探索PeLoader:一款强大的PE文件加载器与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
windows下的pe loader源代码
02-09
PE Loader是Windows操作系统中用于加载可执行程序(.exe或.dll)的核心组件。它负责将程序的各个部分映射到内存中,并执行必要的初始化步骤,以便程序能够正确运行。这里我们探讨的是一个针对Windows环境的自定义PE ...
PE-File-format.rar_PE Format_PE Loader_PE加载器_pe_pe form
09-20
一个操作系统的可执行文件格式,从许多角度来看,都是操作系统内建行为的一面镜子。 虽然可执行档格式通常并不是一个程序员认为迫切需要学习的东西,但操作系统的许多 有用的知识却可以在这个过程中获得。...
ReflectiveDLLInjection.zip_PE Loader_brownn4u_inject_加载 pe_反射型DL
09-24
反射DLL注入是一种库注入技术,其中采用反射编程的概念来执行...因此,库负责通过实现最小的可移植可执行文件(PE)文件加载器来加载自身。然后,它可以通过与主机系统和进程的最小交互来控制它如何加载和与主机交互。
LoadPE源代码
11-08
LoadPE源代码
LoadPE源码
01-20
C++写逻辑,MFC做界面,实现简易的类LoadPE
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
.exp文件_有趣的命令行系列——利用PEloader加载exp从而绕过杀毒软件
weixin_39952074的博客
11-27 393
黑客工具是渗透手在日常工作中必备的,很多黑客工具其实并不是木马或病毒,但是也被杀毒软件查杀,所以让自己手头的黑客工具躲过杀软也是渗透手的必要技能。Poweshell有一个peloader脚本,地址在https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection...
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8370
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
模拟操作系统的装载器LoadPE
qq_35426012的博客
11-15 955
模拟操作系统实现loadPE 设计思路 将PE文件头加载到内存中 把所有节区数据加载到内存 修正导入表,也就是上面的获取导入函数地址填入到IAT中 注意:为了防止装载的程序涉及到VA不一样,导致loadPE访问地址崩溃,所以自己的loadPe程序的基址要和装载的程序地址要一样,可以修改link 选项 /base:基地址 举例说明:假如对方模块基址为10000000 有个指令为jmp 0x1000...
Windows核心编程 - Windows内存体系结构(4)
yjianlu的专栏
05-01 636
1. 写时复制 PAGE_WRITECOPY和PAGE_EXECUTE_WRITECOPY这两个保护属性存在的目的是为了节省内存和使用页交换文件。Windows支持一种机制,允许两个或两个以上的进程共享同一块存储器。让应用程序实例共享相同的存储页极大地提升了系统的性能,但另一方面,也要求所有的应用程序实例只能读取其中的数据 或是执行其中的代码。如果某个应用程序实例修改并写入一个存储页...
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1080
主要步骤: 1.将要加载的文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
boot loader
05-17
Boot loader是一个计算机程序,负责启动操作系统。它通常位于存储设备的最前面,例如硬盘、U盘等。当计算机启动时,BIOS会读取存储设备的第一个扇区(通常为512字节),这个扇区就是boot loader所在的位置。Boot loader会被加载到内存中,并运行。它的主要作用是加载操作系统内核,并将控制权交给内核,从而启动操作系统。 Boot loader的工作原理如下: 1. BIOS读取存储设备的第一个扇区,并将其加载到内存中。 2. Boot loader被执行,并开始查找操作系统内核。 3. Boot loader加载操作系统内核,并将控制权交给内核。 4. 操作系统内核开始运行,并初始化系统。 常见的boot loader有GRUB、LILO等。它们支持多种操作系统,并提供了图形界面和命令行界面供用户选择。在Linux系统中,GRUB是最常用的boot loader之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值