MemoryModule阅读与PE文件解析(三)

最新推荐文章于 2024-05-10 19:20:55 发布
最新推荐文章于 2024-05-10 19:20:55 发布
阅读量848 收藏
点赞数
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/69210861
版权

前面我们提到一个函数 CopySections ,该函数将文件中的段拷贝到我们申请的内存中,并按照内存页面的大小进行对齐。拷贝过程中设置了每个段的PhysicalAddress的值为该段的虚拟地址,用于后面的操作。

要理解这个段,首先应该理解_IMAGE_SECTION_HEADER  的联合体

union {

            DWORD   PhysicalAddress;

            DWORD   VirtualSize;

} Misc;

其中VirtualSize(程序中使用的是PhysicalAddress)我觉得VirtualSize更加准确。这个VirtualSize 指的是这个段,在加载进内存之后的实际大小,而_IMAGE_SECTION_HEADER 中的SizeOfRawData 指的是该段磁盘中已经初始化了的数据大小,该大小按照文件粒度对齐之后的大小,如果该节只包含未初始化的数据,大小为0。

 

static BOOL

CopySections(const unsigned char *data, size_t size, PIMAGE_NT_HEADERS old_headers, PMEMORYMODULE module)

{

   int i, section_size;

   unsigned char *codeBase = module->codeBase;

   unsigned char *dest;

   PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(module->headers);

   for (i=0; i<module->headers->FileHeader.NumberOfSections; i++,section++) {

       if (section->SizeOfRawData == 0) {

            // 这个段所包含的数据都没有初始化, 为该段申请一个页面的大小,然后直接填充零即可。

            section_size = old_headers->OptionalHeader.SectionAlignment;

            if (section_size >0) {

                dest = (unsigned char *)module->alloc(codeBase+ section->VirtualAddress,

                    section_size,

                    MEM_COMMIT,

                    PAGE_READWRITE,

                    module->userdata);

                if (dest == NULL) {

                    return FALSE;

                }

 

                // 这里申请内存的时候直接使用了codeBase+section->VirtualAddress,之所以这样做,是为了使PE文件在加载入内存之后保持其格式,函数之所以成功,因为前面已经从codeBase开始预留了整个文件的空间

                dest = codeBase +section->VirtualAddress;

                // NOTE: On 64bit systems we truncate to 32bit here butexpand

                // again later when "PhysicalAddress" is used.

               section->Misc.PhysicalAddress = (DWORD) ((uintptr_t) dest &0xffffffff);

               // 在这之后,PhysicalAddress就是这个段的虚拟地址。

                memset(dest, 0, section_size);

            }

 

            // section is empty

            continue;

       }

 

       if (!CheckSize(size, section->PointerToRawData +section->SizeOfRawData)) {

            return FALSE;

       }

 

       // 提交内存块并拷贝数据

       dest = (unsigned char *)module->alloc(codeBase + section->VirtualAddress,

                           section->SizeOfRawData,

                            MEM_COMMIT,

                            PAGE_READWRITE,

                            module->userdata);

       if (dest == NULL) {

            return FALSE;

       }

 

       dest = codeBase + section->VirtualAddress;

       memcpy(dest, data + section->PointerToRawData,section->SizeOfRawData);

       // NOTE: On 64bit systems we truncate to32bit here but expand

       // again later when"PhysicalAddress" is used.

       section->Misc.PhysicalAddress = (DWORD) ((uintptr_t) dest &0xffffffff);

   }

 

   return TRUE;

}

 

题外话:我们都知道,PE 文件的加载是通过内存映射文件来实现的,但是不同于普通的作为数据的映射文件,PE 文件的内存映射文件对应的控制区对象后面的每个子内存区对象都对应于PE 文件中的一个段,而普通的数据型的内存映射文件对应的控制区对象后面的子内存区对象都对应的是一定大小的文件的一部分,详情请参考http://blog.csdn.net/qq_18218335/article/details/65626899

 

接下来我们看一个函数,FinalizeSections 该函数的注释为:根据段头标记内存页,并释放标记为“可废弃”的段。

 

static BOOL

FinalizeSections(PMEMORYMODULE module)

{

   int i;

   PIMAGE_SECTION_HEADER section = IMAGE_FIRST_SECTION(module->headers);

#ifdef _WIN64

   // "PhysicalAddress" might havebeen truncated to 32bit above, expand to

   // 64bits again.

   uintptr_t imageOffset = ((uintptr_t)module->headers->OptionalHeader.ImageBase & 0xffffffff00000000);

#else

   static const uintptr_t imageOffset = 0;

#endif

   SECTIONFINALIZEDATA sectionData;

   sectionData.address = (LPVOID)((uintptr_t)section->Misc.PhysicalAddress | imageOffset);

   sectionData.alignedAddress = AlignAddressDown(sectionData.address, module->pageSize);

   sectionData.size = GetRealSectionSize(module, section);

   sectionData.characteristics = section->Characteristics;

   sectionData.last = FALSE;

   section++;

 

   // 循环访问所有的段,然后改变其访问标识

   for (i=1; i<module->headers->FileHeader.NumberOfSections; i++,section++) {

       LPVOID sectionAddress = (LPVOID)((uintptr_t)section->Misc.PhysicalAddress| imageOffset);

       LPVOID alignedAddress = AlignAddressDown(sectionAddress, module->pageSize);

       SIZE_T sectionSize = GetRealSectionSize(module, section);

       // 如果前后两个段的其实地址相同,或者前一个段的末尾地址大于当前段起始地址,即有重叠的部分,将两个段的操作合并起来。我们知道,前面申请内存的时候其地址都是页面对齐的,而且申请得到的内存块的大小也是页面对齐的(VirtualAlloc函数的提交操作就是按照页面操作的),因此这个判断语句不会进去,不知道作者如何考虑的

       if (sectionData.alignedAddress == alignedAddress || (uintptr_t)sectionData.address + sectionData.size > (uintptr_t) alignedAddress) {

            // Section shares page with previous

            if((section->Characteristics & IMAGE_SCN_MEM_DISCARDABLE) == 0 || (sectionData.characteristics & IMAGE_SCN_MEM_DISCARDABLE) == 0) {

                sectionData.characteristics =(sectionData.characteristics | section->Characteristics) & ~IMAGE_SCN_MEM_DISCARDABLE;

            } else {

                sectionData.characteristics |=section->Characteristics;

            }

            sectionData.size = (((uintptr_t)sectionAddress) +((uintptr_t) sectionSize)) - (uintptr_t)sectionData.address;

            continue;

       }

 

       if (!FinalizeSection(module, &sectionData)){

            return FALSE;

       }

       sectionData.address = sectionAddress;

       sectionData.alignedAddress = alignedAddress;

       sectionData.size = sectionSize;

       sectionData.characteristics = section->Characteristics;

   }

   sectionData.last = TRUE;

   if (!FinalizeSection(module, &sectionData)){

       return FALSE;

   }

   return TRUE;

}

 

上面的操作对每个段都进行了FinalizeSection操作,该函数如下,操作如注释所示

static BOOL

FinalizeSection(PMEMORYMODULE module, PSECTIONFINALIZEDATA sectionData) {

   DWORD protect, oldProtect;

   BOOL executable;

   BOOL readable;

   BOOL writeable;

 

   if (sectionData->size == 0) {

       return TRUE;

   }

   if (sectionData->characteristics & IMAGE_SCN_MEM_DISCARDABLE) {

        // 这个段是可以被回收的

       if (sectionData->address == sectionData->alignedAddress &&

            (sectionData->last ||

             module->headers->OptionalHeader.SectionAlignment== module->pageSize ||

            (sectionData->size % module->pageSize) == 0)

          ) {

            // 满足可以释放整个页面的要求之后才可以释放页面

            module->free(sectionData->address, sectionData->size, MEM_DECOMMIT, module->userdata);

       }

       return TRUE;

   }

 

   // 得到读写执行属性

   executable = (sectionData->characteristics & IMAGE_SCN_MEM_EXECUTE) != 0;

   readable =   (sectionData->characteristics& IMAGE_SCN_MEM_READ) != 0;

   writeable =  (sectionData->characteristics& IMAGE_SCN_MEM_WRITE) != 0;

   protect = ProtectionFlags[executable][readable][writeable];

   if (sectionData->characteristics & IMAGE_SCN_MEM_NOT_CACHED) {

       protect |= PAGE_NOCACHE;

   }

 

   // 改变页面的访问标识

   if (VirtualProtect(sectionData->address, sectionData->size, protect,&oldProtect) == 0) {

       OutputLastError("Errorprotecting memory page");

       return FALSE;

   }

 

   return TRUE;

}

 

这样我们就理解了函数的注释的含义:改变每个段的保护属性,并将段头部中包含有“可以将此资源释放”标识的内存页释放。

我们可以看到

重定向段标记为可回收,这很好理解,我们使用它进行重定向项的修复之后,我们就可以将其释放。

 

kiki商
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开源项目推荐:MemoryModule
$firecat利白的代码足迹$
05-06 937
Library to load a DLL from memory. https://github.com/fancycode/MemoryModule https://www.joachim-bauch.de/tutorials/loading-a-dll-from-memory/ 思路:把dll文件放到exe的资源文件里,使用MemoryModule加载到内存,远程注入到其他软件的进程里,注射完exe关闭,这样本地和其他软件的进程中就不会查到dll,从而做到隐藏运行。 在VS2015中把D.
MemoryModule: 更好的内存管理工具
gitblog_00006的博客
03-05 442
MemoryModule: 更好的内存管理工具 MemoryModule 是一个轻量级的库,旨在提供更好的内存管理和分析能力。它允许程序员更方便地进行内存分配、释放和检查,从而提高程序的稳定性和效率。 使用场景 MemoryModule 可以用于各种需要进行内存管理的场合。例如: 在开发过程中,可以通过 MemoryModule 进行内存泄露检测。 在优化代码性能时,可以使用 MemoryMod...
MemoryModule - exp - test
最新发布
谢绝留言与私信
05-10 927
MemoryModule 是从内存载入DLL的一种实现。测试一下和隐式载入DLL/显式载入在效果上有哪些不同?是否可以在内存中载入执行正规DLL的接口?在内存载入正规DLL时,是否可以在DLL中执行正常的API?是否可以正常调用其他正规DLL的接口?
推荐 MemoryModule - 完全自定义的内存模块!
gitblog_00001的博客
03-07 340
推荐 MemoryModule - 完全自定义的内存模块! MemoryModule 是一个开源的内存模块工具,它允许开发者完全自定义内存管理模块,从而更好地满足特定场景下的性能需求。 MemoryModule 能做什么? MemoryModule 提供了一个灵活的框架,使得开发者可以自定义内存分配、释放等操作,以优化应用程序在特定场景下的内存管理。无论是减少内存碎片、提高内存利用率还是提升内存访...
注入(5)---导入表注入(HookINT)
weixin_33841722的博客
10-13 293
导入表是WindowsPE文件中的一组数据结构,可执行程序(即EXE文件)被加载到地址空间后,每个导入的DLL模块都有一个对应的导入表,PE加载器会根据导入表来加载进程需要的其他DLL模块。 导入表的数据结构如下: typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; ...
MemoryModule阅读PE文件解析(一)
商少
10-25 3383
参考链接https://github.com/fancycode/MemoryModule本文阅读github 上MemoryModule 代码的同时,介绍PE 文件相关的基础知识。      该项目实现“手动加载DLL”即“实现了自己的LoadLibrary函数”,将DLL 加载到内存中,然后进行常规的DLL 操作。 函数第一步,通过调用LoadLibrary 函数加载DLL 并进行一些常规的
MemoryModule
04-09
MemoryModule的类型与性能指标 1. DDR类型:DDR1、DDR2、DDR3、DDR4,每一代的DDR内存都在速度和功耗上有所提升。例如,DDR3比DDR2有更高的数据传输速率和更低的电压需求,而DDR4则进一步优化了这些特性。 2. ...
MemoryModule0.0.4
03-26
MemoryModule则提供了另一种方案,它直接在内存中加载DLL,避免了文件I/O操作,提高了程序的运行速度,同时也增加了安全性,因为攻击者更难以篡改内存中的代码。 MemoryModule 0.0.4的亮点在于对64位系统的全面支持...
MemoryModule-master.zip
07-08
"MemoryModule"是一个库,允许开发者将DLL文件嵌入到EXE(可执行文件)的资源部分,而不是将其作为一个独立的文件保存在磁盘上。这样做的好处是,当程序运行时,DLL可以被加载到内存中,而不会在磁盘上留下明显的...
go-MemoryModule:转到MemoryModule的绑定示例
05-01
go-MemoryModule 转到MemoryModule的绑定示例构建内存模块和Go的64位版本。 已在Ubuntu 14.04 LTS上测试。 安装所需的软件包: sudo apt-get install cmakesudo apt-get install golang-go-linux-386 golang-go-...
MemoryModule windows 下内存加载动态库的源代码
05-25
windows 下在内存中加载动态库实现的源代码 MemoryModule
MemoryModule阅读PE文件解析(五)----导出表
商少
04-06 846
上一篇我们介绍了TLS。 下面来看关于函数入口函数:   // get entry point of loaded library    if(result->headers->OptionalHeader.AddressOfEntryPoint != 0) {        if (result->isDLL) {             DllEntryProc DllEntry
MemoryModule阅读PE文件解析(二)---导入表
商少
03-30 781
MemoryModule阅读PE解析(二)---导入表 首先来了解导入表的概念 头文件: #ifndef DLL_FUC #define DLL_FUC extern"C"  __declspec(dllimport) #endif 实现:这里函数只是简单的输出 HelloA   void HelloExprotFunctionA() {     printf(
文件读到内存中然后使用内存加载
u012547790的专栏
04-03 5158
文件读到内存中然后使用内存加载 分两种方式实现C++和C   view sourceprint? 001.int read_dll_memory_load (TCHAR str_dll_path[],char str_export_fun[]) //用C++的方式把文件读到内存加载 002.{  003.filebuf *pbuf;  004.i
Windows注入与拦截(6) -- 从内存中加载DLL
热门推荐
while(1) { smile(); }
04-09 4万+
Windows提供的API(LoadLibrary, LoadLibraryEx)只支持从文件系统上加载DLL文件,我们无法使用这些API从内存中加载DLL。 但是有些时候,我们的确需要从内存中加载DLL,比如: 对发布的文件数量有限制。我们可以将DLL打包到exe的资源中,程序运行时从调用LoadResource等API读取DLL文件到内存中,然后从内存中加载DLL。 需要对DLL进行压缩...
VOS论文阅读:Fast Video Object Segmentation using the Global Context Module(2020 ECCV)
qq_42246695的博客
08-14 1151
Fast Video Object Segmentation using the Global Context Module(2020 ECCV)Contribution一级目录二级目录级目录 A real-time, high-quality semi-supervised video object segmentation algorithm:Its accuracy is on par with the most accurate, time-consuming online learning m
Intel Optane DC Persistent Memory Module (PMM)详解
SweeNeil
04-29 9854
英特尔对外公开提出Optane DC Persistent Memory Module已经快一年的时间了,这个介于SSD和DRAM之间的新层级对于数据中心有很大的好处。 持久内存的目标始终是将更多数据移近CPU,提供类似DRAM的延迟,同时也具有类似存储设备的持久性和容量。 经过一年的时间听取硬件和软件合作伙伴谈论持久内存的好处,现在,随着第二代英特尔至强可扩展处理器的发布,Optane DC ...
dll反编译工具 查看源码
08-21
要查看DLL的源码,你可以使用C#反编译工具,比如JetBrains dotPeek。首先,你需要下载并安装这个工具。然后,打开dotPeek并点击菜单栏的【File->Open】按钮选择要反编译的DLL文件。一旦你打开了DLL文件,你就可以在dotPeek中查看并浏览源码了。 另外,如果你想了解更多关于内存加载并运行DLL函数的内容,你可以查看MemoryModule的开源源码。这个工具可以在Windows系统中加载并运行DLL函数。你可以在VC2015中打开编译的源码文件。 总之,通过使用反编译工具和开源源码,你可以查看和修改已编译的DLL文件的源代码,从而获取你想要的结果。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [关于 C# dll文件的反编译获取源码](https://blog.csdn.net/qq_36694133/article/details/116519118)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [MemoryModule开源源码,windows内存加载并运行DLL函数,VC++2015打开编译的](https://download.csdn.net/download/airen3339/88229044)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [几种工具反编译被编译好的DLL文件](https://blog.csdn.net/weixin_34015860/article/details/93233036)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值