手工解析PE(文件拉伸)

已于 2022-06-04 19:40:59 修改
阅读量489 收藏 1
点赞数
分类专栏: PE文件结构 文章标签: c语言
于 2022-06-03 19:49:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34479012/article/details/125115121
版权

我们知道 一个exe文件在硬盘中的存储形式跟在内存中的存储形式是不同的,主要表现在对齐方式不同,这次模拟了一个文件的加载动作,先将exe文件读到内存FileBuffer中,此时FileBuffer跟文件在硬盘中的格式是一样的,然后将FileBuffer拉伸,读取到内存ImageBuffer中,此时对齐方式由硬盘中的200h变为内存中的1000h,再将ImageBuffer还原成FileBuffer,放到NewBuffer里面,最后将NewBuffer的内容重新写到一个exe文件中,经过这一系列的变换,最终新旧exe的PE结构是一致的

拉伸和还原的过程,主要依据节表中的信息,DOS头 至 节表 这段内容 可以直接复制过去,大小是可选PE头中sizeofheaders属性,然后就是遍历复制每一节,用到节表中的四个属性确定每一个节的大小和位置

imisc                            节在内存中的大小
virtualaddress              节在内存中的偏移
sizeofrawdata              节在硬盘中的大小                             
pointertorawdata         节在硬盘中的偏移                                 

代码如下:

#include <stdio.h>
#include <malloc.h>
#include <string.h>
#include "mycode.h"

// 文件 -> FileBuffer -> ImageBuffer -> NewFileBuffer -> 文件
//          硬盘对齐       内存对齐       硬盘对齐

int main()
{
	char* ptr=read_file_to_file_buffer("D:\\T\\zx.exe");
 
	//找到PE偏移
	int* p_e_lfanew=(int*)ptr+15; 
	printf("PE偏移:\t\t\t%x	\n",*p_e_lfanew);
	//PE标志
	char* p_signature = ptr+(*p_e_lfanew);	
	
	//获取ImageBuffer大小  是可选PE头中的sizeofimage值
	int* p_sizeofimage=(int*)(p_signature+80);
	printf("sizeofimage地址:\t\t\t%p,	sizeofimage值:\t\t\t%x \n",p_sizeofimage,*p_sizeofimage);
	 
	//为ImageBuffer申请空间
	char* p_imagebuffer;
	p_imagebuffer = (char*) malloc(*p_sizeofimage);
	if( p_imagebuffer == NULL)
	{
		printf("空间不足\n");
		return 0;
	}
	else
	{
		printf("ImageBuffer地址:%x \n",p_imagebuffer);
	}
	memset(p_imagebuffer,0,*p_sizeofimage);

	//FileBuffer内容 复制到 ImageBuffer
	trans_file_buffer_to_image_buffer(ptr,p_imagebuffer);

	//ImageBuffer    还原到  NewFileBuffer 
	//为newfilebuffer申请空间
	char* p_newfilebuffer;
	int sizeofp_newfilebuffer=get_file_size("D:\\T\\zx.exe");
	p_newfilebuffer = (char*) malloc(sizeofp_newfilebuffer);
	if( p_newfilebuffer == NULL)
	{
		printf("空间不足\n");
		return 0;
	}
	else
	{
		printf("Newfilebuffer地址:%x \n",p_newfilebuffer);
	}
	memset(p_newfilebuffer,0,sizeofp_newfilebuffer);
	//ImageBuffer    还原到 NewFileBuffer 
	trans_image_buffe_to_file_buffer(p_imagebuffer,p_newfilebuffer);

	//将NewFileBuffer 中的内容写入到一个新的exe文件
	trans_file_buffer_to_file(p_newfilebuffer,"D:\\T\\zx2.exe",sizeofp_newfilebuffer);

	//释放内存
	free(p_imagebuffer);
	p_imagebuffer=NULL;
	free(p_newfilebuffer);
	p_newfilebuffer=NULL;
	read_file_to_file_buffer_free(ptr);

	return 0;
}

<mycode.cpp>

#include <stdio.h>
#include <malloc.h>
#include <string.h>

//获取文件大小
int get_file_size(char* filename)
{
	FILE* fp = fopen(filename,"r");
	int size;
	if( fp == NULL )
	{
		printf("open fail \n");
		return -1;
	}
	fseek(fp,0,SEEK_END);
	size=ftell(fp);
	fclose(fp);
	return size;
}


//将文件读取到内存中 返回读取到哪个内存地址
char* read_file_to_file_buffer(char* filename)
{
	//char* filename="D:\\T\\zx.exe"; 
	int file_size=get_file_size(filename);
	//申请空间
	char* ptr;
	ptr = (char*) malloc(file_size);
	if( ptr == NULL)
	{
		printf("空间不足\n");
		return 0;
	}
	memset(ptr,0,file_size);
	printf("文件读取到:%x \n",ptr);
	//将文件内容 读取到内存
	FILE* fp = fopen(filename,"rb+");
	fread(ptr,file_size,1,fp);
	fclose(fp);
	return ptr;
}
//释放内存
void read_file_to_file_buffer_free(char* ptr)
{
	free(ptr);
	ptr=NULL;
}


//FileBuffer 转化到 ImageBuffer
int trans_file_buffer_to_image_buffer(char* pfilebuffer,char* pimagebuffer)
{
	//找到PE偏移
	int* p_e_lfanew=(int*)pfilebuffer+15; 
	//PE标志
	char* p_signature = pfilebuffer+(*p_e_lfanew);	
	//节数
	short* p_numberofsections=(short*)(p_signature+6);	

	//DOS头-节表  这段可以直接复制过去 不用做内存转换  大小在sizeofheaders 记录着
	int* p_sizeofheaders=(int*)(p_signature+84);
	memcpy(pimagebuffer,pfilebuffer,*p_sizeofheaders);
	
	//节区 复制到 ImageBuffer  每节大小为 sizeofrawdata
	//遍历节表  复制每一节
	short* p_sizeofoptionalheader=(short*)(p_signature+20);	
	char* image_section_header_base=p_signature+4+20+(*p_sizeofoptionalheader);

	int i=1;
	for(i;i<=*p_numberofsections;i++)
	{
		int *pvirtualaddress=(int*)(image_section_header_base+12);		//节内存中的偏移
		int *psizeofrawdata=(int*)(image_section_header_base+16);		//节文件中的大小
		int *ppointertorawdata=(int*)(image_section_header_base+20);	//节文件中的偏移

		printf("复制第 %d 个节	起始地址:%x \t 结束地址:%x \n",i,pfilebuffer + (*ppointertorawdata),pfilebuffer + (*ppointertorawdata)+ *psizeofrawdata);
		
	//								    偏移	                                
		memcpy( pimagebuffer  +  (*pvirtualaddress)      //Image中 节的位置
			   ,pfilebuffer   +  (*ppointertorawdata)    //文件中  节的位置 
			   ,*psizeofrawdata);						 //节大小
	
		image_section_header_base=image_section_header_base+40;
	}
	return 0;
}

//将ImageBuffer还原到FileBuffer内存
int trans_image_buffe_to_file_buffer(char* pimagebuffer,char* pfilebuffer)
{
	//找到PE偏移
	int* p_e_lfanew=(int*)pimagebuffer+15; 
	//PE标志
	char* p_signature = pimagebuffer+(*p_e_lfanew);	
	//节数
	short* p_numberofsections=(short*)(p_signature+6);	

	//DOS头-节表  这段可以直接复制过去 不用做内存转换  大小在sizeofheaders 记录着
	int* p_sizeofheaders=(int*)(p_signature+84);
	memcpy(pfilebuffer,pimagebuffer,*p_sizeofheaders);
	
	//节区 复制到 ImageBuffer  每节大小为 sizeofrawdata
	//遍历节表  复制每一节
	short* p_sizeofoptionalheader=(short*)(p_signature+20);	
	char* image_section_header_base=p_signature+4+20+(*p_sizeofoptionalheader);

	int i=1;
	for(i;i<=*p_numberofsections;i++)
	{
		int *pmisc=(int*)(image_section_header_base+8);					//节内存中的大小
		int *pvirtualaddress=(int*)(image_section_header_base+12);		//节内存中的偏移
		int *psizeofrawdata=(int*)(image_section_header_base+16);		//节文件中的大小
		int *ppointertorawdata=(int*)(image_section_header_base+20);	//节文件中的偏移
		printf("复制第 %d 个节	起始地址:%x \t 结束地址:%x \n",i,pimagebuffer + (*pvirtualaddress),pimagebuffer + (*pvirtualaddress)+ *pmisc);
		
	//								    偏移	                                
		memcpy( pfilebuffer    +  (*ppointertorawdata)      //FileBuffer中   节的位置
			   ,pimagebuffer   +  (*pvirtualaddress)	    //ImageBuffer中  节的位置 
			   ,*pmisc);									//节大小

		image_section_header_base=image_section_header_base+40;
	}
	return 0;
}


//将 NewFileBuffer内容  写到文件
int trans_file_buffer_to_file(char* pfilebuffer,char* filename,int size)
{
 
	printf("将 %x 写入到 %s ",pfilebuffer,filename);
	FILE *fp;
	fp = fopen(filename,"wb+" );
	fwrite(pfilebuffer, size , 1, fp );
	fclose(fp);
	return 0;
}

执行结果

新旧exe文件PE对比

旧exe的PE

新exe的PE

GNAIXGNAHZ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 748
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
【逆向】(c++)分析pe结构,pe结构,缩小pe结构
fzucaicai的博客
09-30 1190
建议大家认认真真写一遍,收获蛮大的,是可以加深对pe结构的理解,尤其是对指针的使用,和对win32的一些宏的定义的理解和使用。
【逆向】对PE结构缩小,,添加节,写入文本等功能做成c++的类
fzucaicai的博客
10-02 807
不知道大家看别人代码的时候,会不会很讨厌别人使用一些奇奇怪怪的宏定义,明明非常简单的一些指针,除非是结构体指针,确实蛮好用的,但是有些我实在难以理解,于是我的代码几乎没有那些奇奇怪怪的宏定义,主要是自己看着也舒服(其实是我水平确实不高,对比其他人,开发水平实在低)。昨天闲的蛋疼,一想如果每次完成的作业都需要重新写一次完整的PE结构缩小,放大,写入文件等功能,对于我这个上了年纪的老人来说实在难绷,因此我昨天花了大力气,调试了蛮久的,封装在c++的类里面,结构看起来也清晰,功能我也会按照进度持续更新。
逆向编程一,PE结构内存
cszrydn的专栏
05-20 685
PE的加载从文件到内存有一个的过程,的原因是因为PE文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件和内存对齐字节都是一样的)。文件对齐字节在可选PE头里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
PE文件结构
南宫封清的博客
04-19 3727
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
SAR图像百分比显示函数
03-29
% ImageName 将输出的矩阵保存为文件 % % 语法: % Image_Stretching(Image):Image输入参数表示遥感图像,是一个二维矩阵; % [OutImage]=Image_Stretching(Image):对图像进行处理,输出后的数据 % Image_...
python2%线性
01-20
核心要点 本方法是针对遥感数据的,因此使用了Gdal,如果你针对的是普通的图片,就直接使用cv2.imread()来读取即可,就不需要gdal了。 np.percentile()函数 np.clip()函数 cv2.split()函数 cv2.merge()函数 ...
iOS图片小技巧
01-20
在iOS应用开发中,图片的技巧是提高用户体验的关键因素之一。为了使应用程序看起来更加专业和美观,开发者需要理解如何正确地展示设计师精心制作的图片。本文将深入探讨iOS中处理图片的几种方法,以确保在...
Qt无边框之重新实现窗口缩放
05-20
为此,在该Demo中将通过代码来实现窗口的缩放功能,其中包含完整案例,效果纵享丝滑,本项目开发环境为VS2019+QT5.15.2,如环境不同可自行根据自身环境进行配置,希望对大家有所帮助,如对项目中内容有疑问...
图片工具.zip
03-20
项目提供的`UIImage+Extension.h`和`UIImage+Extension.m`文件是`UIImage`类的类别扩展,用于添加方便的方法。在类别中,开发者通常会创建一个或多个方法,扩展原类的功能。在这个例子中,我们可以预想类别中...
C语言实现PE压缩和扩大、合并、增加节区
qq_35289660的博客
05-11 1604
C语言实现PE压缩和扩大、合并、增加节区 文章目录C语言实现PE压缩和扩大、合并、增加节区0.说明一.各个部分的子函数1.读取2.3.压缩4.存盘5.扩大节6.合并节7.新增节二.整体代码 0.说明 看滴水初期视频PE部分的笔记 然后自己写代码实现 文件过程 PE节区扩大、合并、增大都是在之后实现的 这之中涉及了许多结构体和自定义数据,都是定义在winnt.h这个头文件中,当然也被包含于windows.h这个头文件。开始的时候都是不熟,只有多写,自然就记着了。 编译环境:vc++
简谈PE文件和内存
写代码的dodo
03-18 3087
关于PE文件(可执行文件,Portable Executale)结构的研究以前也看过,很久没回顾了。前两天看了本书又涉及到这方面的知识,在此分享一下个人心得,毕竟本人是还没出茅庐的菜鸟,可能有错误之处恳请大家指正。 我相信大家在接触PE听到的醉多的就是什么RVA,VA,Offset,Rsize,Vsize啥啥啥乱七八糟的名称,还有计算公式。我只想说,去你妹的!网络上关于这个的解释都是粘过来,复制
PE|压缩
个人笔记
05-21 220
PE|压缩压缩 重点:理解整个过程的思路是重点,代码思路自然就出来了。 PE结构使用数据: SizeOfImage SizeOfHeaders PointerToRawData VirtualAddress SizeofRawData -开辟空间 -复制头 -复制节 压缩 -开辟一个新的空间 -复制头 -复制节 注意:最后一个节的PointerToRawData+在磁盘中所占大小SizeOfRawData ...
PE文件扩大节的代码实现
qq_31125257的博客
12-11 740
一、扩大节(一般只适合扩大最后一个节) //1、到内存 //2、重新分配一块新的内存:SizeOfImage + Ex //3、将最后一个节的SizeOfRawData和VirtualSize改成N, // N=SizeOfRawData=VirtualSize=(SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex //4、修改sizeofimage大小,sizeofimage = sizeofimage + Ex 二、代码实现 PVOID EnlargeLast
PE文件格式偏移参考
Fly20141201. 的专栏
07-20 1087
在进行PE文件格式病毒分析的时候,经常要使用到PE文件格式的解析,尤其是对LoadPE形式的病毒的分析,经常要查看PE文件格式的偏移,特地从博客《PE文件格式的偏移参考》中转载收录一份,之前在网上也看到比较不错的有关PE文件偏移的博客,但忘了收录。在进行PE文件格式的病毒分析时,还会经常参考这篇博客《PE文件格式学习笔记》,博主关于PE文件格式的学习笔记写的不错,其他的参考书籍《加密与解密(第3版...
PE文件学习笔记(一):DOS头与PE解析
Apollon_krj的博客
08-10 1万+
在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
2. PE文件的两种状态
z4ky的博客
06-23 355
PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态 在内存中的状态 其实 就是对在硬盘状态的 这里可以看到,DOS头,PE文件头,块表是不变的 剩余的段 是按照 内存对齐 和 文件对齐 来进行文件对齐的目的是 执行速度会快 ...
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
PEPET强度
最新发布
04-30
PE强度通常在20-30 MPa之间,具体数值取决于材料的类型和加工条件。 2. PET(聚对苯二甲酸乙二醇酯):PET是一种聚酯类塑料,具有优异的机械性能和耐热性。PET的强度通常在50-100 MPa之间,也取决于材料...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值