PE复写:模仿PE加载过程

最新推荐文章于 2024-05-24 09:45:17 发布
最新推荐文章于 2024-05-24 09:45:17 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: PE文件 文章标签: 指针 编程语言 visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39317304/article/details/106495607
版权

FileBuffer->ImageBuffer->NewBuffer->存盘

一.主要函数实现

1.PE文件到FileBuffer

这个过程还是单纯的只是PE文件的读取,详情见上一章,这里只截取部分代码
在这里插入图片描述

2.FileBuffer到ImageBuffer

这是个文件拉伸的过程,如果PE文件的SectionAlignment(内存对齐)和FileAlignment(硬盘对齐)不一样,而我们要读取到的ImageBuffer空间是要将PE文件进行拉伸的,那么申请的ImageBuffer空间大小就是可选PE头里面的SizeOfImage,这个函数在以后解析也会经常用到,所以单独写出来这个函数,如下
函数名称:

  • Copy_FileBufferToImageBuffer

函数功能:

  • 将读取到FileBuffer空间的PE文件拉伸存储到ImageBuffer空间
DWORD Copy_FileBufferToImageBuffer(IN void* FileBuffer, OUT void** ImageBuffer)
{
   
    //先将用到的结构体指针定义出来
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	//判断传进来的FileBuffer指针是否存在
	if (!FileBuffer)
	{
   
		printf("为空指针!!,无效!!");
		return 0;
	}
	//上面如果有效,那么就给那些结构体指针赋值
	pDosHeader = (PIMAGE_DOS_HEADER)FileBuffer;
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)FileBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + 20);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	//判断是否是MZ标志
	if (*(WORD*)pDosHeader != IMAGE_DOS_SIGNATURE)
	{
   
		printf("这不是有效的MZ标志!!");
		return 0;
	}
	//判断是否是有效的PE标志
	if (*(DWORD*)pNTHeader != IMAGE_NT_SIGNATURE)
	{
   
		printf("这不是有效的PE标志!!");
		return 0
最低0.47元/天 解锁文章
KaGaMiTaiGa
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PE复写:向PE文件某个节中添一个自己的代码
KKMI的博客
06-04 1126
PE复写:添一个ShellCode到PE文件中一.预备知识1.CALL和JMP指令 一.预备知识 1.CALL和JMP指令
PE loader (x86)
zylg
11-20 1049
#include <iostream> #include "PeLoader32.h" #include <fstream> using namespace std; string readFile(const string & _file_name) { fstream f(_file_name.data(), ios::in|ios::binary); f.seekg(0, ios::end); size_t len = f.tellg(); f.seekg(
一段仿真PE器行为的程序
Chinawash 专栏
07-09 1540
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
推荐文章:SimplePELoader——轻量级PE
最新发布
gitblog_00017的博客
05-24 304
推荐文章:SimplePELoader——轻量级PE器 项目地址:https://gitcode.com/nettitude/SimplePELoader 1、项目介绍 在软件开发和逆向工程领域,有时我们需要在不依赖操作系统API的情况下动态地DLL文件。这就是SimplePELoader大显身手的地方。这是一个微型的PE(Portable Executable)器,其设计目标是无需使...
模拟操作系统的装器LoadPE
qq_35426012的博客
11-15 955
模拟操作系统实现loadPE 设计思路 将PE文件头到内存中 把所有节区数据到内存 修正导入表,也就是上面的获取导入函数地址填入到IAT中 注意:为了防止装的程序涉及到VA不一样,导致loadPE访问地址崩溃,所以自己的loadPe程序的基址要和装的程序地址要一样,可以修改link 选项 /base:基地址 举例说明:假如对方模块基址为10000000 有个指令为jmp 0x1000...
如何打造一个简单的PELoader
2303_79822944的博客
12-18 274
首先先介绍下什么是PEloader,它是相当于是一个PE器,运行该程序可以打开一个PE文件,如exe文件。而效果就如同双击该exe。PEloader可以帮助从本质上了解exe文件的格式和运行原理。然后我要介绍的是如何写一个简单的PEloader。要完成这个任务需要的知识有对PE文件的基本了解,对指针的熟练运用和对指针的深入理解,然后C语言方面学完结构体基本就可以了,其次是对如何运用代码对文件进行操作有一些了解和会最基本的操作,如使用fread读取文件,用stat获取一个文件的一些基本信息。
Android开发笔记之:复写按钮方法
09-05
在Android应用开发中,我们经常会遇到需要自定义或扩展系统默认行为的情况...在实际开发过程中,根据具体的应用场景选择合适的方法进行复写,并结合其他UI组件和事件处理,可以构建出具有独特风格和功能的Android应用。
Android开发笔记之:返回键的复写onBackPressed()介绍
07-31
本篇文章将深入探讨如何复写`onBackPressed()`以实现自定义功能。 首先,理解`onBackPressed()`的基础工作原理至关重要。默认情况下,`onBackPressed()`会调用`finish()`方法,这会导致当前Activity从堆栈中移除,...
SmartFragmentPager:通过复写setUserVisibleHint达到只有Fragment可视时才数据的效果
07-11
如果被缓存的Fragment中有大量的数据查询或网络请求等耗费资源的操作,那么必然造成了不必要的资源损耗,如果用户根本没有打算滑动到这个界面,那么预先的数据完全是浪费。 ###解决方案 在ViewPager滑动的过程中...
pluralize-php:为PHP复写单词
05-25
为PHP复写单词 用法: echo Pluralize::pluralize('child',1); // outputs child echo Pluralize::pluralize('child',2); // outputs children echo Pluralize::pluralize('Plane',1); // outputs Plane echo ...
探索PeLoader:一款强大的PE文件器与分析工具
gitblog_00032的博客
04-06 558
探索PeLoader:一款强大的PE文件器与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
PeLoader
04-06
反向进程注入,模拟Windows系统的Exe装程序,应经测试CMD.exe,Excel.exe通过
peloader.7z
11-20
熟悉一下pe过程
汇编PeLoader_模块+例程
01-04
易语言:汇编PeLoader_模块+例程 内存DLL的实现
Win7 内核重 1 ——内核版PELoader
zfdyq
12-19 8370
重点,其实就是自己实现一个山寨版的Windows PELoader  ,重其实就是将一个模块自己重新一份到别的内存,运行它。 所谓内核重,则是将内核文件即:ntkrnlpa.exe 自己一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
反向进程注入及隐藏--动手做一个最简单的PELoader
mergerly的专栏
01-19 1673
<br />反向进程注入及隐藏--动手做一个最简单的PELoader原始出处:xfocus.net<br />信息来源:邪恶八进制信息安全团队(www.eviloctal.com)<br />文章作者:Luke (msfocus@hotmail.com)<br />创建时间:2007-07-27<br /><br />一.废话<br />最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试
PE操作类--判断PE文件
跃然实验室
06-10 1088
判断一个文件是否为合法PE文件通常只需判断“MZ”头和“PE”头 //判断是否为PE结构 BOOL CPe32 ::IsPeFile(TCHAR* pFileName) { if (pFileName == NULL) { return FALSE ; } ...
构建非常基础的PEloader
2303_79701639的博客
12-27 582
新手学习
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1159
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE>2.编写一个函数,将RVA的值转换成FOA)
编译原理:理解复写传播与编译过程
复写传播是一种常见的编译器优化技术,它的基本思想是在编译过程中,如果发现某个变量的值被另一变量赋值,并且在此之后这个变量的值没有被修改,那么就可以用赋值后的变量来替换原始变量,以此简化代码并可能提高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值