PE加载与反射式注入

最新推荐文章于 2024-04-25 17:29:27 发布
VIP文章 最新推荐文章于 2024-04-25 17:29:27 发布
阅读量834 收藏 5
点赞数 1
分类专栏: windows 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41861225/article/details/104135971
版权

一、PE加载

在PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点:

  1. 将PE文件从磁盘中读出
  2. 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0
  3. 将读取数据映射到内存中
  4. 修复导出导入入表
  5. 修复重定位
  6. 跳转到PE入口点进行执行

相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注入的方式——反射式注入。

#include "LoadPE.h"

using namespace std;

int main()
{
   
	LOADPE m_pe;
	char address[] = "G:\\VS文件\\HookMain\\Debug\\HookMain.exe";
	PBYTE pBuf = m_pe.GetFile(address);

	if (!pBuf)
	{
   
		cout << "打开文件错误 ! ! ! " << endl;
		return 1;
	}
	else
	{
   
		if (!m_pe.LoadPE(pBuf))
		{
   
			return 1;
		}
	}

	return 0;
}

#pragma once
#include <Windows.h>
#include <iostream>


typedef struct _PE_INFO
{
   
	DWORD ImportTableRva;
	DWORD ImportSize;
	DWORD ExportTableRva;
	DWORD ExportSize;
}PE_INFO, * PPE_INFO;


class LOADPE
{
   
public:
	PBYTE GetFile(char* FileName);
	BOOL LoadPE(PBYTE pBuf);

private:
	PBYTE lpBuf;
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS pNtHeader;

private:
	BOOL CheckPE();
	DWORD AlignSection(DWORD dwSize, DWORD Align);
	BOOL RepairIAT(LPBYTE pAllocMem);
	void RepairRelocation(LPBYTE pAllocMem);
};

#include "LoadPE.h"

using namespace std;

typedef void(__stdcall* ProcMain)();

PBYTE LOADPE::GetFile(char* FileName)
{
   
	FILE* fp = fopen(FileName, "rb+");
	char* pBuf = NULL;

	fseek
最低0.47元/天 解锁文章
非神哉
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pe-loader:Windows PE格式的文件加载
05-15
Windows可执行文件加载 这是Windows PE格式的文件加载应用程序,提供与OS内部可执行文件加载类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像。 该项目是为教育目的而开发的。 用法 可以使用Visual Studio 2013/2015或MSBuild构建该项目。 编译的可执行文件可以在build\(Debug|Release)用法示例中找到: loader.exe " C:\WINDOWS\system32\ping.exe " -t 127.0.0.1 局限性 大部分与Windows XP兼容(已在Windows XP,7、8上测试) 仅32位图像 根据官方PE格式文档进行图像验证 支持 影像记忆体对应 Craft.io信息修补 激活上下文 崔 API重定向(EAT修补) 图像重定位 IAT处理 T
PE 文件加载实现
pureman_mega的博客
08-12 725
/** * peLoader.cpp * Windows APT Warfare * by [email protected] */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 2968
 不赖猴的笔记,转载请注明出处。一、        Windows加载加载读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
探索PeLoader:一款强大的PE文件加载与分析工具
gitblog_00032的博客
04-06 316
探索PeLoader:一款强大的PE文件加载与分析工具 项目地址:https://gitcode.com/potats0/PeLoader 在信息安全和逆向工程领域,理解并分析二进制文件(如可执行文件)的行为至关重要。今天,我们要介绍一个名为PeLoader的开源项目,它为开发者和研究人员提供了一种高效且灵活的方式来处理PE(Portable Executable)文件。你可以通过以下链接深入了...
加载PE文件——PE加载模拟法
跃然实验室
06-10 2311
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE学习(六)第六章 栈与重定位表 实例栈溢出、模拟加载加载DLL、遍历重定位表
零点起步
03-24 639
第六章 栈与重定位表 16bit OS 存在长调用 lcall push cs,ip    相应的iret pop ip, cs  而call/ret only focus ip register 32bit OS 因为32寄存可以访问4G空间,可以长短调用被忽略,只关注eip 实模式:段地址+程序偏移地址  SS::SP= SS 保护模式:段选择子+程序偏移地址 原来的段寄存称为段选
加载PE文件——内存映射文件
跃然实验室
06-10 724
将程序安装内存对齐的方式读取到内存有两种方法: 1、内存映射文件 2、PE加载模拟法 1、内存映射文件 lpHeader所指内存是只读的,尽管是PAGE_READWRITE // LoadPeWithMap.cpp : Defines the entry point for the console application. // #include "stdafx.h" #...
PE文件加载过程揭秘(2)
abcd8080的博客
07-08 195
2011年10月09日 星期日 16:23 转载自 cvvd 最终编辑 cvvd 图1 PE加载在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入表的RVA和大小,准备开始输入函数的初始化。输入表的RVA实际上是指向一个以IMAGE_IM...
JavaScript反射与依赖注入实例详解
10-18
主要介绍了JavaScript反射与依赖注入,结合实例形式较为详细的分析了JavaScript反射与依赖注入的概念、原理、定义、使用方法及相关操作注意事项,需要的朋友可以参考下
Windows 反射式注入DLL
12-13
Windows 反射式注入DLL Windows 反射式注入DLL Windows 反射式注入DLL
易语言学习-PE加载(PeLoader)支持库版.zip
07-09
易语言学习-PE加载(PeLoader)支持库版.zip
Java类加载机制与反射-PPT
12-23
Java的类加载机制:加载,连接,初始化。JAVA类加载: Bootstrap ClassLoader : 根类加载, Extension ClassLoader: 扩展类加载, System ClassLoader : 系统类加载, Java反射
反射与依赖注入DEMO
07-10
最近在熟悉反射与依赖注入,特意写了一下简单的实例,希望可以帮助到你我他
ReflectiveDLLInjection.zip_PE Loader_brownn4u_inject_加载 pe_反射型DL
09-24
反射DLL注入是一种库注入技术,其中采用反射编程的概念来执行从存储到主进程的库的加载。因此,库负责通过实现最小的可移植可执行文件(PE)文件加载加载自身。然后,它可以通过与主机系统和进程的最小交互来...
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本内容是否安全--最终版
qq_39951524的博客
04-22 481
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本你在前端测试时,最好使用**小程序工具的真机调试**,是可以跑通的,但你用**小程序工具的真机预览模式**就会没有响应。原因就在于访问**wx.request({})**,中的**服务网址** ,需要在**小程序开发管理** 》》**开发设置** 》》 **服务域名** 中配置,而小程序提供的接口**https://api.weixin.qq.com** ,又恰恰**不允许**在服务域名中配置,
账号安全基本措施2
2301_78327423的博客
04-19 471
例如:配置zhangsan用户只能执行挂载命令,/usr/bin/mount /dev/sr0 /mnt/命令。在110行我们看到在这个组中,NOPASSWD:ALL,是要加入到wheel组中的,使用sudo执行任何命令不需要密码。第三列是开放的命令,比如:/usr/bin/mount /dev/sr0 /mnt/只能执行这一条命令。在/etc/sudoers.d/下写一个配置文件:vim /etc/sudoers.d/test。测试别名的使用,只有在/usr/bin/下的命令才可以无密码使用。
网站被SmartScreen标记为不安全怎么办?
Racent_Y的博客
04-22 552
在互联网时代,网站的安全性和可信度是用户选择是否继续访问的重要因素之一,然而,网站运营者偶尔会发现使用Edge浏览访问网站时,会出现Microsoft Defender SmartScreen(以下简称SmartScreen)提示网站不安全的情况。旨在通过以上措施,尽可能的减少网站被SmartScreen标记为不安全的可能,让网站可以正常显示,从而使用户重新建立起对网站的信任,提高用户访问量和浏览量。这里的服务证书指的就是可以实现网站HTTPS的SSL证书,且要使用在有效期内的。
终端安全加强
m0_62207482的博客
04-23 298
对于重要数据和系统,必须采用复杂的密码进行保护,并定期更换密码。同时,要加强对员工密码的管理,确保每个员工有一个独立的账号和密码,并限制其使用权限。对于终端设备,必须安装杀毒软件、防火墙等安全工具,并及时修补漏洞,确保系统的安全性。此外,还应该限制外部设备和存储介质的使用,防止病毒和恶意软件的传播。员工是企业信息安全的第一道防线,必须加强员工安全意识的培养,让员工了解信息安全的重要性,并提高其安全意识和安全素养。对于重要数据,必须定期备份,并保存在安全的地方。等等,都能很好的管理电脑的终端安全
通过 QEMU 试用 ESP32-C3 的安全功能
最新发布
乐鑫 Espressif
04-25 323
ESP32-C3 系列芯片支持可信启动、flash 加密、安全存储等多种安全功能,还有专用外设来支持 HMAC 和数字签名等用例。这些功能所需的私钥和配置大多存储在 ESP32-C3 的 eFuse 存储中。启用安全功能时需要谨慎,因为使用到的 eFuse 存储是一次性可编程存储,烧写过程不可逆,安全功能最好先在试验场(比如模拟)中测试,然后再转移到真实硬件上。本文讨论了如何在 QEMU(模拟)中试用 ESP32-C3 中的不同安全功能。
springboot反射注入
05-10
在Spring Boot应用程序中使用反射注入可以方便地将依赖项注入到对象中,这可以减少手动创建依赖项实例的工作。以下是一个简单的示例: 1. 创建需要注入依赖项的类 ``` public class MyService { private ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值