FileBuffer->ImageBuffer->FileBuffer

最新推荐文章于 2024-05-19 21:23:41 发布
最新推荐文章于 2024-05-19 21:23:41 发布
阅读量253 收藏
点赞数 1
分类专栏: 滴水三期课后作业 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363151/article/details/126572517
版权

1、从磁盘读取内容
2、拉伸到运行时状态一样
3、还原成磁盘上内容一样
4、保存到磁盘上,并且能够运行

问题:
1、拉伸后,再还原磁盘上的形式,和读取前大小不一样,但是能够运行。
问题1

#include<stdio.h>
#include<stdlib.h>
#include<windows.h>


// 读取PE,返回PE大小
DWORD ToLoaderPE(LPSTR file_path, PVOID* pFileBuffer){
	FILE *pFile = NULL;
	DWORD FileSize = 0;
	PVOID pFileBufferTemp = NULL;

	pFile = fopen(file_path, "rb");
	
	if(!pFile){
		printf("Can not open file\n");
		return 0;
	}

	fseek(pFile, 0, SEEK_END);
	FileSize = ftell(pFile);
	printf("FileBuffer Size: %x\n",FileSize);
	fseek(pFile, 0, SEEK_SET);

	pFileBufferTemp = malloc(FileSize);
	if(!pFileBufferTemp){
		printf("malloc fail!\n");
		fclose(pFile);
	}

	DWORD n = fread(pFileBufferTemp, FileSize, 1, pFile);

	if(!n){
		printf("read file failed!\n");
		free(pFileBufferTemp);
		fclose(pFile);
		return 0;
	}
	*pFileBuffer = pFileBufferTemp;
	pFileBufferTemp = NULL;
	fclose(pFile);
	return FileSize;
}
DWORD CopyFileBufferToImageBuffer(PVOID pFileBuffer, PVOID* pImageBuffer){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	
	if(!pFileBuffer){
		printf("file loader failed!\n");
		return 0;
	}

	if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE){
		printf("Don not hava MZ!\n");
		return 0;
	}
	
	// 找出各个结构的起始地址
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	if(*((LPDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE){
		printf("没有PE符号");
		return 0;
	}	
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	// 头部,节表等内容拉伸放入内存
	PVOID pImageTemp = malloc(pOptionHeader -> SizeOfImage);
	if(!pImageTemp){
		printf("申请内存映像失败!");
		free(pImageTemp);
		return 0;
	}

	memset(pImageTemp, 0, pOptionHeader->SizeOfImage);
	memcpy(pImageTemp, pFileBuffer, pOptionHeader->SizeOfHeaders);

	int n;
	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;

	printf("节表数量:%d\n", pPEHeader->NumberOfSections);

	for(n=0; n < pPEHeader->NumberOfSections; n++, pSectionHeaderTemp++){
		memcpy((PVOID)((DWORD)pImageTemp + pSectionHeaderTemp->VirtualAddress), (PVOID)((DWORD)pFileBuffer + pSectionHeaderTemp ->PointerToRawData), pSectionHeaderTemp->SizeOfRawData);
		printf("第%d节表:内存偏移%x,磁盘偏移%x\n", n, pSectionHeaderTemp->VirtualAddress, pSectionHeaderTemp->PointerToRawData);
	}

	*pImageBuffer = pImageTemp;
	pImageTemp = NULL;
	return pOptionHeader->SizeOfImage;

}

DWORD CopyImageBufferToNewBuffer(PVOID pImageBuffer, PVOID* pNewFileBuffer){
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	
	if(!pImageBuffer){
		printf("内存加载失败!\n");
		return 0;
	}

	if(*((PWORD)pImageBuffer) != IMAGE_DOS_SIGNATURE){
		printf("Don not hava MZ!\n");
		return 0;
	}
	
	// 找出头部各个结构的起始地址
	pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;

	if(*((PDWORD)((DWORD)pImageBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE){
		printf("没有PE符号");
		return 0;
	}	
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);


	// 计算要申请空间
	int new_file_size = pOptionHeader->SizeOfHeaders;
	for(int i=0; i < pPEHeader->NumberOfSections; i++){
		new_file_size += pSectionHeader[i].SizeOfRawData;
	}
	// 申请文件存盘空间
	LPVOID pNewFileBufferTemp = malloc(new_file_size);
	if(!pNewFileBufferTemp){
		printf("存盘空间申请失败!");
		return 0;
	}
	// 头部放进去
	memset(pNewFileBufferTemp, 0, new_file_size);
	memcpy(pNewFileBufferTemp, pDosHeader, pOptionHeader->SizeOfHeaders);
	// 各个节表放进去
	PIMAGE_SECTION_HEADER pSectionHeaderTemp = pSectionHeader;
	for(i=0; i < pPEHeader->NumberOfSections; i++, pSectionHeaderTemp++){
		memcpy((PVOID)((DWORD)pNewFileBufferTemp + pSectionHeaderTemp->PointerToRawData), (PVOID)((DWORD)pImageBuffer + pSectionHeaderTemp->VirtualAddress), pSectionHeaderTemp->SizeOfRawData);
	}

	*pNewFileBuffer = pNewFileBufferTemp;
	pNewFileBufferTemp = NULL;
	
	return new_file_size;

}

int newbuffer_write2_exe(PVOID NewFileBuffer,DWORD FileSize, char* FilePath)
{
	FILE* fp1 = fopen(FilePath,"wb");
	if(fp1 != NULL)
	{
		fwrite(NewFileBuffer,FileSize,1,fp1);
	}
	fclose(fp1);
	return 1;

}

int main(){
	LPSTR file_path = "C:\\Users\\lolol\\Desktop\\geek2.exe";
	LPSTR write_file_path = "D:\\2.exe";

	LPVOID pFileBuffer = NULL; // 从磁盘读取到缓存
	LPVOID pImageBuffer = NULL;// 缓存拉伸存放到内存
	LPVOID pNewFileBuffer = NULL; // 存盘
	

	// 读取PE到缓存
	DWORD FileSize = ToLoaderPE(file_path, &pFileBuffer);
	printf("exe to buffer : %x\n", FileSize);

	// 缓存拉伸到内存
	DWORD ImageSize = CopyFileBufferToImageBuffer(pFileBuffer, &pImageBuffer);
	printf("拉伸到内存的大小 : %x\n", ImageSize);

	DWORD NewFileSize = CopyImageBufferToNewBuffer(pImageBuffer, &pNewFileBuffer);
	printf("要存盘的大小:%x\n", NewFileSize);

	int ret4 = newbuffer_write2_exe(pNewFileBuffer, NewFileSize, write_file_path);
	printf("newbuffer->存盘返回值为:%d\n",ret4);

	return 0;
}
-Sw0rd-
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1086
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向 FileBuffer---ImageBuffer
clayoa的博客
01-02 813
上节课说到遍历节表,这节课让我们把FileBuffer-->ImageBuffer 海哥让我们用notepad.exe因为他的文件对齐和内存对齐是不一样的,如果一样的化,FileBufferImageBuffer是一样的,为什么ImageBuffer还是不能执行呢?因为ImageBuffer的地址是我们malloc出来的,首地址不是ImageBase。 写代码之前我们需要掌握几个知识点 1.ImageBuffer的大小是多少? 我们不能直接把FileBuffer复制过来,因为notepad.
扩大节
qq_41232519的博客
10-04 282
文章目录一、流程二、 演示三、完整代码 一、流程 1、File-> FileBuffer 2、FileBuffer->ImageBuffer 3、修改SizeOfImage的大小(要扩大多少:Ex) 4、将修改后的数据复制到pNewImageBuffer 5、将ShellCode代码复制到最后一个节的后面 6、修正E8、E9 7、修正OEP(入口程序) 8、判断VirtualSize和SizeOfRawData谁大 9、 N = (SizeOfRawData或者VirtualSize 内存对齐后
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1463
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
FILE_BUFFERIMAGE_BUFFER
CSDN-ych
03-10 152
首先需要知道FILE_BUFFER是什么,FILE_BUFFER就是文件存放在磁盘上的空间,IMAGE_BUFFER指的是文件在内存上存放的空间,而从磁盘到内存上,文件到底发生了什么。在这里先简略介绍一个,因为其中还有其他的很多因素,导入表,重定位表,段页,虚拟内存等等 首先,当我们点下鼠标,OS会给文件分配可选文件头中的虚拟的4GB大小的空间(我们不考虑虚拟内存,认为OS将这个文件全都存放在内存上的一个连续空间中)。 这个SizeOfImage的大小包括:DOS头大小,垃圾数据,NT文件头,节表的大小
FileBufferImageBuffer 互相转换(滴水PE作业)
hambaga的博客
05-10 1046
主函数 // buffer.cpp : Defines the entry point for the console application. // #include "stdafx.h" int main(int argc, char *argv[]) { //PrintNTHeaders(); LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewBuffer = NULL; int fileSize = 0;
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1624
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
filebuffer-imagebuffer
tell_me_404的博客
08-09 822
问题描述 映像关系 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pfile = NULL; // 文件指针 DWORD file_size = 0; LPVOI
filebuffer:快速简单的Rust读取文件
05-07
Filebuffer可以将文件映射到内存中。 这通常比在std::io使用原语更快,并且也更方便。 此外,该板条箱还提供了预取功能,并检查文件数据是否驻留在物理内存中(因此访问不会导致页面错误)。 这样可以进行非阻塞...
file-buffer:将大数据缓冲到磁盘,提供java InputStreams和OutputStreams
05-14
文件缓冲区 概述 该软件包实现FileBuffer类,该类可以用java.io.OutputStream写入并通过java.io.InputStream读取。 写入会进入缓冲区的尾部,而读取会从头部开始。 该实现可确保阅读不会超过写作,从而保留了java.io.InputStream的阻塞语义。 +--------------+ | | OutputStream.write -> | FileBuffer | -> InputStream.read | | +--------------+ FileBuffer旨在允许并发下载大
detect-charset:检测文件的字符集
06-27
var fileBuffer = fs . readFileSync ( 'myfile.txt' ) ; detectCharset ( fileBuffer ) ; // "latin1" 支持的功能 拉丁语1 任何没有字节顺序标记或 unicode 字符的文件都将返回“latin1”。 没有任何 unicode ...
积分java源码-tech_talk:帮助AdventureStory开源
06-06
fileBuffer.length; i++) { fileBuffer[i] = (uint_8) (fileBuffer[i] ^ key[i % 0x11]); } 网络通信使用RESTful 风格API,通信走HTTP协议,将数据通过过自定义加密之后进行传输 加密方式: int rand1 = rand() % ...
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 1995
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
6.PE文件之FileBufferImageBuffer转换
kernelhack
10-27 3902
FileBuffer可以看作是文件在硬盘时的数据,WinHex等工具展示出来就是这种状态. ImageBuffer可以看作是文件按照PE格式拉伸到内存中的状态,可以称为进程,OD等工具查看的就是文件在内存中的数据(已经完成重定位,IAT等修复). FileBuffer <-> ImageBuffer 下述过程不进行重定位,IAT等修复,只是将数据按照PE格式进行拉伸. FileBuffer -> ImageBuffer 1.根据IMAGE_OPTIONAL_HEADER.
对java中FileInputStream、BufferInputStream的理解
qq_22847203的博客
03-07 9463
在计算机中文件是byte 、byte、byte地存储 FileInputStream在读取文件的时候,就是一个一个byte地读取, DataInputStream则是在FileInputStream的一个轻量级的包装类, BufferInputStream则是自带缓冲区,默认缓冲区大小为8X1024  通俗地讲就是: FileInputStream在读取文件的
pe:filebufferimagebuffer地址对应
Iamangle122的博客
12-16 652
VirtualAddress+misc.VirtualSize>VirtualAddress-ImageBuffer>VirtualAddress找到对应节,在fileBuffer找到对应节,RawData+节偏移
FileBuffer-ImageBuffer 模拟PE
weixin_33873846的博客
04-08 356
这节课的重点是:模拟PE加载过程,按照运行的要求给FileBuffer拉伸放到内存当中,从 FileBufferImageBuffer 再到 运行Buffer。 PE 加载 过程: 根据sizeofImage 分配空间 根据sizeofheader copy头 按照节表, 根据VaSize,RawSize,SizeOfRawData ...
C语言——函数指针与指针函数
最新发布
qq_67319052的博客
05-19 615
函数指针与指针函数有什么区别?
antd vue 中 table列表中实现点击预览xlsx文件弹窗可以吗
06-07
(record)">预览</a> </template> </a-table> </template> <script> import { saveAs } from 'file-saver'; import XLSX from 'xlsx'; export default { data() { return { dataSource: [{ name: 'John', age...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值