PE-EXE-FileBuffer-ImageBuffer-NewFile-(解释版-非常详细)

最新推荐文章于 2022-12-04 16:13:03 发布
最新推荐文章于 2022-12-04 16:13:03 发布
阅读量245 收藏 2
点赞数
分类专栏: PE 文章标签: c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45714114/article/details/120140717
版权

头文件globle.h

// globle.h: interface for the globle class.
//
//

#if !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_)
#define AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_

#if _MSC_VER > 1000
#pragma once
#endif // _MSC_VER > 1000

#include <windows.h>
#include <stdio.h>

//#define FILEPATH_IN         "C:\\WINDOWS\\system32\\kernel32.dll"
#define FilePath_In         "C:\\cntflx\\notepad.exe"
//#define FilePath_In         "C:\\cntflx\\ipmsg.exe"
#define FilePath_Out        "C:\\cntflx\\notepadnewpes.exe"
//#define FilePath_Out        "C:\\cntflx\\ipmsgnewpes.exe"
#define MessageBoxAddr      0x77E5425F
#define ShellCodeLength     0x12

extern BYTE ShellCode[];

DWORD ReadPEFile(IN LPSTR lpszFile,OUT LPVOID* pFileBuffer);

DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer,OUT LPVOID* pImageBuffer);

DWORD CopyImageBufferToNewBuffer(IN LPVOID pImageBuffer,OUT LPVOID* pNewBuffer);

BOOL MemeryTOFile(IN LPVOID pMemBuffer,IN size_t size,OUT LPSTR lpszFile);

//DWORD RvaToFileOffset(IN LPVOID pFileBuffer,IN DWORD dwRva);


void Fun();


#endif // !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_)

核心代码globle.cpp

globle.cpp 对应文件头globle.h的核心代码部分

// globle.cpp: implementation of the globle class.
//
//

#include "stdafx.h"
#include "globle.h"
#include <string.h>
#include <windows.h>
#include <stdlib.h>
/*#include <tchar.h>
#include <iostream>
#include <stdio.h>
*/

//
// Construction/Destruction
//

 // globle.cpp: implementation of the globle class.
//
//

//定义一个全局变量
BYTE ShellCode[] =
{
   
    0x6A,00,0x6A,00,0x6A,00,0x6A,00,
    0xE8,00,00,00,00,
    0xE9,00,00,00,00
};

//
// Construction/Destruction
//
//ExeFile->FileBuffer  返回值为计算所得文件大小

DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
   
	//下面有个IN和OUT,大致意思就是参数的类型传入进来之后不进行宏扩展;
	//啥也不干,即使理解成干,也是扩展成空白,这个是C++语法中允许的;
	//LPSTR  ---->  typedef CHAR *LPSTR, *PSTR; 意思就是char* 指针;在WINNT.H头文件里面
    FILE* pFile = NULL;
    //定义一个FILE结构体指针,在标准的Stdio.h文件头里面
    //可参考:https://blog.csdn.net/qq_15821725/article/details/78929344
    DWORD fileSize = 0;
    // typedef unsigned long       DWORD;  DWORD是无符号4个字节的整型
    LPVOID pTempFileBuffer = NULL;
    //LPVOID ---->  typedef void far *LPVOID;在WINDEF.H头文件里面;别名的void指针类型

    //打开文件
    pFile = fopen(lpszFile,"rb"); //lpszFile是当作参数传递进来
    if (!pFile)
    {
   
        printf("打开文件失败!\r\n");
        return 0;
    }
    /*
    关于在指针类型中进行判断的操作,下面代码出现的情况和此一样,这里解释下:
    1.因为指针判断都要跟NULL比较,相当于0,假值,其余都是真值
	2.if(!pFile)和if(pFile == NULL), ----> 为空,就执行语句;这里是两个等于号不是一个等于号
	3.if(pFile)就是if(pFile != NULL), 不为空,就执行语句;
    */

    //读取文件内容后,获取文件的大小
    fseek(pFile,0,SEEK_END);
    fileSize = ftell(pFile);
    fseek(pFile,0,
最低0.47元/天 解锁文章
0x998
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE练习代码@硬盘上的PE文件->FileBuffer->ImageBuffer->NewBuffer->存盘
lygl35的博客
06-23 321
实现功能: 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) //主程序 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) #include <stdio.h> #include
PE练习:在exe代码区空白地方插入代码
chenqingzhi0728的博客
11-09 722
本次练习目标: 在一个exe插入一段小代码,使其双击前先弹窗,再运行程序。 前置条件: 1.准备一个exe小程序,需要用到user32.dll的,因为 2.OD…用来查看MessageBox地址 3.WINHEX…用来编辑exe 4.PETOOL…用来查看exe的一些信息 过程 一.构建一段要插入的代码 1.1 假如我要加一个Messbox弹窗,那么我先去OD里面找到这个MESSAGEBOX的地址 我要去的目标地址就是这个:75279330 1.2. 介绍一下:E8 E9 E8 是 CALL的硬编码
代码空白区添加代码(手动)
2514804004的博客
12-04 528
手动添加shellcode,更改程序的第一步
滴水三期:day31.1-代码节空白区添加代码
Edimade的博客
05-02 1152
一、代码节空白区添加代码(1.MessageBox函数说明>2.call与jmp指令的硬编码>3.添加代码效果说明>4.添加思路)>二、作业(1.在代码空白区添加代码(手动))
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1156
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
接下来,"filebuffer->imagebuffer->newbuffer"的过程可能是从磁盘读取PE文件到内存(filebuffer),然后解析文件内容,将PE头和节区数据加载到imagebuffer。在这个过程中,可能涉及到对不同节区(section)的解析,...
Content-Disposition使用方法和注意事项
12-19
byte[] fileBuffer = new byte[fileSize]; fileStream.Read(fileBuffer, 0, (int)fileSize); HttpContext.Current.Response.BinaryWrite(fileBuffer); HttpContext.Current.Response.End(); } } // 在线打开 ...
detect-charset:检测文件的字符集
06-27
var fileBuffer = fs . readFileSync ( 'myfile.txt' ) ; detectCharset ( fileBuffer ) ; // "latin1" 支持的功能 拉丁语1 任何没有字节顺序标记或 unicode 字符的文件都将返回“latin1”。 没有任何 unicode ...
node-id3:纯JavaScript ID3标签库
04-27
安装npm install node-id3用法const NodeID3 = require ( 'node-id3' )/* Variables found in the following usage examples */const filebuffer = Buffer . from ( "Some Buffer of a (mp3) file" )const filepath ...
空白文件生成器(EmptyFilesCreator)v1.0英文绿色免费
08-04
Empty Files Creator是一款非常简单易用的空白文件生成工具,有时候要测试网速或者填充指定文件内的内容,手工建立空白的文件比较麻烦,有了这款工具便可以一键生成了只需要设定好指定的目录便可以快速生成空白文件,需要此款工具的朋友们可以前来下载使用。 使用方法 选择目标目录,从中你想创建空文件,然后选择输出目录(必须是空的)。 按创建目标目录的空文件的精确结构创建按钮。
积分java源码-tech_talk:帮助AdventureStory开源
06-06
fileBuffer.length; i++) { fileBuffer[i] = (uint_8) (fileBuffer[i] ^ key[i % 0x11]); } 网络通信使用RESTful 风格API,通信走HTTP协议,将数据通过过自定义加密之后进行传输 加密方式: int rand1 = rand() % ...
FILE_BUFFERIMAGE_BUFFER
CSDN-ych
03-10 157
首先需要知道FILE_BUFFER是什么,FILE_BUFFER就是文件存放在磁盘上的空间,IMAGE_BUFFER指的是文件在内存上存放的空间,而从磁盘到内存上,文件到底发生了什么。在这里先简略介绍一个,因为其中还有其他的很多因素,导入表,重定位表,段页,虚拟内存等等 首先,当我们点下鼠标,OS会给文件分配可选文件头中的虚拟的4GB大小的空间(我们不考虑虚拟内存,认为OS将这个文件全都存放在内存上的一个连续空间中)。 这个SizeOfImage的大小包括:DOS头大小,垃圾数据,NT文件头,节表的大小
PE文件在任意空白区域添加代码
CleanMe的博客
12-24 712
环境: windowsXP 工具: 吾爱OD,winhex , vc6++ 当然,知道一些PE文件头的知识更好 在最后有介绍一点PE文件结构的知识,有助于理解此文章 目标:在一个程序中的任意空白区域添加代码 ( 转换为机器码 ) 如在文件头与节数据之间添加代码: 在此位置添加一个message弹框的机器码,使程序在执行前先弹出一个消息框。 先查看message消息框的汇编代码 在00401032处先把message函数方法需要四个参数压入栈中,然后call直接调用message函数 但是m.
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1555
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
FileBuffer-ImageBuffer 模拟PE
weixin_33873846的博客
04-08 360
这节课的重点是:模拟PE加载过程,按照运行的要求给FileBuffer拉伸放到内存当中,从 FileBufferImageBuffer 再到 运行BufferPE 加载 过程: 根据sizeofImage 分配空间 根据sizeofheader copy头 按照节表, 根据VaSize,RawSize,SizeOfRawData ...
扩大节-合并节
qq_51600802的博客
10-19 180
注意:扩大节最好在最后节扩展 不然要修改好多东西一:扩大节1、拉伸到内存2、分配一块新的空间:SizeOfImage+Ex3、将最后一个节的SizeOfRawData 和 VirtualSize改成NN = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex4、修改sizeofimage大小。
往代码区空白区加一段代码
richard1230的博客
03-18 935
知识点1 知识点2 举例来说明验证: 再看一个jmp(E9)的例子: 公式变换 添往程序中添加加代码例子 知识点0x00 知识点0x01 知识点0x02 知识点0x03 知识点0x04更改OEP 总结: 知识点1 先举一个例子: 上图中E9 63210000为硬编码(也叫OpCode),63210000是以小端进行显示的,它实际的结果为0000 ...
在代码空白区添加代码
weixin_43990313的博客
06-03 827
这段时间跟着滴水三期视频一起学习PE,在这个地方遇到了一些坑。就简答的记录一下。 先明确一点。视频里使用的程序的FileAlignment和SectionAlignment是相同的,因此进行地址计算的时候可以不考虑粒度的大小。 我们进行添加代码的思路是: 1.在空白处载入一段代码。 2.修改入口点先执行我们添加的代码。 3.自己载入的代码最后跳转到原本的入口点。 分析一下需要进行的工作: 首先需要判断一下需要载入的位置是否可以使用(这个地方遇到了一个坑,在文件头的空隙中我曾经尝试过多次,但最后修改后仍然没办
帮我写一段使用infura.io将文件上传至ipfs网络的使用vue3实现的代码,并解释这段代码
最新发布
04-12
const fileBuffer = await this.file.arrayBuffer() const { cid } = await this.ipfs.add(fileBuffer) this.cid = cid.toString() console.log(`File uploaded to IPFS with CID ${this.cid}`) } } } ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值