PE加载过程

最新推荐文章于 2022-05-02 13:49:32 发布
最新推荐文章于 2022-05-02 13:49:32 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 笔记 文章标签: c++ c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58405021/article/details/121729081
版权

目录

前言

过程

1.char* Loading_File(char* path);

2.char* FileBuffer_To_ImageBuffer(char * FileBuf);

3.char* ImageBuffer_To_FileBuffer(char* ImageBuf, int * len)

4.void Dump_File(char* FileBuf, int num, char * path)

5.函数调用

总结

前言

        当我们双击一个可执行程序的时候,操作系统会把文件从硬盘上读入到内存中,那么读到内存中的文件和硬盘中的文件是否有所区别呢?答案是肯定的,今天我们来说一下操作系统在PE加载过程中所作的第一步,那就是文件从硬盘载入内存的拉伸过程,也就是FILE_BUFFER到IMAGE_BUFFER,我这篇博客中又多做了一步,也就是从IMAGE_BUFFER再压缩回FILE_BUFFER,然后存盘,看看是否可以正常使用。

        在写代码之前给大家说一下思路:

                ①将文件从硬盘中读出到内存。

                ②通过寻找一些关键性成员确定IMAGE_BUFFER的大小和进行拉伸

                ③将IMAGE_BUFFER按照和第二步类似的思路压缩回去

                ④存盘

        搞定!!

过程

首先先看一下封装的函数和包含的库

通过下列四个函数完成功能,下面详细介绍一下每个函数的过程。

#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
#include <stdlib.h>
#include <malloc.h>
#include <string.h>

//将文件读入内存
char* Loading_File(char* path);

//进行PE加载
char* FileBuffer_To_ImageBuffer(char * FileBuf);

//将ImageBUFFer转换成FILEbuffer
char* ImageBuffer_To_FileBuffer(char* ImageBuf, int * len);

//存盘
void Dump_File(char* FileBuf, int num, char * path);

1.char* Loading_File(char* path);

这个是文件的读入,简单说一下,通过fopen打开一个文件,然后通过fseek将文件指针置到文件末尾,通过ftell算出文件的大小,通过ftell的大小分配内存,然后通过fread读入内存。

//参数:传入文件路径
char* Loading_File(char* path)
{
	if (path == NULL)
	{
		printf("路径为空\n");
		return 0;
	}
	FILE* fp = fopen(path, "rb");
	if (fp == NULL)
	{
		printf("打开文件失败\n");
		return 0;
	}
	fseek(fp, 0, SEEK_END);
	int len = ftell(fp);

	fseek(fp, 0, SEEK_SET);
	char* FileBuf = (char*)malloc(len);
	if (FileBuf == 0)
	{
		printf("分配内存失败\n");
		return 0;
	}
	fread(FileBuf, 1, len, fp);
	fclose(fp);
	return FileBuf;
}

2.char* FileBuffer_To_ImageBuffer(char * FileBuf);

要实现把FileBuffer拉伸成ImageBuffer,大家务必需要知道的几个知识就是,如果文件的文件对齐和内存对齐是相同的就不需要拉伸了,如果不同就需要拉伸。

那么在拉伸的过程中需要怎么做呢?

首先我们应该先知道我们拉伸后的ImageBuffer有多大,这个在可选PE头里面的SizeOfImage中存放着。

 char * FileBuf中存放着FileBuffer的首地址,我们知道这是指向DOS头部的,DOS头部的大小是64个字节,最后一个成员记录着NT头的开始位置偏移(相对于FILEBUFFER)

我们通过int* IntPointTemp = (int*)(FileBuf + 0x3c);拿到PE头偏移。

拿到偏移之后,指向的是50450000的标识,也就是PE标识,跳过这四个字节就是标准PE头了,为了下面的功能实现,我们还需要拿到SizeOfOptionHeaders(可选PE头的大小)和NumberOfSection(节的数量,同样是节表的数量),这是为了锁定到节表,然后这里我们拿到这些之后,CharPointTemp是指向NT头的,通过CharPointTemp +4(PE标识)+20(标准PE头)+0x38(SizeOfImage的相对偏移),就找到了SizeOfImage,再+2(SizeOfHeaders的相对偏移),然后这里我们都已经找到了所需要的东西。

然后下面开始我们代码的编写:

这里给大家说一下这个代码的思路,所有的代码也已经给大家贴在下面了,

1.拿到SizeOfImage之后,我们就可以分配内存了,这里我们要注意把内存清0。

2.先拷贝PE头,通过SizeOfHeaders。

PE头拷贝完成之后,接下来就是循环拷贝节了,节的VirtualAddress,和SizeOfRawData,PointOfRawData,是我们拷贝的关键。

3.这里写个循环,外层循环条件是NumberOfSection,然后内部每一次都获取到节的VirtualAddress,和SizeOfRawData,PointOfRawData,内层循环以SizeOfRawData为循环条件,这里大家要注意VirtualAddress,PointOfRawData是相对与ImageBuffer和FileBuffer的偏移,对应到这里为其在堆中分配的内存首地址,VirtualAddress,PointOfRawData加上他们才是真正的目的地址和源地址。每一个节表的长度是40个字节,每次循环之后记得+40索引下一个节表。

//参数FileBuf:传入FileBuf在内存当作的首地址
char* FileBuffer_To_ImageBuffer(char * FileBuf)
{
	if (FileBuf == NULL)
	{
		printf("FileBuf载入失败");
		return 0;
	}
	//拿到PE头偏移
	int* IntPointTemp = (int*)(FileBuf + 0x3c);
	int Turn = *IntPointTemp;
	char* CharPointTemp = (FileBuf + Turn);
	char* CharPointTemp_Bak = CharPointTemp;
	//拿到节的数量和可选PE头
	short* ShortPointTemp = (short*)(CharPointTemp+4+2);
	short NumberOfSections = *ShortPointTemp;
	ShortPointTemp += 7;
	short SizeOfOptionalHeader = *ShortPointTemp;
	CharPointTemp = (CharPointTemp + 24 + 0x38);
	
	//拿到Size_Of_Image
	IntPointTemp = (int*)CharPointTemp;
	int SizeOfImage = *IntPointTemp;
	//拿到SizeOfHeaders
	int SizeOfHeaders = *(IntPointTemp + 1);
	
	
	//分配内存ImageBuffer
	char* ImageBuffer = (char*)malloc(SizeOfImage);
	if (ImageBuffer == NULL)
	{
		printf("ImageBuffer内存分配失败\n");
		return 0;
	}


	//ImageBuffer清0
	memset(ImageBuffer, 0, SizeOfImage);
	
	//PE头拷贝
	char* FileBuf_Bak = FileBuf;
	char* ImageBuffer_Bak = ImageBuffer;
	int i = 0;
	while (i < SizeOfHeaders)
	{
		*(ImageBuffer_Bak + i) = *(FileBuf_Bak + i);
		i++;
	}

	//节的拷贝
	FileBuf_Bak = FileBuf;
	ImageBuffer_Bak = ImageBuffer;
	//CharPointTemp_Bak指向节表
	CharPointTemp_Bak = (CharPointTemp_Bak + 24 + SizeOfOptionalHeader);
	i = 0;

	
	while (i < NumberOfSections)
	{
		int* VirtualAddress = (int*)(CharPointTemp_Bak + 0xc);
		int* SizeOfRawData = (int*)(CharPointTemp_Bak + 0x10);
		int* PointerToRawData = (int*)(CharPointTemp_Bak + 0x14);
		char* VirtualAddress_02 = ((*VirtualAddress) + ImageBuffer_Bak);
		char* PointerToRawData_02 = ((*PointerToRawData) + FileBuf_Bak);
		int j = 0;
		
		while (j < (*SizeOfRawData))
		{
			*(VirtualAddress_02 + j) = *(PointerToRawData_02 + j);
			j++;
		}
		CharPointTemp_Bak += 40;
		i++;
	}

	return ImageBuffer;
}

3.char* ImageBuffer_To_FileBuffer(char* ImageBuf, int * len)

这里一个要注意的点是我们要计算应该为File_Buffer分配多大的内存空间。

思路是SizeOfHeaders+每一个节表中的SizeOfRawData

1.找到应该为File_Buffer分配的内存大小

2.先拷贝PE头

3.一样的我们还是需要获取VirtualAddress,和SizeOfRawData,PointOfRawData,只不过拷贝的方向相反了。

//ImageBuF:ImageBuffer在内存的首地址,len为了返回压缩后的FileBuffer的长度
char* ImageBuffer_To_FileBuffer(char* ImageBuf, int * len)
{
	if (ImageBuf == NULL)
	{
		return 0;
	}
	char* ImageBuf_Bak = ImageBuf;
	//拿到PE头偏移
	int* IntPointTemp = (int*)(ImageBuf + 0x3c);
	int Turn = *IntPointTemp;
	//指向PE头
	char* CharPointTemp = (ImageBuf + Turn);
	char* CharPointTemp_Bak = CharPointTemp;
	//拿到节的数量和可选PE头
	short* ShortPointTemp = (short*)(CharPointTemp + 4 + 2);
	short NumberOfSections = *ShortPointTemp;
	ShortPointTemp += 7;
	short SizeOfOptionalHeader = *ShortPointTemp;
	CharPointTemp = (CharPointTemp + 24 + 0x38);

	//拿到Size_Of_Image
	IntPointTemp = (int*)CharPointTemp;
	
	int SizeOfImage = *IntPointTemp;
	//拿到SizeOfHeaders
	int SizeOfHeaders = *(IntPointTemp + 1);
	
	//计算为File_Buffer分配的内存数量
	int Total_Len_Of_File_Buffer = SizeOfHeaders;
	CharPointTemp_Bak = (CharPointTemp_Bak + 4 + 20 + SizeOfOptionalHeader);
	char* CharPointTemp_Bak_2 = (CharPointTemp_Bak + 0x10);
	int i = 0;
	while (i < NumberOfSections)
	{
		int* SizeOfRawData = (int*)CharPointTemp_Bak_2;

		Total_Len_Of_File_Buffer += *(SizeOfRawData);
		CharPointTemp_Bak_2 += 40;
		i++;
	}
	//分配内存
	char* FileBuf = (char*)malloc(Total_Len_Of_File_Buffer);
	if (FileBuf == NULL)
	{
		printf("FileBuf分配内存失败\n");
		return 0;
	}
	memset(FileBuf, 0, Total_Len_Of_File_Buffer);
	char* FileBuf_Bak = FileBuf;
	//写入FileBuffer
	i = 0;
	while (i < SizeOfHeaders)
	{
		if ((FileBuf + i == NULL) || (ImageBuf + i == NULL))
		{
			printf("内存越界了\n");
			return 0;
		}
		*(FileBuf + i) = *(ImageBuf + i);
		i++;
	}
	
	i = 0;
	CharPointTemp_Bak_2 = CharPointTemp_Bak;
	
	while (i < NumberOfSections)
	{
		int* VirtualAddress = (int*)(CharPointTemp_Bak_2 + 0xc);
		int * PointerToRawData = (int*)(CharPointTemp_Bak_2 + 0x14);
		int* SizeOfRawData = (int*)(CharPointTemp_Bak_2 + 0x10);
		int j = 0;
		while(j < (*SizeOfRawData))
		{
			*(FileBuf_Bak+(*PointerToRawData) + j) = *(ImageBuf_Bak + (*VirtualAddress) + j);
			j++;
		}
		CharPointTemp_Bak_2 += 40;
		i++;
	}
	*len = Total_Len_Of_File_Buffer;
	return FileBuf_Bak;

}

4.void Dump_File(char* FileBuf, int num, char * path)

这个就是一个内存写入到文件的过程,我们上一个函数返回的len就是为了传入给这个函数做为读出的长度。

//FileBuf:内存首地址
//num:要拷贝的字节数
//写入文件的路径
void Dump_File(char* FileBuf, int num, char * path)
{
	FILE* fp = fopen(path, "wb");
	fwrite(FileBuf, 1, num, fp);
}

5.函数调用

int main(void)
{
	char path[] = "D:\\QQcache\\notepad++.exe";
	//加载内存
	char* FileBuf = Loading_File(path);
	
	if (FileBuf == NULL)
	{
		printf("Failed to FileBuf\n");
		return 0;
	}
	//filebuf到imageBuf
	char * Image_Buf = FileBuffer_To_ImageBuffer(FileBuf);
	if (Image_Buf == NULL)
	{
		printf("Failed to FileBuffer_To_ImageBuffer\n");
	}
	
	//imageBuf到filebuf
	int num = 0;
	char* FileBuf02 = ImageBuffer_To_FileBuffer(Image_Buf, &num);
	if (FileBuf02 == NULL)
	{
		printf("Failed to ImageBuffer_To_FileBuffer");
	}
	
	//写入磁盘
	char path02[] = "D:\\QQcache\\notepad++2.exe";
	Dump_File(FileBuf02, num, path02);
	

	return 0;
}

总结

 这里验证可以运行。

我是瑞思拜
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1193
Windows进程创建过程 第一阶段:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
PE文件PE加载过程
weixin_43742894的博客
03-31 2068
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1141
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件结构及其加载机制
vbsourcecode的专栏
11-01 1864
PE文件结构及其加载机制(一) 一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文
模拟PE文件加载
qq_35289660的博客
08-10 754
PE重载 文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第三步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:1245885144???????? 1.PE重载原理 模拟系统加载一个exe的过程, 通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方
PE启动过程简介
her0z的专栏
04-20 1794
引自:http://819671119.blog.163.com/blog/static/1284575522009822834192/  下面为个人理解的几种启动方式的启动过程中的一些步骤,这些步骤多数是制作PE合盘的时候需要修改的地方,错误之处请指正一、纯PE,如老毛桃、天琴星座1. 加载引导区代码,相当于硬盘的MBR修改方法:a)用UltraISO打开ISO文件,选择“启动”->
逆向分析学习笔记--PE文件加载流程
王二娃的生活的博客
10-07 2344
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件
PE文件加载流程
dohxxx的博客
03-20 4457
PE加载器流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
PE加载模块.rar
04-05
**二、PE加载过程** 1. **映像加载**:当一个PE文件被调用时,操作系统首先将其映射到进程的虚拟地址空间。这通常涉及到文件的映射视图(MapViewOfFile),将文件从硬盘复制到内存。 2. **校验**:加载器会检查PE...
PE加载例程.rar
04-05
易语言的源码可能会使用易语言特有的语法和函数来实现这些功能,这对于理解PE加载过程和易语言的内部机制具有很高的学习价值。 总结,PE加载例程是Windows操作系统的核心组件,它确保了应用程序的正确加载和执行。...
PE文件读取程序示例
04-14
一个简单的小程序,用来读取PE文件信息,有兴趣的入门同学可以看看。
PE加载器支持库
07-24
PE加载器的工作流程大致如下: 1. **验证PE文件**:加载器首先检查DOS头和NT头的签名,确认文件是否为合法的PE文件。 2. **映射文件到内存**:PE加载器将PE文件映射到进程的虚拟地址空间。它根据NT头中的信息确定...
易语言PE加载例程源码-易语言
06-13
PE加载过程中,有时需要根据特定的配置来决定如何处理某些环节,例如,是否跳过某些节区的加载,或者设定特定的入口点地址等。配置文件提供了一种灵活的方式来调整加载器的行为,而无需修改源代码。 总的来说,这...
易语言学习-PE加载器(PeLoader)支持库版.zip
07-09
PeLoader是易语言中用于处理PE文件加载的工具或库,它可以帮助开发者更好地理解和控制程序的加载过程,进行一些自定义操作,如动态链接库的注入、代码注入等高级功能。 学习PeLoader支持库版,你需要了解以下知识点...
【恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1457
【恶意代码与软件安全】课程与实验
PE加载与反射式注入
qq_41861225的博客
02-01 859
一、PE加载PE结构非常熟系的情况下,往往我们都会想要实现一套PE加载器,其基本流程可以分为以下几点: 将PE文件从磁盘中读出 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存并填充为0 将读取数据映射到内存中 修复导出导入入表 修复重定位 跳转到PE入口点进行执行 相信各位对以上流程都非常熟悉,而且只有实现了PE加载才能真正掌握PE结构,作为抛砖引玉下面我们就聊聊一种DLL注...
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1078
主要步骤: 1.将要加载文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
PE(dll、exe)文件内存加载(手动映射)小记
qq_31314583的博客
09-28 2203
前言 PE文件即Windos操作系统下的可执行文件文件结构名称,其中包含但不限于.dll .exe .sys .ocx等等。内存加载PE顾名思义就是通过内存,而非文件。这里的内存指代的是直接加载源。 这个技术其实很早之前就有了,网上也有很多开源可参考的代码,但是仅做一个伸手党那是绝对不行的,首先这些历史悠久的代码存在或多或少的bug,或莫名的崩溃咯,或32和64不兼容咯,各种问题皆是。当然,这些前辈先贤的代码一定是具有非常大的参考和开拓意义的。 技术用途 ...
PE 系统加载服务器阵列驱动.doc
05-18
PE 系统加载服务器阵列驱动

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值