PE文件从硬盘到内存再到硬盘

最新推荐文章于 2022-05-02 13:49:32 发布
最新推荐文章于 2022-05-02 13:49:32 发布
阅读量176 收藏
点赞数
分类专栏: Win32学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vurtual/article/details/115045822
版权 
#pragma warning(suppress : 4996)
#include "ImageBuffer.h"
char inputPath[] = "C:\\ipmsg\\Feige\\Feige.exe";
char outputPath[] = "C:\\ipmsg\\Feige\\Feige2.exe";
LPSTR FILEPATH = inputPath;
LPSTR OUT_FILEPATH = outputPath;

int main(void)
{
    LPVOID pFileBuffer;
    LPVOID pImageBuffer;
    LPVOID pNewBuffer;
    int size = 0;
    ReadPEFile(FILEPATH,&pFileBuffer);
    CopyFileBufferToImageBuffer(pFileBuffer,&pImageBuffer);
    size = CopyImageBufferToNewBuffer(pImageBuffer,&pNewBuffer);
    MemeryTOFile(pNewBuffer, size, OUT_FILEPATH);
    free(pFileBuffer);
    free(pImageBuffer);
    free(pNewBuffer);
    return 0;
}

//**************************************************************************
//ReadPEFile:将文件读取到缓冲区
//参数说明:
//lpszFile 文件路径 //pFileBuffer 缓冲区指针
//返回值说明:
//读取失败返回0  否则返回实际读取的大小
//************************************************************************** 
DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
    FILE* pFile = NULL;
    DWORD fileSize = 0;

   // LPVOID pFileBuf = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNTHeader = NULL;
    PIMAGE_FILE_HEADER pPEHeader = NULL;
    PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;
    char tableName[9] = { 0 };

    //打开文件
    pFile = fopen(lpszFile, "rb");
    if (!pFile)
    {
        printf("无法打开EXE文件\n");
        return NULL;
    }
    //读取文件大小
    fseek(pFile, 0, SEEK_END);
    fileSize = ftell(pFile);
    fseek(pFile, 0, SEEK_SET);
    //分配缓冲区
    *pFileBuffer = (LPVOID)malloc(fileSize);
    if (!(*pFileBuffer) )
    {
        printf("空间分配失败!\n");
        fclose(pFile);
        return NULL;
    }
    memset(*pFileBuffer,0, fileSize);
    //讲文件数据读取到缓冲区
    size_t n = fread(*pFileBuffer, fileSize, 1, pFile);
    if (!n)
    {
        printf("读取数据失败!\n");
        free(*pFileBuffer);
        fclose(pFile);
        return NULL;
    }
    //关闭文件
    fclose(pFile);

    if (*((PWORD)(*pFileBuffer)) != IMAGE_DOS_SIGNATURE)
    {
        printf("不是有效地MZ标志\n");
        free(*pFileBuffer);
        return 0;
    }
    pDosHeader = (PIMAGE_DOS_HEADER)(*pFileBuffer);
    //打印dos头
    //printf("--------------------------------------DOC------------------------------------------\n");
    //printf("MZ标志: %x\n", pDosHeader->e_magic);
    //printf("PE偏移: %x\n", pDosHeader->e_lfanew);
    //判断是否是有效地PE标志
    if (*((PDWORD)((DWORD)(*pFileBuffer) + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
    {
        printf("不是有效的PE标志\n");
        free(*pFileBuffer);
        return 0;
    }
    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pFileBuffer) + pDosHeader->e_lfanew);
    //打印NT头
    //printf("--------------------------------------NT------------------------------------------\n");
    //printf("NT:%x\n", pNTHeader->Signature);
    pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
    //printf("--------------------------------------PE------------------------------------------\n");
    //printf("PE类型10B→32位    20B→64位:%x\n", pPEHeader->Machine);
    //printf("文件存在的节的总数:%x\n", pPEHeader->NumberOfSections);
    //printf("可选PE头的大小,32位默认E0h  64位默认F0h:%x\n", pPEHeader->SizeOfOptionalHeader);
    //printf("PE属性:%x\n", pPEHeader->Characteristics);
    //可选PE头	
    pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
    //printf("********************OPTIOIN_PE头********************\n");
    //printf("OPTION_PE 类型:10B→32位    20B→64位:%x\n", pOptionHeader->Magic);
    //printf("所有代码节的和:%x\n", pOptionHeader->SizeOfCode);
    //printf("已初始化数据大小的和:%x\n", pOptionHeader->SizeOfInitializedData);
    //printf("未初始化数据大小的和:%x\n", pOptionHeader->SizeOfUninitializedData);
    //printf("程序入口:%x\n", pOptionHeader->AddressOfEntryPoint);
    //printf("代码开始的基址:%x\n", pOptionHeader->BaseOfCode);
    //printf("数据开始的基址:%x\n", pOptionHeader->BaseOfData);
    //printf("内存镜像基址:%x\n", pOptionHeader->ImageBase);
    //printf("内存对齐:%x\n", pOptionHeader->SectionAlignment);
    //printf("文件对齐:%x\n", pOptionHeader->FileAlignment);
    //printf("内存中整个PE文件的映射的尺寸:%x\n", pOptionHeader->SizeOfImage);
    //printf("所有头+节表按照文件对齐后的大小:%x\n", pOptionHeader->SizeOfHeaders);
    //printf("初始化时保留的栈大小:%x\n", pOptionHeader->SizeOfStackReserve);
    //printf("初始化时栈实际提交的大小:%x\n", pOptionHeader->SizeOfStackCommit);
    //printf("初始化时保留的堆大小:%x\n", pOptionHeader->SizeOfHeapReserve);
    //printf("初始化时堆实际提交的大小:%x\n", pOptionHeader->SizeOfHeapCommit);
    //printf("目录项数目:%x\n", pOptionHeader->NumberOfRvaAndSizes);

    //printf("+++++++++++++++++++++++++++++++++++++++\n");
    //printf("pOptionHeader->SizeOfImage:%x\n", pOptionHeader->SizeOfImage);
    //printf("+++++++++++++++++++++++++++++++++++++++\n");

    pSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pOptionHeader + (pPEHeader->SizeOfOptionalHeader));
    for (int i = 0; i < (pPEHeader->NumberOfSections); i++)
    {
        char* c = (char*)pSectionHeader;
        for (int n = 0; n < 8; n++)
        {
            tableName[n] = *c;
            c++;
        }
        //printf("第%d个节的名字:%s\n", i, tableName);
        //printf("第%d个节的大小:%x\n", i, pSectionHeader->Misc.VirtualSize);
        //printf("第%d个节的内存偏移:%x\n", i, pSectionHeader->VirtualAddress);
        //printf("第%d个节在文件中对齐的大小:%x\n", i, pSectionHeader->SizeOfRawData);
        //printf("第%d个节的文件偏移:%x\n", i, pSectionHeader->PointerToRawData);
        //printf("第%d个节的属性:%x\n", i, pSectionHeader->Characteristics);
        pSectionHeader++;
    }
    printf("****************************************\n");
    //printf("%x\n", fileSize);
    return fileSize;
    //return (pOptionHeader->SizeOfImage);
}

//**************************************************************************
//CopyFileBufferToImageBuffer:将文件从FileBuffer复制到ImageBuffer
//参数说明:
//pFileBuffer  FileBuffer指针
//pImageBuffer ImageBuffer指针
//返回值说明: //读取失败返回0  否则返回复制的大小 
//************************************************************************** 
DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer, OUT LPVOID* pImageBuffer)
{
    DWORD ImageSize = 0;
    char* dest = NULL;
    char* src = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNTHeader = NULL;
    PIMAGE_FILE_HEADER pPEHeader = NULL;
    PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;
    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
    pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pOptionHeader + (pPEHeader->SizeOfOptionalHeader));

    ImageSize = (pOptionHeader->SizeOfImage);
    //printf("+++++++++++++++++++++++++++++++++++++++\n");
    //printf("CopyFileBufferToImageBuffer:%x\n", ImageSize);
    //printf("pOptionHeader->SizeOfImage:%x\n", pOptionHeader->SizeOfImage);
    //printf("+++++++++++++++++++++++++++++++++++++++\n");
    //分配缓冲区
    *pImageBuffer = malloc(ImageSize);
    if (!(*pImageBuffer))
    {
        printf("空间分配失败!\n");
        return 0;
    }
    memset(*pImageBuffer, 0, ImageSize);
    //拷贝各个头
    dest = (char*)*pImageBuffer;
    src = (char*)pFileBuffer;
    memcpy(dest,src,(pOptionHeader->SizeOfHeaders));

    //拷贝各个节
    for (int i = 0; i < (pPEHeader->NumberOfSections); i++)
    {
        dest = NULL;
        src = NULL;
        src = (char*)((char*)pFileBuffer + pSectionHeader->PointerToRawData);
        dest = (char*)((char*)*pImageBuffer + pSectionHeader->VirtualAddress);
        memcpy(dest, src, (pSectionHeader->SizeOfRawData));
        pSectionHeader++;
    }
    printf("****************************************\n");
    printf("%x\n", ImageSize);
    return ImageSize;
}

//**************************************************************************
//CopyImageBufferToNewBuffer:将ImageBuffer中的数据复制到新的缓冲区
//参数说明:
//pImageBuffer ImageBuffer指针
//pNewBuffer NewBuffer指针
//返回值说明:
//读取失败返回0  否则返回复制的大小
//************************************************************************** 
DWORD CopyImageBufferToNewBuffer(IN LPVOID pImageBuffer, OUT LPVOID* pNewBuffer)
{
    DWORD NewSize = 0;
    char* dest = NULL;
    char* src = NULL;
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNTHeader = NULL;
    PIMAGE_FILE_HEADER pPEHeader = NULL;
    PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;
    PIMAGE_SECTION_HEADER pLastSectionHeader = NULL;
    pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer + pDosHeader->e_lfanew);
    pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
    pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
    pSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pOptionHeader + (pPEHeader->SizeOfOptionalHeader));

    //计算NewBuffer要多少空间 = 最后一个节在文件中的偏移 + 在文件中对齐后的大小
    pLastSectionHeader = pSectionHeader + ((pPEHeader->NumberOfSections) - 1);
    NewSize = pLastSectionHeader->PointerToRawData + pLastSectionHeader->SizeOfRawData;
    //分配缓冲区
    *pNewBuffer = malloc(NewSize);
    if (!(*pNewBuffer))
    {
        printf("空间分配失败!\n");
        return 0;
    }
    memset(*pNewBuffer, 0, NewSize);
    //拷贝各个头
    dest = (char*)*pNewBuffer;
    src = (char*)pImageBuffer;
    memcpy(dest, src, (pOptionHeader->SizeOfHeaders));

    //拷贝各个节
    for (int i = 0; i < (pPEHeader->NumberOfSections); i++)
    {
        dest = NULL;
        src = NULL;
        src = (char*)((char*)pImageBuffer + pSectionHeader->VirtualAddress);
        dest = (char*)((char*)*pNewBuffer + pSectionHeader->PointerToRawData);
        memcpy(dest, src, (pSectionHeader->SizeOfRawData));
        //printf("第%d个节的大小:%x\n", i, pSectionHeader->Misc.VirtualSize);
        //printf("第%d个节的内存偏移:%x\n", i, pSectionHeader->VirtualAddress);
        //printf("第%d个节在文件中对齐的大小:%x\n", i, pSectionHeader->SizeOfRawData);
        //printf("第%d个节的文件偏移:%x\n", i, pSectionHeader->PointerToRawData);
        pSectionHeader++;
    }
    printf("****************************************\n");
    printf("%x\n", NewSize);
    return NewSize;
}

//**************************************************************************
//MemeryTOFile:将内存中的数据复制到文件
//参数说明:
//pMemBuffer 内存中数据的指针
//size 要复制的大小
//lpszFile 要存储的文件路径
//返回值说明:
//失败返回0  否则返回1
//************************************************************************** 
BOOL MemeryTOFile(IN LPVOID pMemBuffer, IN size_t size, OUT LPSTR lpszFile)
{
    FILE* p  = NULL;
    int i = 0;
    p = fopen(lpszFile,"wb+");
    if (!p)
    {
        printf("无法创建文件\n");
        return 0;
    }
    i = fwrite(pMemBuffer,size, 1,p);
    printf("****************************************\n");
    printf("%x\n", i);
    fclose(p);
    return i;
}
vurtual
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PE文件结构详解(一)基本概念
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
PE文件简介
热门推荐
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
PE文件磁盘与内存映像结构图
weixin_33910137的博客
02-19 519
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1538
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1143
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
11代笔记本PE系统不认硬盘.rar
10-17
标题“11代笔记本PE系统不认硬盘”和描述中提到的问题主要涉及到计算机硬件与操作系统交互的一个常见问题,特别是新一代的笔记本电脑在使用WinPE(Windows Preinstallation Environment)系统时无法识别硬盘。...
RunPE 内存中直接运行PE文件
02-04
1. **读取PE文件**:通过文件I/O操作读取PE文件内容到内存中。这通常涉及到使用`CreateFile`,`ReadFile`等API。 2. **解析PE头信息**:解析PE文件的COFF(Common Object File Format)头和PE头,获取文件的基本...
我心如水移动硬盘PE
06-06
这些文件共同构成了“我心如水移动硬盘PE”的核心组成部分,使得用户能够通过移动硬盘快速启动一个基本的操作环境,执行系统维护、数据恢复等操作。这种PE系统在IT技术支持、系统管理员的工作中非常有用,因为它可以...
nvme协议硬盘写入win7工具
01-05
3. 在PE环境下,使用“WindowsImageTool”或者其他类似工具,将Win7映像加载到内存,并添加NVMe驱动。 4. 按照提示进行系统安装,当系统提示选择安装位置时,应能看到NVMe硬盘。 5. 安装过程中可能会遇到驱动加载的...
Acronis True Image PE 2021 v25.7.1.rar
03-13
全盘克隆能将整个硬盘的系统状态复制到另一个存储介质上,以便于更换硬件或迁移系统。增量和差异备份则只记录自上次备份以来发生的变化,节省存储空间。系统恢复功能可以在系统崩溃或遭受病毒攻击时,迅速将系统恢复...
PE文件文件加载到内存内存读取,然后存盘到文件
weixin_34114823的博客
03-12 561
// mem.cpp : 定义控制台应用程序的入口点。 //PE文件文件加载到内存内存读取,然后存盘到文件 #include "stdafx.h" #include <windows.h> #include <winnt.h> #define PATH "C:\\Users\\Administrator\\Desktop\\MSG.exe" ...
如何安装PE硬盘(包括移动硬盘)分区
weixin_30909575的博客
09-10 1044
最近又在折腾这个了,玩了很多种,这里说一个省事,安全的办法--文件拷贝(安装还是很有风险的) 1、将移动硬盘分区,并将主分区设为活动。 说明:确认移动硬盘分区类型并可引导   右键-我的电脑-管理-磁盘管理,定位到移动硬盘,确认分区为“主要磁盘分区”,并可引导。如果第一个分区不是主要磁盘分区,则不得不重新分区,如果移动硬盘已经是“主要磁盘分区”则不必进行重新分区。如果移动硬盘不能...
加载PE文件——内存映射文件
跃然实验室
06-10 729
将程序安装内存对齐的方式读取到内存有两种方法: 1、内存映射文件 2、PE加载器模拟法 1、内存映射文件 lpHeader所指内存是只读的,尽管是PAGE_READWRITE // LoadPeWithMap.cpp : Defines the entry point for the console application. // #include "stdafx.h" #...
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 2017
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
文件到Filebuffer到ImageBuffer到Newbuffer文件(低内聚,高耦合)
weixin_42408832的博客
06-24 295
// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> //函数声明 LPVOID ReadPEFile(LPSTR FilePath); void PrintNTHeaders(LPVOID pfilebuf); void ImageBufferToFil
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1642
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
PE映像文件内存中DUMP到磁盘
04-16 1605
了解了EXE和DLL里面的奥秘,你将成为一名知识更加渊博的程序员!”可以看到,作为网络安全爱好者的我们,掌握和熟练利用PE(Portable Executable)文件格式的知识将必定能为我们学习黑客技术和攻防知识打下良好的基础。在网络攻防的对抗中,常常接触到有关PE文件格式方面的技术,比如缓冲区溢出技术中编写Win32 ShellCode时利用PE文件结构的特征查找API函数地址就是一个很经典的
小甲鱼PE详解之区块表(节表)和区块(节)(PE详解04)
07-29 3673
上一讲:小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。(视频教程:http://f
FileBuffer-ImageBuffer 模拟PE
weixin_33873846的博客
04-08 360
这节课的重点是:模拟PE加载过程,按照运行的要求给FileBuffer拉伸放到内存当中,从 FileBuffer 到 ImageBuffer 到 运行Buffer。 PE 加载 过程: 根据sizeofImage 分配空间 根据sizeofheader copy头 按照节表, 根据VaSize,RawSize,SizeOfRawData ...
thinkbook进不去pe
最新发布
08-31
在下载PE文件之前,确保所下载的文件与你的设备型号相匹配。 还有一种情况是你的电脑硬件存在问题,导致无法进入PE。检查硬件连接是否良好,例如硬盘连接线是否松动,内存是否安装正确等。 最后,如果你尝试了上述...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

vurtual

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值