封装了下PeTool-v0.512

最新推荐文章于 2024-04-09 22:06:36 发布
最新推荐文章于 2024-04-09 22:06:36 发布
阅读量95 收藏
点赞数
分类专栏: 逆向基础 C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408832/article/details/118189736
版权 
eTool.cpp

#include <stdlib.h>

#include "stdafx.h"

#include <iostream>

#include <iomanip>

#include <fstream>

#include <string>

#include <windows.h>

#include <malloc.h>

using namespace std;

#define MessageBox_Add 0x74D61E80

//功能:通过文件路径获得文件指针,并返回其指针地址

//参数:一个指针类型的返回的pFileBuffer指针地址

int Return_FileBuffer(OUT LPVOID* pFileBuffer,IN char* FilePath)

{

FILE* File = ReadFile(FilePath, "rb");

int File_size = compute_file_len(File);

*pFileBuffer = File_to_FileBuffer(File_size, File);

return File_size;

}

//功能:打印PE信息

void Print_Pe(IN char* FilePath)

{

FILE* File_Address;

File_Address = ReadFile(FilePath, "rb");

int file_size = compute_file_len(File_Address);

char* FileBuffer = (char*)File_to_FileBuffer(file_size, File_Address);

Read_Pe_info(FileBuffer);

}

//读取文件,并返回文件流

//参数1:文件路径

//参数2:读取类型

FILE* ReadFile(LPSTR FilePath,char* Type)

{

FILE* FileAddress;//定义文件流

if (!(FileAddress = fopen(FilePath,Type)))

{

printf("没有读取文件失败,错误01");

fclose(FileAddress);

return 0;

}

return FileAddress;

}

//获得读取的文件流大小,返回文件流大小

//参数:文件流地址

int SizeOfFile(FILE* FileAddress)

{

int size;

//定位到文件末尾

fseek(FileAddress, NULL, SEEK_END);

//得到大小

size = ftell(FileAddress);

//重定位文件头到最开始的位置

fseek(FileAddress, NULL, SEEK_SET);

return size;

}

//申请动态内存,从文件流读取数据,并返回动态内存的文件指针

//参数1:文件流大小,字节

//参数2:文件流指针

//返回值:动态内存的文件指针

LPVOID File_to_FileBuffer(int size, FILE* FileAddress)

{

if (!size)

{

printf("没有获得需要申请的内存大小");

fclose(FileAddress);

return 0;

}

LPVOID MalcMem = NULL;

MalcMem = (char*)malloc(size);

memset(MalcMem, 0, size);

fread(MalcMem, 1,size, FileAddress);

return MalcMem;

}

//把文件数据写内存中

//参数1:文件流地址,

//参数2:申请的Filebuffer动态内存地址,

//参数3:Filebuffer大小

LPVOID ReadFileMem(FILE* File_address, LPVOID pFilebuffer, int pFilebuffer_size)

{

if (!(fread(pFilebuffer, 1, pFilebuffer_size, File_address)))

{

printf("错误,请查看代码1000");

return 0;

}

return pFilebuffer;

}

//动态分配内存,并刷新分配的内存空间

//参数1:文件大小

char* Malloc(int buffer_size)

{

char* buffer_address = (char*)malloc(buffer_size);

if (!buffer_address)

{

printf("内存分配失败,检查代码1001");

return 0;

}

memset(buffer_address, 0, buffer_size);

return buffer_address;

}

//读取Filebuffer的信息,并打印出来

//参数1:buffer地址

void Read_Pe_info(IN LPVOID buffer_address)

{

PIMAGE_DOS_HEADER pDosHeader = NULL;

PIMAGE_NT_HEADERS pNTHeader = NULL;

PIMAGE_FILE_HEADER pPEHeader = NULL;

PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;

PIMAGE_SECTION_HEADER pSectionHeader = NULL;

pDosHeader = (PIMAGE_DOS_HEADER)buffer_address;

// 获取PE头部偏移

if (*((PDWORD)((DWORD)pDosHeader + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)

{

printf("不是有效的PE标志!\n");

free(buffer_address);

}

printf("pDosHeader:%x\n", pDosHeader->e_magic);

pNTHeader = PIMAGE_NT_HEADERS((DWORD)pDosHeader + pDosHeader->e_lfanew);

printf("=====================开始查找NT头中信息=============================\n\n");

printf("pNTHeader:%08x\n", pNTHeader->Signature);

//强制类型转化,指向标准PE头

pPEHeader = PIMAGE_FILE_HEADER((DWORD)pNTHeader + 4);

printf("=====================开始查找标准PE头中信息=========================\n");

printf("pPEHeader:%x\n", pPEHeader->Machine);

printf("节的数量:%d\n", pPEHeader->NumberOfSections);

printf("SizeOfOptionalHeader(可选PE头的大小):%x\n", pPEHeader->SizeOfOptionalHeader);

int NumberOfSections = pPEHeader->NumberOfSections;

// 强制类型转换,指向可选PE头

pOptionHeader = PIMAGE_OPTIONAL_HEADER32((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);

printf("====================开始查找可选PE头中信息==========================\n");

printf("SizeOfImage:%x\n", pOptionHeader->SizeOfImage);

printf("SizeOfHeaders:%x\n", pOptionHeader->SizeOfHeaders);

printf("SectionAlignment:%x\n", pOptionHeader->SectionAlignment);

DWORD SizeOfHeaders = pOptionHeader->SizeOfHeaders;

DWORD SizeOfImage = pOptionHeader->SizeOfImage;

DWORD SectionAlignment = pOptionHeader->SectionAlignment;

// 强制类型转换,指向节表中的信息

printf("====================查找到节表中信息%d个==========================\n",pPEHeader->NumberOfSections);

pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

for (int i = 0; i<NumberOfSections; i++,pSectionHeader++)

{

printf("Section_Name:%s\n", pSectionHeader->Name);

printf("VirtualAddress:%08X\n", pSectionHeader->VirtualAddress);

printf("SizeOfRawData:%08X\n", pSectionHeader->SizeOfRawData);

printf("PointerToRawData:%08X\n", pSectionHeader->PointerToRawData);

printf("==============================================\n");

//info_Address[i] = pSectionHeader->VirtualAddress;

//info_RawData[i] = pSectionHeader->SizeOfRawData;

//info_PointerToRawData[i] = pSectionHeader->PointerToRawData;

}

printf("打印PE信息结束!!\n");

}

//FileBuffer拉伸到Imagebuffer

//参数1:FileBuffer指针

void FileBufferToImagebuffer(IN LPVOID* pFileBuffer,OUT LPVOID* pImagebuffer)

{

LPVOID pTempImageBuffer = NULL;

if (!pFileBuffer)

{

printf("没有获取到FileBuffer指针,请检查代码");

}

PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)*pFileBuffer;

if (*(PWORD)pDos!=IMAGE_DOS_SIGNATURE)

{

printf("不是有效的MZ标志,请检查代码或者是否为EXE程序");

}

PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)pDos+pDos->e_lfanew);

if (*(PWORD)pNt != IMAGE_NT_SIGNATURE)

{

printf("不是有效的PE标志,请检查代码或者是否为EXE程序");

}

PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)pNt + 4);

PIMAGE_OPTIONAL_HEADER pOption = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);

PIMAGE_SECTION_HEADER pSetion = (PIMAGE_SECTION_HEADER)((DWORD)pOption + pFile->SizeOfOptionalHeader);

//将sizeofimage的值扩展为SectionAlignment的整数倍(在内存中一般是0x1000的整数倍)

int Sizeofimage_Alignment = pOption->SizeOfImage;

int iTemp = pOption->SizeOfImage % pOption->SectionAlignment;

if (iTemp!= 0)

{

Sizeofimage_Alignment = pOption->SizeOfImage + pOption->SectionAlignment - iTemp;

pOption->SizeOfImage = (DWORD)Sizeofimage_Alignment;

}

//申请动态内存

pTempImageBuffer = (LPVOID)malloc(Sizeofimage_Alignment);

//刷新内存

memset(pTempImageBuffer, 0, pOption->SizeOfImage);

//复制头到动态内存

if (!pTempImageBuffer)

{

printf("内存分配失败,代码0009");

}

memcpy(pTempImageBuffer, *pFileBuffer, pOption->SizeOfHeaders);

//复制节表

int CountSection = pFile->NumberOfSections;

for (int i = 0; i < CountSection; i++, pSetion++)

{

memcpy((LPVOID)((DWORD)pTempImageBuffer + pSetion->VirtualAddress), (LPVOID)((DWORD)pDos+pSetion->PointerToRawData), pSetion->SizeOfRawData);

}

*pImagebuffer = pTempImageBuffer;

}

//保存内存缓存为文件

//参数1:pNewFileBuffer指针

//参数2:缓存大小

//参数3:文件保存路径,建议使用#define 进行定义,例如:#define NewFilePath "D:\\XXXXX.exe";

void Save_pNewFileBufferTo_EXE(IN LPVOID* pNewFileBuffer,IN char* NewFilePath,int FileSize)

{

//char Save_exe[] = "D:\\ipmsg_NewSection.exe";

FILE* Save_file = fopen(NewFilePath, "wb+");

fwrite(*pNewFileBuffer, FileSize, 1, Save_file);

if (!Save_file)

{

printf("拷贝失败了,错误代码22\n");

fclose(Save_file);

return ;

}

fclose(Save_file);

return ;

}

//功能:在代码节空白区添加代码

//参数1:一个指针类型的pImgeBuffer指针地址

//参数2:一个指针类型的pNewImageBuffer指针地址(添加代码后的内存映像)

//参数3,:返回被插入代码后的sizeofimage大小

void CodeSection_InsertCode(IN LPVOID* pImageBuffer, OUT LPVOID* pNewImageBuffer, DWORD* SizeOfImage)

{

char ShellCode[] =

{

0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00,//MessgeBoxA(0,0,0,0)  四个参数,在堆中压如堆栈,

0xE8, 0x00, 0x00, 0x00, 0x00,//E8  就是call

0xE9, 0x00, 0x00, 0x00, 0x00  //E9   就是JMP

};

PIMAGE_DOS_HEADER pNewDos = (PIMAGE_DOS_HEADER)*pImageBuffer;

PIMAGE_NT_HEADERS pNewNt = (PIMAGE_NT_HEADERS)((DWORD)pNewDos + (DWORD)(pNewDos->e_lfanew));

PIMAGE_FILE_HEADER pNewFile = (PIMAGE_FILE_HEADER)((DWORD)pNewNt + 4);

PIMAGE_OPTIONAL_HEADER pNewOptional = (PIMAGE_OPTIONAL_HEADER)((DWORD)pNewFile + IMAGE_SIZEOF_FILE_HEADER);

PIMAGE_SECTION_HEADER pNewSection = (PIMAGE_SECTION_HEADER)((DWORD)pNewOptional + pNewFile->SizeOfOptionalHeader);

if (!(pNewSection->SizeOfRawData - pNewSection->Misc.VirtualSize > 18))

{

printf("第一个节区内存空间不够,请查看SizeOfRawData和Misc.VirtualSize");

free(*pImageBuffer);

}

//计算从第一节的哪个位置开始添加代码

DWORD ImageBase_ = pNewOptional->ImageBase;

char* InsertCode_Pos = (char*)(DWORD)*pImageBuffer + pNewSection->VirtualAddress + pNewSection->Misc.VirtualSize;

//把ShellCode复制到InsertCode_Pos

memcpy(InsertCode_Pos, ShellCode, sizeof(ShellCode));

int E8_Code = MessageBox_Add - (DWORD)(ImageBase_ + ((DWORD)InsertCode_Pos+0xd - (DWORD)*pImageBuffer));

*(PDWORD)(InsertCode_Pos + 0x9) = E8_Code;

int E9_Code = (ImageBase_ + pNewOptional->AddressOfEntryPoint) - (DWORD)(ImageBase_ + ((DWORD)InsertCode_Pos+ 0x12 - (DWORD)*pImageBuffer ));

*(PDWORD)(InsertCode_Pos + 0xe) = E9_Code;

pNewOptional->AddressOfEntryPoint = (DWORD)InsertCode_Pos - (DWORD)*pImageBuffer;//重新定位程序入口处

//pNewOptional->SizeOfImage = pNewOptional->SizeOfImage + sizeof(ShellCode);//把Shellcode代码大小添加进SizeofImage

//*SizeOfImage = pNewOptional->SizeOfImage;

//申请一块动态内存,大小为加了18个字节后的sizeofimage

*pNewImageBuffer = malloc(pNewOptional->SizeOfImage);

//把pImageBuffer复制到pNewImagebuffer

int Sizeofimage_Alignment = pNewOptional->SizeOfImage;

int iTemp = pNewOptional->SizeOfImage % pNewOptional->SectionAlignment;

if (iTemp != 0)

{

Sizeofimage_Alignment = pNewOptional->SizeOfImage + pNewOptional->SectionAlignment - iTemp;

pNewOptional->SizeOfImage = Sizeofimage_Alignment;

}

memcpy(*pNewImageBuffer, *pImageBuffer, pNewOptional->SizeOfImage);

*SizeOfImage = pNewOptional->SizeOfImage;

}

//ImageBuffer压缩到FileBuffer

//参数1:ImageBuffer指针

//参数2:pNewFileBuffer指针

void ImageBufferToFileBuffer(IN LPVOID* pImageBuffer,IN LPVOID* TempFileBuffer2,OUT LPVOID* pNewFileBuffer)

{

if (!TempFileBuffer2)

{

printf("临时指针TempFileBuffer没有被分配地址");

}

if (!*pImageBuffer)

{

printf("没有获取到FileBuffer指针,请检查代码");

}

PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)*pImageBuffer;

if (*(PWORD)pDos != IMAGE_DOS_SIGNATURE)

{

printf("不是有效的MZ标志,请检查代码或者是否为EXE程序");

}

PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((DWORD)pDos + pDos->e_lfanew);

if (*(PWORD)pNt != IMAGE_NT_SIGNATURE)

{

printf("不是有效的PE标志,请检查代码或者是否为EXE程序");

}

PIMAGE_FILE_HEADER pFile = (PIMAGE_FILE_HEADER)((DWORD)pNt + 4);

PIMAGE_OPTIONAL_HEADER pOption = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFile + IMAGE_SIZEOF_FILE_HEADER);

PIMAGE_SECTION_HEADER pSetion = (PIMAGE_SECTION_HEADER)((DWORD)pOption + pFile->SizeOfOptionalHeader);

//将sizeofimage的值扩展为SectionAlignment的整数倍(在内存中一般是0x1000的整数倍)

int Sizeofimage_Alignment = pOption->SizeOfImage;

int iTemp = pOption->SizeOfImage % pOption->SectionAlignment;

if (iTemp != 0)

{

Sizeofimage_Alignment = pOption->SizeOfImage + pOption->SectionAlignment - iTemp;

pOption->SizeOfImage = Sizeofimage_Alignment;

}

//申请动态内存

*TempFileBuffer2 = malloc(pOption->SizeOfImage);///这里有问题,应该是前面的程序出现了内存越界访问造成的。

//刷新内存

memset(*TempFileBuffer2, 0, pOption->SizeOfImage);

//复制头到动态内存

if (!*TempFileBuffer2)

{

printf("内存分配失败,代码0009");

}

memcpy(*TempFileBuffer2, *pImageBuffer, pOption->SizeOfHeaders);

//复制节表

int CountSection = pFile->NumberOfSections;

for (int i = 0; i < CountSection; i++, pSetion++)

{

memcpy((LPVOID)((DWORD)*TempFileBuffer2 + pSetion->PointerToRawData), (LPVOID)((DWORD)pDos + pSetion->VirtualAddress), pSetion->SizeOfRawData);

}

*pNewFileBuffer = *TempFileBuffer2;

//free(*TempFileBuffer2);

}

//计算文件大小

//参数:文件指针

//int返回值:文件大小

int compute_file_len(FILE* pfile)

{

int len = 0;

fseek(pfile, 0, SEEK_END);

len = ftell(pfile);

fseek(pfile, 0, SEEK_SET);

return len;

}
wow.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向-在PE文件空白区域构造ShellCode代码
qq_48637067的博客
11-03 415
今天,把上周的逆向作业做了。其中的一道题“在PE文件空白区域构造ShellCode代码”花了比较长的时间才写出来。在这里,我整理一下思路。题目如下: 首先,我们要找到MessageBoxA的地址。我选择通过ollydbg来找,通过bp MessageBoxA来定位到哪一行。然后下断点,F9运行,查看具体地址如下: 可知地址为76D710AO,这是我们真正要跳转的地方。 使用PETool打开“飞鸽传书”,由 可算出在文件中入口点为00046000 。在Winhex中往上翻,发现有大量的空白位置可以写入
PETool 1.0.0.5.exe
05-21
PETool 1.0.0.5.exe,查看Windows 程序的各种表,导入导出资源表
逆向--分析abexcm1-voiees.exe以及wsample01a.exe
Darkch的博客
06-14 505
分析abexcm1-voiees.exe以及wsample01a.exe
linux下使用mingw编译NSIS-3.03
weixin_30636089的博客
08-23 372
简述 最近在研究使用NSIS做安装包,语法不算复杂,插件也很多,中文资料也不少,还挺好用的。先后用NSIS做出了安装和卸载需要输入密码,通过自定义页面实现安装时候选择多个目录、安装的时候输入配置文件信息,禁止在某些平台或环境下安装,检测是否已经安装或正在运行等,稍后将把这些都放出来,做个记录。 有一个问题就是NSIS打包的文件可以直接使用7zip解压,安装过程做的事情就被跳过了。为了解...
PETool free分享
Delphinidae
12-02 640
百度盘下载pe解析工具、PETool.1.0.0.5.exe(免费) 链接: https://pan.baidu.com/s/1A44RaB3GotWfmWmQCv3qqw 提取码: 33fh
冷克隆找不到网卡 no network adapter found
weixin_42785353的博客
01-15 1112
将converter.zip解压到D盘,并将目录命名为petool,解压后应有这些项目 下载网卡驱动、解压、重命名解压后的网卡驱动文件夹名为net,并将net文件夹放到d盘的petool文件夹中 利用petool.exe工具对bootcd.iso文件进行网卡驱动的添加,具体命令参考如图: peTool.exe -i coldclone.iso -n "d:\petool\net"   ...
Adding additional drivers to the VMware Converter Cold Clone ISO
Ari的专栏
02-26 2355
       用VMware-convertercd-4.0.3-u4启动一台dell 1955, 提示无法找到系统,应该是无法识别raid卡, 在dell网站上下载了SAS 5/iR的driver, 按如下方法集成到converterCD上,启动终于发现系统并顺利进行迁移; Adding additional drivers to the VMware Converter Cold Cl
uwsgi 和 flask的使用
weixin_30340617的博客
08-06 125
uwsgi 和 flask 1. 启动 $ uwsgi --socket 0.0.0.0:8002 --enable-threads -w manage:app *** Starting uWSGI 2.0.11.1 (64bit) on [Thu Aug 6 10:40:43 2015] *** compiled with version: 4.4.7 20120313 (Red Hat ...
.bat 脚本
最新发布
csdn_ad986ad的博客
04-09 387
.bat 脚本读取文本文件每一行的数据
逆向编程三,PETool
cszrydn的专栏
05-20 608
目录 PETool 介绍 软件架构 安装教程 使用说明 打开后上半部分显示进程列表,下半部分的列表是当前选中进程的模块列表 ​ PE查看,点击PE查看按钮弹出一个文件选择对话框,选择一个PE文件,点去确定,弹出此文件的PE信息 ​ 程序加壳,把要加壳的程序字节流加密后放到一个提前准备好的ShellCore.exe的新增节中,ShellCore.exe实现将新节点中的字节解密后把Imagebase位置指向新地址 DLL注入:选中一个进程,点击dll注入,弹出文件选择对话框,选中要注入的.
PETool v1.0.0.5带界面软件
08-11
PETool v1.0.0.5带界面软件,可以解析PE文件,并且功能比较完整。在CSDN找了很多,下载下来的都没有界面不是想找的,就在网上找了好久,各种以假乱真,但最终还是被我找到了。
PETool.zip - PE查看器
06-13
PETool.zip - PE查看器
PETool设计器安装包-易飞体检工具.rar
03-03
PETool设计器安装包-易飞体检工具
petool.zip
05-19
C/C++ 实现 petool 里面有两个版本
vs2015下重载运算符<operator>C2676:不定义该运算符或到预定义运算符可接收的类型的转换
weixin_42408832的博客
03-23 2001
error C2676: 不定义该运算符或到预定义运算符可接收的类型的转换源码用VS2015社区版本编译提示用VC6编译提示原因查找VS2015再次编译 源码 #include "stdafx.h" #include "windows.h" class numb { private: int lowvalue; int highvalue; public: //构造函数 numb(int lowvalue, int highvalue); void print(); numb oper
使用二级指针传出参数
weixin_42408832的博客
06-24 1777
使用指针传出参数时,要注意指针所指向的内存是在函数内分配的还是在函数外分配的,以及是不是在堆上分配的。 定义一个指针,但是并没有分配指针指向对象所需的内存空间;当函数返回后,此函数栈中的内存会被释放掉,不要让指针指向此函数栈中的内存空间; 要指向堆上或此函数外的内存空间。 1. 参数传递的原则是:形参传给实参,不能反向传递; 2. 一级指针可以在函数内部修改实参指针指向的内容; 如: void f(char *p) {p[2] = a; //由实参指向的函数外部的数组的内容就被改变了。…
2021-06-07解析资源表
weixin_42408832的博客
06-07 624
// Location_Res.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #define FilePath "D:\\NOTEPAD.EXE" //功能:Rva转Foa //参数1:FileBuffer //参数2:dwRva,需要转换的Rva地址 DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva) { //定义文件头 PIMAGE_DOS_HEADER dosHead
汇编语言 第三版 王爽 实验9 详细解析
weixin_42408832的博客
07-19 505
DATAS SEGMENT db 'welcome to masm!' db 02h,24h,71h DATAS ENDS STACKS SEGMENT db 16 dup(0) STACKS ENDS CODES SEGMENT ASSUME CS:CODES,DS:DATAS,SS:STACKS START: MOV AX,DATAS;设置data段 MOV DS,AX mov ax,0b800h;设置显示缓存区 mov es,a
滴水 C++_new、delete、vector 实现代码
weixin_42408832的博客
03-31 437
#include "stdafx.h" #include "windows.h" #define SUCCESS 1 //成功 #define ERRORR 2 //失败 #define MALLOC_ERROR -3 //申请内存失败 #define INDEX_ERROR -4 //错误的索引号 template <class T_ele> class Vector { public: Vector(); ~Vector(); Vector(DWORD DwSiz

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值