只申请一块sizeofimage的内存能否实现PE文件的拉伸

最新推荐文章于 2024-10-04 18:00:00 发布
最新推荐文章于 2024-10-04 18:00:00 发布
阅读量418 收藏
点赞数 3
文章标签: c# 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43751677/article/details/142646522
版权


不能,别试了,浪费时间.
从最后一个节复制,也会被覆盖

BOOL StrechFileBuffer(__in char* m_fileName, __inout char** LPImageBuffer)
{
	FILE* file = (fopen(m_fileName, "rb"));
	if (file == NULL)
	{
		printf("error :%d", GetLastError());
		return FALSE;
	}
	
	// 从文件头跳转到偏移0x3C位置
	if (fseek(file, 0x3C, SEEK_SET) != 0) {
		perror("fseek failed");
		fclose(file);
		return FALSE;
	}
	//读到e_lfannew的值
	LONG e_lfannew = 0;
	if (fread(&e_lfannew, sizeof(LONG), 1, file) != 1) {
		perror("fread failed");
		fclose(file);
		return FALSE;
	}
	//从文件开始跳到可选头的imagebase的位置 
	fseek(file, e_lfannew+sizeof(DWORD)+sizeof(IMAGE_FILE_HEADER)+0x38, SEEK_SET);
	DWORD sizeofimage = 0;
	fread(&sizeofimage, sizeof(DWORD), 1, file);
	
	//根据imagebase申请拉伸后的内存
	char* buffer = malloc(sizeofimage);
	if (buffer == NULL)
	{
		perror("malloc failed");
		fclose(file);
		return FALSE;
	}
	memset(buffer, 0, sizeofimage);
	
	fseek(file, 0, SEEK_END);//到文件尾部
	DWORD fileSize = ftell(file);//获得文件的大小
	fseek(file, 0, SEEK_SET);//返回文件头部
	fread(buffer, 1, fileSize, file);//将文件读取到内存中
	fclose(file);
	/
	/*已经将PE文件写到内存中了.但是需要分开拷贝,从最后的节开始拷贝数据*/
	
	//看看是多少位的程序
	WORD magic = *(WORD*)(buffer + e_lfannew + sizeof(DWORD) + sizeof(IMAGE_FILE_HEADER));
	//得到文件头,为了获取节区的数量,和可选头的大小,便于定位到节表中
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)(buffer + e_lfannew + sizeof(DWORD));
	//跳到最后一个节区信息结构列表
	WORD NumberOfSections = pFileHeader->NumberOfSections;
	PIMAGE_SECTION_HEADER PLastSectionTable = (char*)pFileHeader +sizeof(IMAGE_FILE_HEADER)+ (pFileHeader->SizeOfOptionalHeader) + ((NumberOfSections -1) * sizeof(IMAGE_SECTION_HEADER));
	//if (magic == 0X10B)
	//{
	//	//这是32位的程序

	//}
	//else 
	//{
	//	//这是64位的程序
	//}
	//循环
	// 从最后一个节区开始向前拷贝
	for (size_t i = pFileHeader->NumberOfSections; i > 0; i--) {
		size_t index = i - 1; // 计算索引(从0开始)
		PIMAGE_SECTION_HEADER currentSection = &PLastSectionTable[index]; // 获取当前节区的指针

		// 从文件中获取源地址和目标地址
		char* src = buffer + currentSection->PointerToRawData; // 文件中的数据
		char* dest = buffer + currentSection->VirtualAddress; // 内存中的目标地址

		// 计算拷贝的大小
		size_t sizeToCopy = currentSection->SizeOfRawData > currentSection->Misc.VirtualSize
			? currentSection->SizeOfRawData
			: currentSection->Misc.VirtualSize;

		// 拷贝数据
		memmove(dest, src, sizeToCopy);//内存被覆盖了
	}


 

我代码抄都抄不明白
关注
PE文件自学笔记(一):DOS头与PE头解析
qq_37835724的博客
11-13 886
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
PE文件(一)PE结构概述
2301_78838647的博客
04-18 1523
同一份文件内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件(十)重定位表
2301_78838647的博客
07-13 963
重定位表的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
PE文件(四)FileBuffer-ImageBuffer
2301_78838647的博客
05-07 709
4.复制所有的节:通过第一个节对应节表中的PointerToRawData的值确定该节在FileBuffer的起始地址,然后通过SizeOfRawData的值确定该节在FileBuffer中需要复制的数据的大小,再通过VirtualAddress再加上ImageBase得到此节在ImageBuffer中的起始地址,最后将FileBuffer对应的数据在ImageBuffer中的起始地址位置开始复制,完成第一个节的复制。此时ImageBuffer中的文件的数据满足文件运行的条件,但文件仍然不能真正的运行。
PE文件(七)扩大节合并节数据目录
2301_78838647的博客
06-10 1080
添加shellcode有以下几种的方式:1.直接在任意节的空白区添加代码2.新增节添加代码3.扩大最后一个节添加代码4.合并节并添加代码今天我们学习如何扩大节,合并节扩大节在上一节的学习中,我们可以通过上移NT头和节表覆盖DOS Stub以获取足够的空白区来增加新的节表以及后续新增节,但是当整体上移覆盖DOS Stub之后,多出来的空白区域还不够新增节表时,我们就可以使用扩大最后一个节的方法来添加我们的shellcode扩大节主要用于当我们在。
6.PE文件之FileBuffer与ImageBuffer转换
kernelhack
10-27 3985
FileBuffer可以看作是文件在硬盘时的数据,WinHex等工具展示出来就是这种状态. ImageBuffer可以看作是文件按照PE格式拉伸内存中的状态,可以称为进程,OD等工具查看的就是文件内存中的数据(已经完成重定位,IAT等修复). FileBuffer <-> ImageBuffer 下述过程不进行重定位,IAT等修复,只是将数据按照PE格式进行拉伸. FileBuffer -> ImageBuffer 1.根据IMAGE_OPTIONAL_HEADER.
PE文件(二)PE头字段说明
2301_78838647的博客
04-24 1133
PE头字段 = DOS头 + PE标记 + 标准PE头 + 可选PE头我们今天分析一下PE头字段中所有重要成员的含义。
PE文件扩大节的代码实现
qq_31125257的博客
12-11 759
一、扩大节(一般只适合扩大最后一个节) //1、拉伸内存 //2、重新分配一块新的内存SizeOfImage + Ex //3、将最后一个节的SizeOfRawData和VirtualSize改成N, // N=SizeOfRawData=VirtualSize=(SizeOfRawData或者VirtualSize 内存对齐后的值) + Ex //4、修改sizeofimage大小,sizeofimage = sizeofimage + Ex 二、代码实现 PVOID EnlargeLast
PE文件入门,一篇就够了
jmm18363027827的博客
05-24 1103
在108处占4个字节,我们插入的程序起始位置是000003A0.然后,然后就没然后了,程序运行不起,ida和od看到的东西都很奇怪,延误了两天,这里我直接说一下踩的坑,我随意找了一个空白处填充机器码,但后来发现不是所有的位置都能发生跳转,然后就将指令插入在了text段的末尾,然后发现跳转的有些差异,不会跳转在我设置的地方,后知后觉的发现,视频里的老哥演示的的时候拿的是一个文件对齐和内存对齐相同大小的程序,我用的程序是一个不同的,所以就要计算一下 用我们前面学习到的知识。功能呢就是弹出一个这样的错误窗口。
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1372
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
PE扩大节
m0_63206880的博客
03-29 569
注意:扩大节最好在最后节扩展 不然要修改好多东西 一:扩大节 1、拉伸内存 2、分配一块新的空间:SizeOfImage+Ex 3、将最后一个节的SizeOfRawData 和 VirtualSize改成N SizeOfRawData = VirtualSize = N N = (SizeOfRawData或者Virtualsize 内存对齐后的值)+Ex 4、修改sizeofimage大小 Sizeofimage= sizeofimage+Ex 下面是实现代码: ...
初识PE结构:编程在任意节空白区添加代码(一)
laobingzai的博客
01-03 1915
我们如果想在任意节空白区添加隐藏代码:首先我们先实验对PE文件进行正确的读写,是要将.exe文件从硬盘中完整地拷贝到内存中,这时我们称这个在内存数据块为FileBuffer,然后我们要将FileBuffer按照操作系统能运行的要求进行拉伸对齐生成内存映像文件ImageBuffer,我们才能得到正确的偏移,之后将ImageBuffer按照文件对齐的形式转成新的文件NewBuffer,最后将NewBu
PE工具函数(新)
hambaga的博客
07-14 800
编译环境:32位 多字节字符集 PE.hpp #ifndef PE_HPP_ #define PE_HPP_ /******************************************************************************** 时间:2020年7月14日 作者:hambaga 说明:重新整理的PE工具函数,仅适用于32位程序 ********************************************************************
C#基于SkiaSharp实现印章管理(10)
gc_2299的博客
09-29 1153
实现给pdf文件加盖印章功能
C# Random类详解:生成随机数的实用指南
最新发布
学习和分享
10-04 464
C# 中的Random类是一个用于生成伪随机数的类。它位于System命名空间中,因此在使用之前需要引入该命名空间。Random类提供了多种方法来生成不同类型的随机数,比如整数、浮点数等。
掌握C#核心概念:类、继承、泛型等
qq_45728381的博客
10-02 850
C# 是一门功能强大且灵活的面向对象编程语言,它结合了许多现代编程语言的特点和特性。无论你是编程新手,还是有经验的开发者,理解C#中的核心概念都是非常重要的。本文将介绍C#中的类与对象、构造函数和析构函数、方法的重载与重写、继承与多态等基础知识,并为每个主题提供简要的解释和示例代码。
C# 游戏引擎中的协程
m0_73087695的博客
09-23 2247
简单来讲,协程是轻量级,用户级的线程,通过“分时复用” 的方式模拟多线程操作。协程是一个“伪线程”,它其实只在一个线程上执行,但是通过执行“挂起”和“恢复”等操作,可以实现“不同时间执行不同任务”或者说“一个任务分到多个帧内完成”。协程的优点就是缺点,缺点就是优点。它没有直接操作线程繁琐,也无法发挥多核处理器的优势,所以它并非“必要的”。不过对于游戏开发而言,游戏一般只有一个“主循环”,或者说一个主要线程,所以资源和数据(也可以说“上下文”(context))主要就只在一个线程中。
图解C#高级教程(四):协变、逆变
combination1379的博客
10-02 957
本章的主题是可变性(variance),这里的可变性更多的是指基类和派生类之间的转换。可变性分为三种:协变(covariance)、逆变(contravariance)和不变(invariance)。
PE文件精简:手工构造最小化PE文件
因此,创建最小化的PE文件需要对PE文件格式有深入理解,并且需要谨慎操作,以确保文件仍能正常运行。 文章给出的十六进制数据显示了PE文件的头部部分,包括文件标识符(MZ)、PE标识符(PE..L)、机器类型、时间戳...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值