从FILE_BUFFER到IMAGE_BUFFER

最新推荐文章于 2022-08-28 18:21:00 发布
最新推荐文章于 2022-08-28 18:21:00 发布
阅读量155 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ychychych1/article/details/112308186
版权

首先需要知道FILE_BUFFER是什么,FILE_BUFFER就是文件存放在磁盘上的空间,IMAGE_BUFFER指的是文件在内存上存放的空间,而从磁盘到内存上,文件到底发生了什么。在这里先简略介绍一个,因为其中还有其他的很多因素,导入表,重定位表,段页,虚拟内存等等
在这里插入图片描述

首先,当我们点下鼠标,OS会给文件分配可选文件头中的虚拟的4GB大小的空间(我们不考虑虚拟内存,认为OS将这个文件全都存放在内存上的一个连续空间中)。

  • 这个SizeOfImage的大小包括:DOS头大小,垃圾数据,NT文件头,节表的大小,每个节表的SectionAlignment;字段,使用 对齐函数(VirtualSize,SectionAlignment) 的返回值相加。这里的对齐函数具体实现的功能就是将VirtualSize放大到SectionAlignment的整数倍。

在这里插入图片描述

然后,将文件的DOS文件头,垃圾数据,NT文件头,节表放入申请的空间中,位置是可选文件头中的ImageBase;字段
在这里插入图片描述

然后,将文件的各个节根据节表放入内存中,例如,将第一个节放入第一个节表的VirtualAddress;指示的位置,但是我们怎么知道在磁盘上的位置呢,使用的是第一个节表的PointerToRawData;字段,从文件开始存储的位置开始加上PointerToRawData;表示的就是这个节表开始的位置,读取的大小是SizeOfRawData
在这里插入图片描述
大概前期的过程就是这样,之后还会对导入表,重定位表进行操作,DLL映射到4GB的内存空间中

ychychychychychych
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
filebuffer->imagebuffer
tell_me_404的博客
08-09 827
问题描述 映像关系 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pfile = NULL; // 文件指针 DWORD file_size = 0; LPVOI
FileBuffer 与 ImageBuffer 互相转换(滴水PE作业)
hambaga的博客
05-10 1053
主函数 // buffer.cpp : Defines the entry point for the console application. // #include "stdafx.h" int main(int argc, char *argv[]) { //PrintNTHeaders(); LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewBuffer = NULL; int fileSize = 0;
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1119
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1502
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
FileBuffer->ImageBuffer->FileBuffer
qq_42363151的博客
08-28 257
PE
C# byte数组与Image相互转换的方法
09-04
反之,从数据库中读取到byte数组后,也需要将其转换回Image对象进行显示或进一步处理。这里我们将详细探讨如何实现C#中byte数组与Image对象的相互转换,并提供相应的代码实现。 首先,我们来看如何将一个Image对象...
ehlib_vcl_src_9_3.26
04-26
TPrinterPreview lets you to record printable data in buffer for following output them on screen and to printer. TPrinterPreview have all functions and properties as in TPrinter object. You can use ...
save-buffer:将缓冲区变成文件
04-02
保存缓冲区 ... const result = await saveBuffer ( buffer , './new/file/path.jpg' ) ; } ) ( ) ; 原料药 saveBuffer(buffer,filePath) 返回一个Promise 。 返回的值是undefined或错误消息。
java如何将pdf转换成image
08-27
PDFFile pdfFile = new PDFFile(buffer); int pageCount = pdfFile.getNumPages(); System.out.println(pageCount); Date start = new Date(); for (int i = 0; i ; i++) { PDFPage page = pdfFile.getPage(i)...
file-icon:获取文件或应用程序的图标作为PNG图像(macOS)
05-08
const buffer = await fileIcon . buffer ( 'Safari' ) ; fs . writeFileSync ( 'safari-icon.png' , buffer ) ; // An array of app names const apps = [ 'Finder' , 'Safari' ] ; const buffers = await fileIcon...
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向 FileBuffer--->ImageBuffer
clayoa的博客
01-02 832
上节课说到遍历节表,这节课让我们把FileBuffer-->ImageBuffer 海哥让我们用notepad.exe因为他的文件对齐和内存对齐是不一样的,如果一样的化,FileBuffer和ImageBuffer是一样的,为什么ImageBuffer还是不能执行呢?因为ImageBuffer的地址是我们malloc出来的,首地址不是ImageBase。 写代码之前我们需要掌握几个知识点 1.ImageBuffer的大小是多少? 我们不能直接把FileBuffer复制过来,因为notepad.
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1636
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
pe:filebuffer和imagebuffer地址对应
Iamangle122的博客
12-16 654
VirtualAddress+misc.VirtualSize>VirtualAddress-ImageBuffer>VirtualAddress找到对应节,在fileBuffer找到对应节,RawData+节偏移
6.PE文件之FileBuffer与ImageBuffer转换
kernelhack
10-27 3920
FileBuffer可以看作是文件在硬盘时的数据,WinHex等工具展示出来就是这种状态. ImageBuffer可以看作是文件按照PE格式拉伸到内存中的状态,可以称为进程,OD等工具查看的就是文件在内存中的数据(已经完成重定位,IAT等修复). FileBuffer <-> ImageBuffer 下述过程不进行重定位,IAT等修复,只是将数据按照PE格式进行拉伸. FileBuffer -> ImageBuffer 1.根据IMAGE_OPTIONAL_HEADER.
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 2006
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
从文件到Filebuffer再到ImageBuffer再到Newbuffer再到文件(低内聚,高耦合)
weixin_42408832的博客
06-24 292
// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> //函数声明 LPVOID ReadPEFile(LPSTR FilePath); void PrintNTHeaders(LPVOID pfilebuf); void ImageBufferToFil
FileBuffer-ImageBuffer 模拟PE
weixin_33873846的博客
04-08 356
这节课的重点是:模拟PE加载过程,按照运行的要求给FileBuffer拉伸放到内存当中,从 FileBuffer 到 ImageBuffer 再到 运行Buffer。 PE 加载 过程: 根据sizeofImage 分配空间 根据sizeofheader copy头 按照节表, 根据VaSize,RawSize,SizeOfRawData ...
PE-EXE-FileBuffer-ImageBuffer-NewFile-(解释版-非常详细)
qq_45714114的博客
09-06 244
头文件globle.h // globle.h: interface for the globle class. // ////////////////////////////////////////////////////////////////////// #if !defined(AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15924F62332B__INCLUDED_) #define AFX_GLOBLE_H__3D77A66B_EE77_4B6B_997F_15
image_data.auto_generate_coordinates().unwrap(); image_data.auto_generate_dead_pixels().unwrap(); image_data.auto_generate_mass_list()?.unwrap(); let base_name = path.file_stem().unwrap().to_str().unwrap(); let fname = path.with_file_name(base_name.to_owned() + &format!("_tic.png")); let buffer = image_data.to_buffer().unwrap();
最新发布
07-16
这段代码用于生成图像数据的坐标、死像素和质谱质量列表,并将图像数据保存为缓冲区。 首先,调用 `auto_generate_coordinates()` 方法生成图像数据的坐标信息,并使用 `unwrap()` 进行错误处理。 接着,调用 `auto_generate_dead_pixels()` 方法生成图像数据的死像素信息,并同样使用 `unwrap()` 进行错误处理。 然后,调用 `auto_generate_mass_list()` 方法生成图像数据的质谱质量列表,并使用 `?` 运算符进行错误处理。 接下来,使用给定路径的文件名(不带扩展名)作为基础文件名,通过字符串操作拼接后缀名 `"_tic.png"`,生成保存图像的文件名 `fname`。 最后,调用 `to_buffer()` 方法将图像数据转换为缓冲区,并将结果保存到 `buffer` 变量中。同样地,使用 `unwrap()` 进行错误处理。 请注意,代码中的 `unwrap()` 和 `?` 运算符用于处理错误。在实际应用中,可能需要根据具体情况进行错误处理或返回错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值