仿真WINDOWS PE加载器的程序

最新推荐文章于 2024-06-13 09:42:43 发布
最新推荐文章于 2024-06-13 09:42:43 发布
阅读量2.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: windows image descriptor import delete header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KernelEx/article/details/4531884
本文介绍了一个用于模拟PE文件加载过程的程序。该程序能够直接在内存中运行PE文件,涉及PE头部信息读取、节表加载、导入表修复、重定位处理等关键技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

此程序用来仿真 PE 加载器,可以直接运行内存中的程序。

bool PELoader ( char * lpStaticPEBuff , long lStaticPELen )
{
  long lPESignOffset = *( long *)( lpStaticPEBuff + 0x3c );
  IMAGE_NT_HEADERS * pINH = ( IMAGE_NT_HEADERS *)( lpStaticPEBuff + lPESignOffset );

  //取加载到内存中大小
  long lImageSize = pINH - >OptionalHeader . SizeOfImage ;
  char * lpDynPEBuff = new char [ lImageSize ];
  if ( lpDynPEBuff == NULL )
  {
    return false ;
  }
  memset ( lpDynPEBuff , 0 , lImageSize );

  //取PE文件的节数量
  long lSectionNum = pINH - >FileHeader . NumberOfSections ;

  //计算PE头信息及节表信息占用内存大小
  long lPEHeadSize = lPESignOffset + sizeof ( IMAGE_NT_HEADERS ) + lSectionNum * sizeof ( IMAGE_SECTION_HEADER );
 
  //加载PE头部信息及其各个节表
  memcpy ( lpDynPEBuff , lpStaticPEBuff , lPEHeadSize );

  //加载各个节
  long lFileAlignMask = pINH - >OptionalHeader . FileAlignment - 1 ;         //各节在磁盘中的对齐掩码
  long lSectionAlignMask = pINH - >OptionalHeader . SectionAlignment - 1 ;   //各节在load后内存中的对齐掩码
  IMAGE_SECTION_HEADER * pISH = ( IMAGE_SECTION_HEADER *)(( char *) pINH + sizeof ( IMAGE_NT_HEADERS ));
  for ( int nIndex = 0 ; nIndex < lSectionNum ; nIndex ++, pISH ++)
  {
    //判定各节的对齐属性,合法不
    if (( pISH - >VirtualAddress & lSectionAlignMask ) || ( pISH - >SizeOfRawData & lFileAlignMask ))
    {
      //出现非法节
      delete lpDynPEBuff ;
      return false ;
    }

    //加载改节
    memcpy ( lpDynPEBuff + pISH - >VirtualAddress , lpStaticPEBuff + pISH - >PointerToRawData , pISH - >SizeOfRawData );
  }

  //修改导入表,导入程序执行过程中要用到的API函数地址
  if ( pINH - >OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_IMPORT ]. Size > 0 ) //大于0说明有导入表
  {
    IMAGE_IMPORT_DESCRIPTOR * pIID = ( IMAGE_IMPORT_DESCRIPTOR *)( lpDynPEBuff + /
      pINH - >OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_IMPORT ]. VirtualAddress );

    //循环扫描每个将有函数导入的dll
    for (; pIID - >Name != NULL ; pIID ++)
    {
      /*曾看过OllyDump源代码,那里在重建导入表的时候,并没有初始化OriginalFirstThunk这个字段,
      所以这里也不对OriginalFirstThunk这个字段进行处理了*/
      IMAGE_THUNK_DATA * pITD = ( IMAGE_THUNK_DATA *)( lpDynPEBuff + pIID - >FirstThunk );

      HINSTANCE hInstance = LoadLibrary ( lpDynPEBuff + pIID - >Name );
      if ( hInstance == NULL )
      {
        //导入这个dll失败
        delete lpDynPEBuff ;
        return false ;
      }

      //循环扫描dll内每个被导入函数
      for (; pITD - >u1 . Ordinal != 0 ; pITD ++)
      {
        FARPROC fpFun ;
        if ( pITD - >u1 . Ordinal & IMAGE_ORDINAL_FLAG32 )
        {
          //函数是以序号的方式导入的
          fpFun = GetProcAddress ( hInstance , ( LPCSTR )( pITD - >u1 . Ordinal & 0x0000ffff ));
        }
        else
        {
          //函数是以名称方式导入的
          IMAGE_IMPORT_BY_NAME * pIIBN = ( IMAGE_IMPORT_BY_NAME *)( lpDynPEBuff + pITD - >u1 . Ordinal );
          fpFun = GetProcAddress ( hInstance , ( LPCSTR ) pIIBN - >Name );
        }

        if ( fpFun == NULL )
        {
          //导出这个函数失败
          delete lpDynPEBuff ;
          return false ;
        }

        pITD - >u1 . Ordinal = ( long ) fpFun ;
      }

      FreeLibrary ( hInstance );
    }
  }


  //重定位处理
  if ( pINH - >OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_BASERELOC ]. Size > 0 )
  {
    //取第一个重定位块
    IMAGE_BASE_RELOCATION * pIBR = ( IMAGE_BASE_RELOCATION *)( lpDynPEBuff + /
      pINH - >OptionalHeader . DataDirectory [ IMAGE_DIRECTORY_ENTRY_BASERELOC ]. VirtualAddress );

    long lDifference = ( long ) lpDynPEBuff - pINH - >OptionalHeader . ImageBase ;

    //循环每个重定位块
    for (; pIBR - >VirtualAddress != 0 ; )
    {
      char * lpMemPage = lpDynPEBuff + pIBR - >VirtualAddress ;
      long lCount = ( pIBR - >SizeOfBlock - sizeof ( IMAGE_BASE_RELOCATION )) >> 1 ;

      //对这个页面中的每个需重定位的项进行处理
      short int * pRelocationItem = ( short int *)(( char *) pIBR + sizeof ( IMAGE_BASE_RELOCATION ));
      for ( int nIndex = 0 ; nIndex < lCount ; nIndex ++)
      {
        int nOffset = pRelocationItem [ nIndex ] &0x0fff ;
        int nType = pRelocationItem [ nIndex ] >> 12 ;

        //虽然windows定义了很多重定位类型,但是在PE文件中只能见到0和3两种
        if ( nType == 3 )
        {
          *( long *)( lpDynPEBuff + nOffset ) += lDifference ;
        }
        else if ( nType == 0 )
        {
          //什么也不做
        }
      }

      //pIBR指向下一个重定位块
      pIBR = ( IMAGE_BASE_RELOCATION *)( pRelocationItem + lCount );
    }

  }

  delete lpDynPEBuff ;

  return true ;
}
KernelEx
关注
PE复写:模仿PE加载过程
KKMI的博客
06-02 1566
FileBuffer->ImageBuffer->NewBuffer->存盘一.主要函数实现1.PE文件到FileBuffer2.FileBuffer到ImageBuffer 一.主要函数实现 1.PE文件到FileBuffer 这个过程还是单纯的只是PE文件的读取,详情见上一章,这里只截取部分代码 2.FileBuffer到ImageBuffer 这是个文件拉伸的过程,如果PE文件的内存对齐和硬盘对齐不一样,那么这个文 ...
PE文件(1)导入表
nyzdmc的博客
03-02 803
PE文件(1)导入表 概念 导入函数的代码位于一个或者多个DLL中,在调用者程序中只保留一些相关的函数信息,包括函数名及其对应的DLL名等。 对于磁盘上的PE 文件来说,它无法得知这些输入函数将来在内存中的地址,只有当PE 文件被装入内存后,Windows加载器才将相关DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来。 这就是“动态链接”的概念。动态链接是通过PE 文件...
一段仿真PE加载器行为的程序
Chinawash 专栏
07-09 1617
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
PEMicro Debugger仿真器驱动程序.rar
09-05
软件介绍: PEMicro仿真器Windows系统下的驱动程序WIN7系统上安装会弹出WINDOWS安全窗口,需要勾选始终信任来自Jungo Connectivity Lty这个软件。redistuninstalldifxapi.dllpe_winusb_interface.infpe_winusb_interface.logpemicro12.catwd1170.catwdreg_gui.exewindrvr6.infwindrvr6.syswindrvr6_install.log
PE 文件加载器实现
pureman_mega的博客
08-12 901
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
windows pe程序
05-18
2. **启动加载器**:PE环境的启动过程通常涉及Boot.wim文件,这是包含Windows PE操作系统的映像文件。 3. **命令行工具**:Windows PE中包含许多命令行工具,如diskpart(磁盘管理)、sfc /scannow(系统文件检查器...
基于Unicorn框架的PE文件仿真模拟研究
最新发布
07-20
这包括但不限于PEB(Process Environment Block,进程环境块)、TEB(Thread Environment Block,线程环境块)、Ldr(加载器)、线程管理、堆管理、句柄管理、文件管理、多线程、异步同步以及API模拟等功能模块。...
PEMicro Debugger仿真器驱动程序安装指南
在本例中,PEMicro的仿真器需要在Windows 7系统上安装驱动程序才能正常工作。 4. WIN7系统安全窗口说明 当在Windows 7系统中安装驱动程序时,系统可能会弹出一个安全警告窗口。这是因为Microsoft为了保护用户的安全...
Windows进程创建过程详解(含PE文件加载)
谈成(C/C++)
05-18 2052
1.调用CreateProcessW打开指定可执行文件,并创建一个内存区对象。这里仅仅是打开exe文件,并没有将文件映射到内存中。打开exe是为了在后续创建进程的过程中从exe头部中读取一些环境配置。 2.调用ntdll.dll中的NtCreateProcessEx系统服务。该函数仅仅是一个内核层对外的门户,其实ntdll.dll中几乎所有的API都是一个空壳,ntdll.dll的本质就是用户层和内核层之间的一道屏障。而这道屏障就是负责保护内核层的,防止用户层直接控制内核层。ntdll.dll中的API会对
pemicro CYCLONE PRO飞思卡尔烧录器驱动
08-19
而"Autorun.inf"文件则是一个自动运行配置文件,当插入包含该文件的光盘或USB驱动器时,Windows系统会自动执行其中指定的操作,通常用于指导用户如何启动安装程序。 总的来说,这个压缩包提供了一个完整的解决方案...
飞思卡尔仿真器使用说明
08-29
飞思卡尔BDM 的使用方法 我个人认为是对刚刚接触飞思卡尔的人有很大的帮助
模拟PE文件加载
qq_35289660的博客
08-10 1059
PE重载 文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第三步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:1245885144???????? 1.PE重载原理 模拟系统加载一个exe的过程, 通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方
手动加载PE文件
gongxie0235的博客
05-13 1122
今天手撸一下加载PE文件,并执行加载的PE文件。看完这一节之后相信大家会对PE文件的结构和在内存中的加载顺序有一个比较深刻的理解。本文中可能对PE文件的基础知识介绍的不是很详细,建议大家先看看PE文件的基础结构,了解了这些基础知识后再看本文会简单许多。废话不多说,下边让我们进入正是环节吧~
纯手写简单PE
Hades的博客
04-17 1651
纯手写简单PE环境:Windows 10010EditorLoadPE(查看写的是否正确,文中并没有截图)目的:使用十六进制编辑器(010Editor)手写一个可在Windows10上运行的只弹出MessageBox对话框最简单的exe程序1.构造DOS头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e...
反向进程注入及隐藏--动手做一个最简单的PELoader
08-16 1623
文章属性:原创文章提交:Luke0314 (msfocus_at_hotmail.com)动手做一个最简单的PELoaderLuke msfocus@hotmail.com一.废话最近因为公司的项目需要,顺带的学习了一点和PELoader相关的东西,恰见网上正在沸沸扬扬的谈论虚拟脱壳。本人不才,实在是没能力也没精力去写一个真正意义上的虚拟机,因此尝试做了一个简单而偷懒的PE加载器。这个PE加载器
标题:**MemoryModule:灵活的内存PE加载器,让模块载入更自由**
gitblog_00076的博客
06-13 442
标题:MemoryModule:灵活的内存PE加载器,让模块载入更自由 1、项目介绍 MemoryModule 是一个轻巧且强大的 PE(可移植可执行文件)加载器,它可以在内存中动态地加载和运行模块。这个项目尤其适用于在内存中执行代码的场景,比如shellcode。MemoryModule 兼容多种Windows操作系统,并且能够在Linux Wine环境中工作。 2、项目技术分析 Memory...
纯手工编写的PE可执行程序
banhanjun1518的博客
07-05 272
【文章标题】:纯手工编写的PE可执行程序【文章作者】:Kinney【下载地址】:自己搜索下载【使用工具】:C32【操作平台】:win7【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!最近,学习PE结构的知识。之后深有感触,随即便萌发了不依赖任何开发环境和编译器,纯手工写一个小程序的念头。所以我打算就写一个弹出MessageBox的小程序吧(弹出“Hell...
010 editor手写pe文件
weixin_30527551的博客
06-03 424
原则:严谨细节 【文章标题】:010 editor手写pe文件【文章作者】: Clark【作者邮箱】:lost_poet@foxmail.com【作者QQ号】: 515996958【软件名称】:弹窗Hello World!【软件大小】: 3K【使用工具】:010 editor【操作平台】: Win10 x64 【声明:复习PE文件结构】 PE文件的结构的重要性毋庸置...
data directory(数据目录)之 引入表
weixin_33982670的博客
06-28 1042
(一)IMAGE_DATA_DIRECTORY STRUCT VirtualAddress dd ? isize dd ? IMAGE_DATA_DIRECTORY ENDS (二)data directory数组第二项(Import symbols)的IMAGE_DATA_DIRECTORY中的VirtualAddress包含引入表地址,这块地址是一个 IMAGE_IMP...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值