Linux内核实现PE加载器——Longene源码分析

最新推荐文章于 2025-03-28 11:16:55 发布
最新推荐文章于 2025-03-28 11:16:55 发布
阅读量1.1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux内核兼容 文章标签:  linux 内核 pe longene 兼容
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chrisnotfound/article/details/80501421
本文深入分析Longene项目如何在Linux内核中实现PE加载器,使得Linux能够运行Windows应用。从load_pe_binary函数开始,详细讲解了预留进程地址空间、映射二进制文件、搜索ntdll.dll.so、调用LdrInitializeThunk等关键步骤,以及Linux内核模拟Windows APC机制来完成动态链接的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Longene是一个源自中国的自由、开源的操作系统项目,目的是要把Linux的内核扩充成一个既支持Linux应用、也支持Windows应用,既支持Linux设备驱动、也支持Windows设备驱动的兼容内核;使用户可以直接在Linux操作系统上高效运行Windows应用。2006年发布了其第一个版本,但是自2014年以来,项目开发已停止,2018年5月其官网无法访问。这里就不多做介绍了,直接开始从源码角度分析Longene是怎么在Linux内核中实现PE加载器的。

Longene中PE可执行文件的加载以及动态链接的过程主要在/module/ke/文件夹中的代码实现。

Longene采用内核模块的形式,在内核中注册了pe格式的文件。(之前有分析过了如何扩展可支持的文件格式),该结构体为pe_format。

当执行某exe文件,例如在命令行里面敲入 ./notepad.exe的时候,首先linux内核调用execve系统调用最终走到会走到longene兼容模块的load_pe_bianry函数中(这也是前面分析过的)。

进入load_pe_binary函数,首先判断父进程是否是win32程序。

接下来就是一堆常规的操作,比如预留进程地址空间,将二进制文件映射至内存,调整堆栈大小,为解释器预留空间等。

然后是一个重要的步骤,搜索ntdll.dll.so,也就是wine代码生成的builtin dll。在$ PATH中搜索ntdll.dll.so,默认是/usr/local/lib/wine/ntdll.dll.so。找到后才可以执行下面的代码。

search_ntdll函数如下图所示:

调用函数map_system_dll映射ntdll.dll.so。该函数在sysdll.c中定义,先通过load_elf_interp函数将ntdll.dll.so装入,该函数主体部分基本是参考linux内核源码中ELF文件加载启动的那部分代码(binfmt_elf.c)

最低0.47元/天 解锁文章
二、进入保护模式--内核加载器LOADER:实模式下内存容量检测、开启保护模式、开启分页模式、加载kernel到内存缓冲区、加载kernel到内存(内存复制函数)->kernel
zhangyang249的博客
11-30 1617
开始进入保护模式:
peloader:PE二进制加载器示例代码,摘自efitools
05-16
我确认可以通过使用自己的PE加载器来绕过SecureBoot模式下的BS-> LoadImage()限制,并且已在efitools上实现( ) 。 这是无需使用BS-> LoadImage()即可加载和执行二进制文件的示例代码。
龙井linux,Linux兼容内核(longene)“龙井”让Linux可以运行Win程序
weixin_34060561的博客
05-25 534
Linux兼容内核自2009年1月起,正式使用项目Unix名称Longene,中文别名ldquo;龙井rdquo;。兼容内核是一个自由、开源的操作系统项Linux兼容内核自2009年1月起,正式使用项目Unix名称Longene,中文别名“龙井”。兼容内核是一个自由、开源的操作系统项目,目的是要把Linux内核扩充成一个既支持Linux应用、也支持Windows应用,,既支持Linux设备驱动、...
PE加载器源码.rar
09-25
PE加载器源码.rar
Linux】kylin桌面进入pe模式,livecd模式
最新发布
小白鸽i的博客
03-28 1435
Linux】kylin桌面进入pe模式,livecd模式
PE加载器实现
08-13 1417
来源:http://blog.vckbase.com/windowssky  对于加壳软件的开发者,掌握PE Loader的实现是最基本的技术;因为壳运行结束后,你要仿照PE加载器去Load映象体,我曾看过UPX的开源代码,全手工打造PE,实现的也是极其复杂,是学习加壳,脱壳和开发加壳软件的上乘资料.  在ReatOs和Nt4.0上找到了其实现,前者实现的比较清晰,不过还是看看Nt4.0的实现吧/
一段仿真PE加载器行为的程序
Chinawash 专栏
07-09 1615
bool PELoader(char *lpStaticPEBuff, long lStaticPELen) {   long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);   IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);   /
PE 文件加载器实现
pureman_mega的博客
08-12 895
/** * peLoader.cpp * Windows APT Warfare * by aaaddress1@chroot.org */ #include <stdio.h> #include <windows.h> #pragma warning(disable : 4996) #define getNtHdr(buf) ((IMAGE_NT_HEADERS *)((size_t)buf + ((IMAGE_DOS_HEADER *)buf)->e_lfanew.
全面了解Linux加载器(转)
08-11 565
全面了解Linux加载器(转)[@more@]LILO的引导机制    计算机的启动是由BIOS控制的,在完成对硬盘配置的测试及初始化之后,便会根据指定的引导信息,寻找加载硬盘、软盘或光盘的主引导记录MBR(Master Boo...
Pe-Loader Sample:一个实用的PE文件加载器示例
gitblog_00093的博客
03-16 544
Pe-Loader Sample:一个实用的PE文件加载器示例 去发现同类优质开源项目:https://gitcode.com/ 如果你正在寻找一个实用的Windows PE文件加载器,并希望了解其工作原理,那么这个开源项目值得一看: 什么是Pe-Loader Sample? Pe-Loader Sample是一个简单的C语言编写的Windows应用程序,它能够加载并执行PE(Portable E...
简易开发操作系统内核:利用内核加载器启动
Lybing的博客
10-30 719
一个扇区是512节,一个完整的完善的操作系统内核不可能只有512字节,因此需要写一个内核加载器,到指定扇区读取内核从而突破512字节的限制!
PE文件的3大结构体_PE文件加载器
02-06 403
#include"stdio.h" #include"stdlib.h" #include"windows.h" int main() { IMAGE_DOS_HEADER imafe_dos_header;//dos头 IMAGE_NT_HEADERS image_nt_headers;//pe头 IMAGE_SECTION_HEADER *image_section_header;//区
从零开始操作系统------MBR直操硬盘、内核加载器
weixin_43751461的博客
06-10 648
从零开始操作系统------MBR直操硬盘、内核加载器
模拟PE文件加载
qq_35289660的博客
08-10 1050
PE重载 文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第三步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:1245885144???????? 1.PE重载原理 模拟系统加载一个exe的过程, 通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方
Windows内核加载器概念学习
bcbobo21cn的专栏
06-09 679
最近看ReactOS源码分析相关,看到内核加载器概念相关的;原文如下; ReactOS源码分析——内核加载器(一) 计算机BIOS读取硬盘第一个扇区的数据到内存0x7C00位置,将控制权交给主引导记录(MBR),MBR再搜索系统的活动分区表,加载活动分区表的第一个扇区到一个固定的地址。MBR接下来将控制权交给PBR,PBR解析FAT或NTFS格式文件系统,找到引导内核的文件NTLDR,将该文件加载到0x20000。最后将控制权交给NTLDR进行内核启动。 原版的启动源码是一段汇编程序,这段汇编程序的路
标题:**MemoryModule:灵活的内存PE加载器,让模块载入更自由**
gitblog_00076的博客
06-13 434
标题:MemoryModule:灵活的内存PE加载器,让模块载入更自由 MemoryModuleA tool to parse and load module in memory, as well as attach a DLL in EXE. Most of the functions are inline, so that it can also be used in shellcode....
windowsPE加载器,替换进程内存,
lionzl的专栏
06-17 1041
http://topic.youkuaiyun.com/u/20091103/11/c38fd755-6ff6-4b8b-a7bc-9aa1c94774c4.htmlhttp://bbs.eyuyan.com/read.php?tid=150015&page=2 Windows的PE加载器在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是
手写操作系统--主引导扇区以及内核加载器
qq_30528603的博客
07-05 283
这个内核加载器并没有实现很多功能,只是模拟主引导扇区是否成功加载内核加载器。主引导扇区的功能主要是要将内核加载器加载到内存中。因此我们此次实验就模拟一个内核加载器内核加载器的功能我们将慢慢完善。因为我的第一句代码是mov ax,0x0003,是占用3个字节,因此实际代码将会从0x7c02开始。3,调用硬盘读写功能,将硬盘中的第二个扇区开始的内核加载器写入内存0x1000的位置。屏幕输出了内核加载器的内容,并且确实加载进来了,因此实验成功。4,校检内核加载器的完备性,如果出现错误则跳转到输出错误语句。
推荐文章:SimplePELoader——轻量级PE加载器
gitblog_00017的博客
05-24 418
推荐文章:SimplePELoader——轻量级PE加载器 项目地址:https://gitcode.com/gh_mirrors/si/SimplePELoader 1、项目介绍 在软件开发和逆向工程领域,有时我们需要在不依赖操作系统API的情况下动态地加载DLL文件。这就是SimplePELoader大显身手的地方。这是一个微型的PE(Portable Executable)加载器,其设计目标...
Longene项目:打造Linux与Windows应用兼容内核
对于Longene项目而言,它试图创建一个能够同时支持Linux和Windows应用程序的内核,这种兼容性是通过修改Linux内核实现的,但这种修改不是简单的适配层,而是深入内核底层的改造,这涉及到了许多操作系统的底层机制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值