FileBuffer->ImageBuffer->FileBuffer PE结构

最新推荐文章于 2024-06-14 09:48:16 发布
原创 最新推荐文章于 2024-06-14 09:48:16 发布 · 297 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #操作系统 #windows

本文介绍了如何使用C语言实现将文件读取到内存(FileToFileBuffer),内存中文件结构的处理(如FileBufferToImageBuffer和ImageBufferToFileBuffer),以及虚拟地址到文件物理地址的转换(RVAToFOA)过程。

上一次写博客都是4年前了,现在重新学习又是感慨万千。
以前要是没去浪费时间干其他事情,可能在这个领域也能有所建树了吧,虽然每次安慰自己多了很多人生阅历,但谁不想有个happy ending呢?

/*FileToFileBuffer,将文件读到内存里,只需要计算出需要分配多少内存接下来按照普通函数传参就行了,
可能需要注意fopen的最后一个参数,需要选择二进制,也就是b,不是t,默认给的是t*/
PVOID FileToFileBuffer(BYTE* fileName) {
	FILE* pFile;
	DWORD fSize = 0;
	PVOID fileBuffer;

	pFile = fopen(fileName, "rb");
	if (!pFile) {
		printf("open failed 1 \n");
		return FALSE;
	}
	if (fseek(pFile, 0, SEEK_END)) {
		printf("fseek failed\n");
		return FALSE;
	}
	fSize = ftell(pFile);
	fileBuffer = (PVOID)malloc(fSize);
	if (!fileBuffer) {
		printf("malloc failed\n");
		return FALSE;
	}
	memset(fileBuffer, 0, fSize);
	fseek(pFile, 0, SEEK_SET);
	fread(fileBuffer, 1, fSize, pFile);


	fclose(pFile);
	pFile = 0;
	return fileBuffer;
}```
/*将内存里的文件拉伸到一块新的内存里,先根据optional头里的数据申请足够大小的内存,再遍历节表就能
得出,记得memset整块内存为0,这样写到硬盘才不会是一堆cc*/

```c
PVOID FileBufferToImageBuffer(PVOID pFileBuffer) {
	PIMAGE_DOS_HEADER pDosHeader = pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;

	PVOID pImageBuffer = (PVOID)malloc(pOptHeader->SizeOfImage);
	if (!pImageBuffer) {
		printf("malloc failed\n");
		return FALSE;
	}
	memset(pImageBuffer, 0, pOptHeader->SizeOfImage);
	memcpy(pImageBuffer, pFileBuffer, pOptHeader->SizeOfHeaders);
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++) {
		memcpy((DWORD)pImageBuffer + pSecHeader->VirtualAddress, (DWORD)pFileBuffer + pSecHeader->PointerToRawData,
			pSecHeader->SizeOfRawData);
		pSecHeader++;
	}
	free(pFileBuffer);
	return pImageBuffer;
}


```c
/*将内存里拉伸过的文件重新写回硬盘里 根据视频里的内容无法完美实现 会导致PE结构完整但是后面的数据没有
写入硬盘,当然本身读到内存里的东西就不足以构造出整个文件可能以前知道为啥,现在忘了*/
/*如果上面的函数能完成那么这个基本上也能,需要注意的点是如何计算大小要写入的大小,我的建议是最后一个
节的偏移+大小,也能遍历一遍节表,加上所有的sizeOfRawData*/
PVOID ImageBufferToFileBuffer(BYTE* fileName, PVOID pImageBuffer) {
	//寻找头节点
	PIMAGE_DOS_HEADER pDosHeader = pImageBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;
	PIMAGE_SECTION_HEADER pLastSecHeader = pSecHeader + pFileHeader->NumberOfSections - 1;
	//计算文件大小
	DWORD sizeOfRawData = pLastSecHeader->PointerToRawData + pLastSecHeader->SizeOfRawData;
	PVOID pFileBuffer = (PVOID)malloc(sizeOfRawData);
	if (!pFileBuffer) {
		printf("malloc failed\n");
		return FALSE;
	}
	memset(pFileBuffer, 0, sizeOfRawData);
	//储存数据到内存
	memcpy(pFileBuffer, pImageBuffer, pOptHeader->SizeOfHeaders);
	for (size_t i = 0; i < pFileHeader->NumberOfSections; i++) {
		printf("RVA:%p FOA:%p\n", pSecHeader, RVAToFOA(pSecHeader, pImageBuffer));
		memcpy((DWORD)pFileBuffer + pSecHeader->PointerToRawData, (DWORD)pImageBuffer + pSecHeader->VirtualAddress,
			pSecHeader->SizeOfRawData);
		pSecHeader++;
	}
	free(pImageBuffer);
	//储存数据到硬盘
	FILE* pFile;
	pFile = fopen(fileName, "wb");
	if (!pFile) {
		printf("fopen failed\n");
		return FALSE;
	}
	
	fwrite(pFileBuffer, sizeOfRawData, 1, pFile);
	fclose(pFile);
	return pFileBuffer;
}

/*转换内存里的虚拟地址对应到文件里的地址
我的思路是1.获得Virtual address,就是在内存种的偏移,方便计算,这个需要传入pImageBuffer,也就是
开辟的imageBuffer的指针,RVA - pImageBuffer 就获得了va
2.判断在不在headers里注意只需要判断是否小于sizeOfHeaders
3.遍历节表找到在VA在哪个节表里,然后计算
*/
PVOID RVAToFOA(PVOID RVA,PVOID pImageBuffer) {
	//寻找头节点
	PIMAGE_DOS_HEADER pDosHeader = pImageBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (DWORD)pDosHeader + pDosHeader->e_lfanew;
	PIMAGE_FILE_HEADER pFileHeader = &pNTHeader->FileHeader;
	PIMAGE_OPTIONAL_HEADER pOptHeader = (DWORD)pFileHeader + sizeof(IMAGE_FILE_HEADER);
	PIMAGE_SECTION_HEADER pSecHeader = (DWORD)pOptHeader + pFileHeader->SizeOfOptionalHeader;

	//计算VA
	PVOID virtualAddr = (DWORD)RVA - (DWORD)pImageBuffer;
	//定位是否在Headers里
	if (virtualAddr < pOptHeader->SizeOfHeaders) {
		return virtualAddr;
	}
	//定位在哪一个节里
	for (size_t i = 0; i < pFileHeader->NumberOfSections - 1; i++) {
		PIMAGE_SECTION_HEADER pNextSecHeader = pSecHeader + 1;
		if (virtualAddr >= pSecHeader->VirtualAddress && virtualAddr < pNextSecHeader->VirtualAddress) {
			return (DWORD)virtualAddr - pSecHeader->VirtualAddress + pSecHeader->PointerToRawData;
		}
		pSecHeader++;
	}
	return FALSE;
}
123qweqew
关注
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1516
一、FileBufferImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
滴水逆向第三期-fileBuffer_imageBuffer
tscg_的博客
03-20 679
本文详细介绍了一个PE文件从FileBufferImageBuffer的具体过程
FileBuffer-ImageBuffer-FileBuffer
qq_42363151的博客
08-28 337
PE
PE文件(四)FileBuffer-ImageBuffer
2301_78838647的博客
05-07 1135
4.复制所有的节:通过第一个节对应节表中的PointerToRawData的值确定该节在FileBuffer的起始地址,然后通过SizeOfRawData的值确定该节在FileBuffer中需要复制的数据的大小,再通过VirtualAddress再加上ImageBase得到此节在ImageBuffer中的起始地址,最后将FileBuffer对应的数据在ImageBuffer中的起始地址位置开始复制,完成第一个节的复制。此时ImageBuffer中的文件的数据满足文件运行的条件,但文件仍然不能真正的运行。
web判断图片类型 , 将file对象转换成buffer对象
阿豪
11-12 958
原文链接: web判断图片类型 , 将file对象转换成buffer对象 ...
PE加载过程 FileBuffer-ImageBuffer
qq_51600802的博客
09-22 879
PE加载过程 FileBuffer-ImageBuffer
filebuffer-imagebuffer
tell_me_404的博客
08-09 942
问题描述 映像关系 #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pfile = NULL; // 文件指针 DWORD file_size = 0; LPVOI
PE练习代码@硬盘上的PE文件-FileBuffer-ImageBuffer->NewBuffer->存盘
lygl35的博客
06-23 428
实现功能: 硬盘上的PE文件-FileBuffer(原封不动的复制到内存)-ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) //主程序 硬盘上的PE文件-FileBuffer(原封不动的复制到内存)-ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) #include <stdio.h> #include
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
接下来,"filebuffer->imagebuffer->newbuffer"的过程可能是从磁盘读取PE文件到内存(filebuffer),然后解析文件内容,将PE头和节区数据加载到imagebuffer。在这个过程中,可能涉及到对不同节区(section)的解析,...
6.PE文件之FileBufferImageBuffer转换
kernelhack
10-27 4133
FileBuffer可以看作是文件在硬盘时的数据,WinHex等工具展示出来就是这种状态. ImageBuffer可以看作是文件按照PE格式拉伸到内存中的状态,可以称为进程,OD等工具查看的就是文件在内存中的数据(已经完成重定位,IAT等修复). FileBuffer <-> ImageBuffer 下述过程不进行重定位,IAT等修复,只是将数据按照PE格式进行拉伸. FileBuffer -> ImageBuffer 1.根据IMAGE_OPTIONAL_HEADER.
file-buffer:将大数据缓冲到磁盘,提供java InputStreams和OutputStreams
05-14
文件缓冲区 概述 该软件包实现了FileBuffer类,该类可以用java.io.OutputStream写入并通过java.io.InputStream读取。 写入会进入缓冲区的尾部,而读取会从头部开始。 该实现可确保阅读不会超过写作,从而保留了java.io.InputStream的阻塞语义。 +--------------+ | | OutputStream.write -> | FileBuffer | -> InputStream.read | | +--------------+ FileBuffer旨在允许并发下载大
推荐文章标题:《使用filebuffer: 在内存中轻松处理文件的高效工具》
最新发布
gitblog_00095的博客
06-14 327
推荐文章标题:《使用filebuffer: 在内存中轻松处理文件的高效工具》 1、项目介绍 在日常编程中,我们经常需要处理文件输入和输出。filebuffer 是一个轻量级且高效的 Go 语言开源包,它提供了一系列类似文件接口(如 io.Reader,io.ReaderAt 和 io.Seeker 等),但与直接操作文件不同,filebuffer 的所有操作都在内存中完成。这意味着你可以快速地读取...
ReadFileToBuffer
02-25 449
<br />function ReadFileToBuffer(const AFileName: string; var AFileSize: Cardinal; var AData): Boolean;<br />var<br />FileHandle: THandle;<br />MappingHandle: THandle;<br />FindData: TWin32FindData;<br />MappingName: string;<br />TheCreationTime: TFileTime;
滴水逆向 FileBuffer---ImageBuffer
clayoa的博客
01-02 970
上节课说到遍历节表,这节课让我们把FileBuffer-->ImageBuffer 海哥让我们用notepad.exe因为他的文件对齐和内存对齐是不一样的,如果一样的化,FileBufferImageBuffer是一样的,为什么ImageBuffer还是不能执行呢?因为ImageBuffer的地址是我们malloc出来的,首地址不是ImageBase。 写代码之前我们需要掌握几个知识点 1.ImageBuffer的大小是多少? 我们不能直接把FileBuffer复制过来,因为notepad.
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1863
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
缓冲区(Buffer)
热门推荐
简单,坚持
06-08 4万+
##1、 概念介绍 ## 缓冲区(Buffer)就是在内存中预留指定大小的存储空间用来对I/O的数据做临时存储,这部分预留的内存空间叫缓冲区。 使用缓冲区有两个好处: 1、减少实际物理读写次数 2、缓冲区在创建时就被分配内存,这块内存区域一直被重用,可以减少动态分配和回收内存的次数 一般在实际过程中,我们一般是先将文件读入内存,再从内存写入到别的地方,这样在输入输出过程中我们都可以用缓存
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 2194
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
对java中FileInputStream、BufferInputStream的理解
qq_22847203的博客
03-07 9658
在计算机中文件是byte 、byte、byte地存储 FileInputStream在读取文件的时候,就是一个一个byte地读取, DataInputStream则是在FileInputStream的一个轻量级的包装类, BufferInputStream则是自带缓冲区,默认缓冲区大小为8X1024  通俗地讲就是: FileInputStream在读取文件的
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1779
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
深入学习PE文件结构FilebufferImagebuffer的C++实践
根据给出的文件信息,我们可以得知“滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码”是一个教学材料,它旨在通过一个具体的案例来教授PE文件格式的解析,以及如何通过C++语言来实现文件数据...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值