Pascal 手写PE结构的实现

最新推荐文章于 2021-08-22 09:05:09 发布
转载 最新推荐文章于 2021-08-22 09:05:09 发布 · 844 阅读 · 2

本文详细介绍了一个手动构建PE文件的过程,包括构建输入表、创建不同类型的区段、设置PE头及NT头等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

unit Unit2;

interface
uses
  windows,JwaWinNT;

const
Shellcodesize :dword = 391;           //shellcode的大小
PEHandleSize :DWORD = 512;            //PE头总大小
SectionSize :DWORD = 2000;
data: array[0..390] of byte = (       //shellcode数组
//自己加把。
);

procedure PackPE(lpszFileName2:PChar);
implementation
//DLL名,API名,缓存,RVA修正
function NewImputHandle(DllName,APIName:PAnsiChar;var Pdata:Pointer;dwFVA:DWORD):DWORD;
{
输入表构建的思路
×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
     IMAGE_IMPORT_DESCRIPTOR作为父结构,一共需要一个子结构
 IMAGE_THUNK_DATA,IMAGE_THUNK_DATA中还需要一个IMAGE_IMPORT_BY_NAME
 用于存放API信息
 IMAGE_IMPORT_DESCRIPTOR的OriginalFirstThunk指向一个IMAGE_THUNK_DATA
 IMAGE_IMPORT_DESCRIPTOR的Name指向一个Pansichar
 IMAGE_IMPORT_DESCRIPTOR的FirstThunk同样指向一个IMAGE_THUNK_DATA
 这里的所有指向全部使用rva
 编写代码时一层一层构建,构建完后修正指针并复制到用于存放的Pdata指针中
×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
}
var
  PDescriptor:PIMAGE_IMPORT_DESCRIPTOR;                //输入表父结构
  PThunk:PIMAGE_THUNK_DATA;                            //api子结构
  PNameHandle:PIMAGE_IMPORT_BY_NAME;                   //api名称结构

  PNameHandleSize:DWORD;                               //API名称大小
  PThunkSize:DWORD;                                    //api子结构大小
  PDescriptorSize:DWORD;                               //输入表父结构大小
const
  ZeroData:DWORD = 50;      //每个结构之间的间隙大小
begin
  //计算大小
  PNameHandleSize :=  SizeOf(IMAGE_IMPORT_BY_NAME) + Length(APIName) + ZeroData;
  PThunkSize := SizeOf(IMAGE_THUNK_DATA) + ZeroData;
  PDescriptorSize := SizeOf(IMAGE_IMPORT_DESCRIPTOR) + ZeroData;
  Result :=  PNameHandleSize + PThunkSize + PDescriptorSize + Length(APIName) + Length(DLLName) + ZeroData;
  GetMem(Pdata,Result);
  ZeroMemory(Pdata,Result);
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //构建IMAGE_IMPORT_BY_NAME
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //申请内存
  GetMem(PNameHandle,PNameHandleSize);
  ZeroMemory(PNameHandle,PNameHandleSize);
  //设置PIMAGE_IMPORT_BY_NAME
  PNameHandle.Hint := 0;
  //将API名称直接copy到结构中,Name是个不定长数组,需要在申请内存的时候多申请点空间
  Move(APIName^,PNameHandle.Name[0],Length(APIName));
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //构建IMAGE_THUNK_DATA
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //申请内存
  GetMem(PThunk,PThunkSize);
  ZeroMemory(PThunk,PThunkSize);
  //传说中的共用结构体,啊呸..
  PThunk.ForwarderString := dwFVA + PDescriptorSize + PThunkSize;
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //构建IMAGE_IMPORT_DESCRIPTOR
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  GetMem(PDescriptor,PDescriptorSize);
  ZeroMemory(PDescriptor,PDescriptorSize);
  PDescriptor.Union.OriginalFirstThunk := dwFVA + PDescriptorSize;
  PDescriptor.FirstThunk := PDescriptor.Union.OriginalFirstThunk;
  PDescriptor.TimeDateStamp := 0;
  PDescriptor.ForwarderChain := 0;
  PDescriptor.Name := dwFVA + PNameHandleSize + PThunkSize + PDescriptorSize;
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //组装内存    PDescriptor PThunk PNameHandle
  Move(PDescriptor^,Pdata^,PDescriptorSize);
  Inc(DWORD(Pdata),PDescriptorSize);
  Move(PThunk^,Pdata^,PThunkSize);
  Inc(DWORD(Pdata),PThunkSize);
  Move(PNameHandle^,Pdata^,PNameHandleSize);
  Inc(DWORD(Pdata),PNameHandleSize);
  Move(dllname^,Pdata^,Length(dllname));
  //恢复指针
  dec(DWORD(Pdata),PDescriptorSize);
  dec(DWORD(Pdata),PThunkSize);
  dec(DWORD(Pdata),PNameHandleSize);
  //×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
  //释放内存
  FreeMem(PNameHandle,PNameHandleSize);
  FreeMem(PThunk,PThunkSize);
  FreeMem(PDescriptor,PDescriptorSize);
end;


//缓存,缓存大小,区段名,文件位置,内存位置,区段大小
procedure NewSection(Data:PIMAGE_SECTION_HEADER;Size:DWORD;Name:PAnsiChar;PointerToRawData,VirtualAddress,SizeOfRawData,vero:DWORD);
var
  Section:IMAGE_SECTION_HEADER;
begin
  //复制区节名
  Move(Name^,Section.name,7);
  //设置偏移、大小
  Section.VirtualAddress := VirtualAddress;
  Section.PointerToRawData := PointerToRawData;
  Section.SizeOfRawData := SizeOfRawData;
  Section.Misc.VirtualSize := SizeOfRawData;

  //置零数据
  Section.PointerToRelocations := 0;
  Section.PointerToLinenumbers := 0;
 // Section.Misc.PhysicalAddress := 0;

  //设置区节属性
  if vero = 0 then           {代码节}
  begin
    Section.Characteristics := IMAGE_SCN_MEM_EXECUTE + IMAGE_SCN_CNT_CODE + IMAGE_SCN_MEM_READ;  //可执行代码节
  end
  else if vero = 1 then      {数据节}
  begin
    Section.Characteristics := IMAGE_SCN_CNT_INITIALIZED_DATA + IMAGE_SCN_MEM_READ + IMAGE_SCN_MEM_WRITE;//数据节
  end
  else if vero = 2 then      {资源节}
  begin
    Section.Characteristics := IMAGE_SCN_CNT_INITIALIZED_DATA + IMAGE_SCN_MEM_READ + IMAGE_SCN_MEM_SHARED; //资源节
  end
  else                       {未知ERROR}
  begin
    Section.Characteristics := 0;
  end;
  Move(Section,Data^,Size);
end;


procedure PackPE(lpszFileName2:PChar);
var
  PDosHeader:PIMAGE_DOS_HEADER;                   //dos头部结构
  PNtHeader:PIMAGE_NT_HEADERS32;                  //nt头结构
  hFile: THandle;                                 //文件指针
  dwBytes: DWORD;                                 //无用
  dwFVA:DWORD;                                    //文件偏移
  SectionHeader:array of PIMAGE_SECTION_HEADER;   //节表数组
  ZeroData:Pointer;                               //对齐数据指针
  ZeroSize:DWORD;                                 //对齐数据大小
  DosSize:DWORD;
  i:Integer;                                      //for
  imputData:Pointer;                              //输入表数据指针
  imputsize:DWORD;                                //输入表数据大小
const
  ZeroMaxSize: DWORD = 65535;                     //预留的最大对齐数据
  Vero :PAnsiChar = 'This program cannot be run in DOS mode.';  //win32信息
begin
   //初始化
   dwFVA := 0;
   DeleteFile(lpszFileName2);

   //创建对齐用数据
   GetMem(ZeroData,ZeroMaxSize);
   ZeroMemory(ZeroData,ZeroMaxSize);

   //构建dos头部
   DosSize := SizeOf(IMAGE_DOS_HEADER) + Length(Vero) + 4;
   GetMem(PDosHeader,DosSize);
   ZeroMemory(PDosHeader,DosSize);
   Inc(dword(PDosHeader),SizeOf(IMAGE_DOS_HEADER));
   Move(Vero^,PDosHeader^,Length(Vero));
   Dec(dword(PDosHeader),SizeOf(IMAGE_DOS_HEADER));
   Inc(dwFVA,DosSize);


   //复制PE头部
   GetMem(PNtHeader,SizeOf(IMAGE_NT_HEADERS32));
   ZeroMemory(PNtHeader,SizeOf(IMAGE_NT_HEADERS32));
   PDosHeader.e_lfanew := dwFVA;
   Inc(dwFVA,SizeOf(IMAGE_NT_HEADERS32));
   //清零数据表
   for i:= 0 to 15 do
   begin
     PNtHeader.OptionalHeader.DataDirectory[i].VirtualAddress := 0;
     PNtHeader.OptionalHeader.DataDirectory[i].Size := 0;
   end;


   //设置代码段大小
   PNtHeader.OptionalHeader.SizeOfCode := Shellcodesize;
   //设置数据段位置
   PNtHeader.OptionalHeader.BaseOfData := 0;
   //设置映像位置
   PNtHeader.OptionalHeader.ImageBase := $4000;
   //节对齐大小
   PNtHeader.OptionalHeader.SectionAlignment := 1000;
   //设置PE结构大小
   PNtHeader.FileHeader.SizeOfOptionalHeader := SizeOf(IMAGE_OPTIONAL_HEADER32);
   //设置节区数量
   pNTHeader.FileHeader.NumberOfSections := 1;
   //申请节表数组
   SetLength(SectionHeader,pNTHeader.FileHeader.NumberOfSections);
   //复制节表
   GetMem(SectionHeader[0],SizeOf(IMAGE_SECTION_HEADER));
   ZeroMemory(SectionHeader[0],SizeOf(IMAGE_SECTION_HEADER));
   //构建输入表
   imputsize := NewImputHandle('Kernel32.dll','ExitProcess',imputData,PEHandleSize);
   //shellcode的大小是391
   //申请.data段,大小2000,类型为1(代码段类型)
   NewSection(SectionHeader[0],SizeOf(IMAGE_SECTION_HEADER),'.test',PEHandleSize,PEHandleSize,SectionSize,0);
   Inc(dwFVA,SizeOf(IMAGE_SECTION_HEADER));
   //设置入口点信息
   PNtHeader.OptionalHeader.AddressOfEntryPoint := PEHandleSize + imputsize;
   //设置设置代码段起始位置
   PNtHeader.OptionalHeader.BaseOfCode := PEHandleSize;
   //设置导入表位置
   PNtHeader.OptionalHeader.DataDirectory[1].VirtualAddress := PEHandleSize;
   //设置输入表大小
   PNtHeader.OptionalHeader.DataDirectory[1].Size := imputsize;
   //计算对齐数据
   ZeroSize := PEHandleSize - dwFVA;
   //递增对齐数据
   Inc(dwFVA,ZeroSize);

   //初始化其他PE数据
   PDosHeader.e_magic := $5A4D;                                   //MZ
   PNtHeader.Signature := $4550;                                  //PE00
   PNtHeader.FileHeader.Machine := $14C;                          //cpu标志
   PNtHeader.OptionalHeader.Magic := $10B;                        //标志字
   PNtHeader.OptionalHeader.Subsystem := $2;                      //子系统
   PNtHeader.OptionalHeader.NumberOfRvaAndSizes := $10;           //项目个数
   PNtHeader.OptionalHeader.FileAlignment := 200;                 //文件对齐
   PNtHeader.OptionalHeader.SectionAlignment := 200;              //节对齐
   PNtHeader.OptionalHeader.SizeOfImage := PEHandleSize;          //映像大小
   PNtHeader.OptionalHeader.MajorOperatingSystemVersion := 5; //子系统版本
   PNtHeader.FileHeader.Characteristics := $103;                  //DLL标志

   //PE结构构建完毕...下面开始进行文件操作

   //创建文件
   hFile := CreateFile(lpszFileName2, GENERIC_WRITE, FILE_SHARE_READ, nil, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
   //写入dos头部
   WriteFile(hFile, PDosHeader^, DosSize, dwBytes, nil);
   //写入NT头部
   WriteFile(hFile, PNtHeader^, SizeOf(IMAGE_NT_HEADERS32), dwBytes, nil);
   //写入节区信息
   WriteFile(hFile, SectionHeader[0]^, SizeOf(IMAGE_SECTION_HEADER), dwBytes, nil);
   //写入补齐数据
   WriteFile(hFile, ZeroData^, ZeroSize, dwBytes, nil);
   //写入输入表节
   WriteFile(hFile, imputData^, imputsize, dwBytes, nil);
   //写入shellcode
   WriteFile(hFile, data, Shellcodesize, dwBytes, nil);
   //计算节对齐,这里可以忽略
   ZeroSize := SectionSize - Shellcodesize - imputsize;
   //补齐节对齐数据
   WriteFile(hFile, ZeroData^, ZeroSize + 10, dwBytes, nil);
   //关闭文件
   CloseHandle(hFile);

   //释放Dos头
   FreeMem(PDosHeader,DosSize);
   //释放NT头
   FreeMem(PNtHeader,SizeOf(IMAGE_NT_HEADERS32));
   //释放节表信息
   FreeMem(SectionHeader[0],SizeOf(IMAGE_SECTION_HEADER));
   //释放对齐数据
   FreeMem(ZeroData,ZeroMaxSize);
   //释放输入表结构
   FreeMem(imputData,imputsize);
end;

end.

 

转自:http://www.oschina.net/code/snippet_214684_7538


 

pe格式从入门到图形化显示(二)-文件头
Mrack的博客
04-05 973
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE格式文件头(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。Windows PE格式文件头包含以下字段:Signature(签名):用于确定文件是否为PE格式文件,通常为"PE\0\0"或"PE\0\0\0\0"。
免杀基础之一文学废PE文件格式
Gamma_lab的博客
03-31 4808
前言 PE文件的全称是Portable Executable ,意为可移植的可执行文件,常见的有EXE,DLL,SYS,COM,OCX,PE文件是微软Windows操作系统上的程序文件。 简单来理解,就是一种数据结构。我们知道知道CPU只认识二进制数,所以可执行文件保存在磁盘中都是以二进制数保存的,不过为了查看,所以市面上的编辑器都是用16进制显示的,比如下面这样,使用010Editer打开一个PE文件: PE文件结构如下: 有的数据结构是用来执行的代码,有的数据结构是用来保存数据。 基础知识 基地址
用Delphi在2000和XP/2003下从Ring3进入Ring0的无驱动解决方法by LYSoft LiuYang
LYSoft
11-20 3905
这段代码很有意义的父亲纪念版,它是在我一生人中最痛苦的时期所开发的。唉,一切都成为永恒的怀念...... 注意:需要JEDI Win32 API(JWA)库支持另外,该方法不适用于PAE模式(WinXP SP2配备AMD64或EMT64处理器的系统),而且还不能支持Win2003 SP1 uses  Windows, Dialogs, SysUtils, NTDDK,  JwaWinNT, Jwa
逆向知识点
qq_42021840的博客
01-18 1083
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
PE文件之IMAGE_FILE_HEADER
jiangqin115的专栏
03-30 2331
IMAGE_NT_HEADERS的第一个成员是一个DWORD类型的PE签名,第二个成员就是IMAGE_FILE_HEADER了。IMAGE_FILE_HEADER的大小为20字节。第一个成员为WORD类型的Machine,这个通常为0x014C(intel 386系列CPU);第二个成员为WORD类型的NumberOfSections,即文件中节的数量,这个对应的文件具体的节区数量。第三个成员为D...
PE知识学习(二,三)
oathevil的专栏
08-04 725
<br />PE知识学习(二)<br /><br /><br />上一贴我们了解了pe头部的dos部首部分,我们知道在这个结构里e_magic和e_lfanew这两个域对我们来说很重要.同时我们也提到了e_lfanew域指向IMAGE_NT_HEADERS32结构pe文件的偏移.<br />补充声明一下:这里的知识是适用于32位字的机器上的.<br /><br />下面我们接着看IMAGE_NT_HEADERS32结构,这个部分在pe文件的学习里至关重要.<br /><br />IMAGE_NT_HEAD
Pascal编程与结构化入门
03-19
内容涵盖了Pascal程序的基本结构,包括程序头、声明、定义和可执行程序主体的组织方式。详细讲解了程序的各个组成部分,如标签声明、常量定义、类型定义、变量声明、过程声明和函数声明等。书中还强调了模块化编程的...
动画演示学习学习数据结构(c,pascal两种语言实现
11-01
本资源“动画演示学习学习数据结构(c,pascal两种语言实现)”提供了对数据结构的深入理解和实践,通过动画演示和源代码实现了两种经典的编程语言——C和Pascal实现方式。 首先,我们要理解数据结构的基本概念。...
Pascal编译器设计与实现导论
最新发布
06-28
本书深入探讨了Pascal编译器的设计与实现,涵盖从词法分析到代码生成的各个阶段。通过一个完整的Pascal子集编译器实例,书中详细讲解了编译原理和技术,包括词法分析器、语法分析器、语义分析及代码生成等内容。此外...
数据结构Pascal
04-15
经典的数据结构教材,严蔚敏著,一下经典算法C语音版没有,如消递归
pascal-language-server:Pascal的LSP服务器实现
05-10
支持的Pascal变体的服务器实现,包括Object Pascal。 它使用Lazarus的作为后端。 特征 实施仍不完整且不稳定。 当前仅支持代码完成。 欢迎任何帮助和反馈。 客户群 要从Emacs中的lsp-mode使用服务器,请安装单独的...
将exe文件彻底隐藏起来
10-25
将exe文件彻底隐藏起来,包括XP任务管理器,XP资源管理器,且不动用XP的注册表。
读取PE文件头的一段小程序
weixin_34293911的博客
03-29 182
给自己定一个目标,要实现一个能复制自己的小程序,所以,首先,要认真学习PE文件结构,一下的程序读取一个EXE文件的文件头信息 代码 #include<iostream.h>#include<windows.h>voidmain(){HANDLEhFile;hFile=CreateFile("c:\\notepad.exe",GENERIC...
PE Header中的FIleHeader(文件头)
weixin_34007291的博客
06-28 630
IMAGE_FILE_HEADER STRUCT Machine WORD ? NumberOfSections WORD ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader WORD ? Characteristic...
IntelliJ IDEA(九) :酷炫插件系列
weixin_30908649的博客
05-18 761
最近项目比较忙,很久没有更新IDEA系列了,今天介绍一下IDEA的一些炫酷的插件,IDEA强大的插件库,不仅能给我们带来一些开发的便捷,还能体现我们的与众不同。 1.插件的安装 打开setting文件选择Plugins选项 Ctrl + Alt + S File -> Setting 分别是安装JetBrains插件,第三方插件,本地已下载的插件包。详情见往期关于s...
IDEA插件系列(56):CamelCase插件——驼峰转换
热门推荐
二木成林
08-22 1万+
1.插件介绍 CamelCase插件。 在 kebab-case、SNAKE_CASE、PascalCase、camelCase、snake_case 或 space case 之间轻松切换。请参阅编辑菜单或使用 ⇧ + ⌥ + U / Shift + Alt + U。允许禁用某些转换或在首选项中更改它们的顺序。 2.安装方式 第一种方式,是在IDEA上搜索插件进行安装,会适配当前IDEA的版本。 第二种安装方式是使用离线插件进行安装。 插件下载地址:https://plugins.jetb
C语言和Pascal数据结构算法实现演示系统
在本系统中,会介绍C语言和Pascal语言实现的常见数据结构算法,它们是计算机科学的核心概念,对于理解程序如何高效地处理信息至关重要。 #### 2. C语言与Pascal语言 - **C语言**:是一种广泛使用的通用计算机编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值