24小时热门版块排行榜

汕头大学海洋科学接受调剂

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] 一段仿真PE加载器行为的程序[转贴]

以下程序假定PE文件是合法的，所以很多地方都没有提供容错处理

bool PELoader(char *lpStaticPEBuff, long lStaticPELen)
{
  long lPESignOffset = *(long *)(lpStaticPEBuff + 0x3c);
  IMAGE_NT_HEADERS *pINH = (IMAGE_NT_HEADERS *)(lpStaticPEBuff + lPESignOffset);

  //取加载到内存中大小
  long lImageSize = pINH->OptionalHeader.SizeOfImage;
  char *lpDynPEBuff = new char[lImageSize];
  if(lpDynPEBuff == NULL)
  {
return false;
  }
  memset(lpDynPEBuff, 0, lImageSize);

  //取PE文件的节数量
  long lSectionNum = pINH->FileHeader.NumberOfSections;

  //计算PE头信息及节表信息占用内存大小
  long lPEHeadSize = lPESignOffset + sizeof(IMAGE_NT_HEADERS) + lSectionNum * sizeof(IMAGE_SECTION_HEADER);

  //加载PE头部信息及其各个节表
  memcpy(lpDynPEBuff, lpStaticPEBuff, lPEHeadSize);

  //加载各个节
  long lFileAlignMask = pINH->OptionalHeader.FileAlignment - 1;       //各节在磁盘中的对齐掩码
  long lSectionAlignMask = pINH->OptionalHeader.SectionAlignment - 1;  //各节在load后内存中的对齐掩码
  IMAGE_SECTION_HEADER *pISH = (IMAGE_SECTION_HEADER *)((char *)pINH + sizeof(IMAGE_NT_HEADERS));
  for(int nIndex = 0; nIndex < lSectionNum; nIndex++, pISH++)
  {
//判定各节的对齐属性，合法不
if((pISH->VirtualAddress & lSectionAlignMask) || (pISH->SizeOfRawData & lFileAlignMask))
{
   //出现非法节
   delete lpDynPEBuff;
   return false;
}

//加载改节
memcpy(lpDynPEBuff + pISH->VirtualAddress, lpStaticPEBuff + pISH->PointerToRawData, pISH->SizeOfRawData);
  }

  //修改导入表，导入程序执行过程中要用到的API函数地址
  if(pINH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size > 0) //大于0说明有导入表
  {
IMAGE_IMPORT_DESCRIPTOR *pIID = (IMAGE_IMPORT_DESCRIPTOR *)(lpDynPEBuff + \
   pINH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

//循环扫描每个将有函数导入的dll
for(; pIID->Name != NULL; pIID++)
{
   /*曾看过OllyDump源代码，那里在重建导入表的时候，并没有初始化OriginalFirstThunk这个字段,
   所以这里也不对OriginalFirstThunk这个字段进行处理了*/
   IMAGE_THUNK_DATA *pITD = (IMAGE_THUNK_DATA *)(lpDynPEBuff + pIID->FirstThunk);

   HINSTANCE hInstance = LoadLibrary(lpDynPEBuff + pIID->Name);
   if(hInstance == NULL)
   {
      //导入这个dll失败
      delete lpDynPEBuff;
      return false;
   }

   //循环扫描dll内每个被导入函数
   for(; pITD->u1.Ordinal != 0; pITD++)
   {
      FARPROC fpFun;
      if(pITD->u1.Ordinal & IMAGE_ORDINAL_FLAG32)
      {
      //函数是以序号的方式导入的
      fpFun = GetProcAddress(hInstance, (LPCSTR)(pITD->u1.Ordinal & 0x0000ffff));
      }
      else
      {
      //函数是以名称方式导入的
      IMAGE_IMPORT_BY_NAME * pIIBN = (IMAGE_IMPORT_BY_NAME *)(lpDynPEBuff + pITD->u1.Ordinal);
      fpFun = GetProcAddress(hInstance, (LPCSTR)pIIBN->Name);
      }

      if(fpFun == NULL)
      {
      //导出这个函数失败
      delete lpDynPEBuff;
      return false;
      }

      pITD->u1.Ordinal = (long)fpFun;
   }

   FreeLibrary(hInstance);
}
  }

  //重定位处理
  if(pINH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size > 0)
  {
//取第一个重定位块
IMAGE_BASE_RELOCATION *pIBR = (IMAGE_BASE_RELOCATION *)(lpDynPEBuff + \
   pINH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);

long lDifference = (long)lpDynPEBuff - pINH->OptionalHeader.ImageBase;

//循环每个重定位块
for(; pIBR->VirtualAddress != 0; )
{
   char *lpMemPage = lpDynPEBuff + pIBR->VirtualAddress;
   long lCount = (pIBR->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) >> 1;

   //对这个页面中的每个需重定位的项进行处理
   short int *pRelocationItem = (short int *)((char *)pIBR + sizeof(IMAGE_BASE_RELOCATION));
   for(int nIndex = 0; nIndex < lCount; nIndex++)
   {
      int nOffset = pRelocationItem[nIndex] &0x0fff;
      int nType = pRelocationItem[nIndex] >> 12;

      //虽然windows定义了很多重定位类型，但是在PE文件中只能见到0和3两种
      if(nType == 3)
      {
      *(long *)(lpDynPEBuff + nOffset) += lDifference;
      }
      else if(nType == 0)
      {
      //什么也不做
      }
   }

   //pIBR指向下一个重定位块
   pIBR = (IMAGE_BASE_RELOCATION *)(pRelocationItem + lCount);
}

  }

  delete lpDynPEBuff;

  return true;
}

[ Last edited by 幻影无痕 on 2006-11-11 at 07:31 ]

回复此楼

» 猜你喜欢

生物学308分求调剂（一志愿华东师大）接受跨专业已经有7人回复
求调剂已经有11人回复
085600材料与化工329分求调剂已经有13人回复
化学070300 求调剂已经有18人回复
085600材料与化工349分求调剂已经有12人回复
273求调剂已经有5人回复
一志愿211，化学学硕，310分，本科重点双非，求调剂已经有21人回复
考研英一数一338分已经有8人回复
302求调剂已经有10人回复
327求调剂已经有14人回复

1楼 2006-08-23 13:05:28

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 生物学308分求调剂（一志愿华东师大）接受跨专业 +7	相信必会光芒万� 2026-04-13	7/350	2026-04-13 19:49 by nxybio2007
[考研] 310求调剂 +14	666真好 2026-04-11	16/800	2026-04-13 16:44 by 89436494
[考研] 245求调剂 +3	冰糖橘?汽水 2026-04-13	7/350	2026-04-13 16:42 by 冰糖橘?汽水
[考研] 071000生物学，一志愿深圳大学296分，求调剂 +14	TIckLw 2026-04-06	15/750	2026-04-13 10:59 by 学zh
[考研] 279求调剂 +9	张番茄不炒蛋 2026-04-11	9/450	2026-04-12 22:22 by paopaotu326
[考研] 电气工程专硕320求调剂 +5	小麻子111 2026-04-10	5/250	2026-04-12 10:47 by zhouyuwinner
[考研] 求调剂，一志愿材料科学与工程985，365分， +8	材化李可 2026-04-11	10/500	2026-04-12 08:42 by 852137818
[考研] 332求调剂 +14	蕉蕉123 2026-04-10	14/700	2026-04-12 00:27 by 蓝云思雨
[考研] 0860004 求调剂 309分 +9	Yin DY 2026-04-08	9/450	2026-04-11 22:55 by dongdian1
[考研] 070300化学279求调剂 +19	哈哈哈^_^ 2026-04-08	20/1000	2026-04-11 20:43 by stoner78
[考研] 化学308分求调剂 +22	你好明天你好 2026-04-07	24/1200	2026-04-11 11:14 by ChemPharm
[考研] 农学0904 312求调剂 +6	Say Never 2026-04-10	6/300	2026-04-11 10:33 by wwj2530616
[考研] 298求调剂 +9	钉叮咚冬瓜 2026-04-07	11/550	2026-04-11 09:35 by zhq0425
[考研] 0854调剂 +4	长弓傲 2026-04-09	4/200	2026-04-11 09:18 by 猪会飞
[考研] 调剂申请086000一志愿西北农林科技大学生物与医药320分-本科齐鲁工业大学 +3	美美女士 2026-04-09	3/150	2026-04-10 10:31 by liuhuiying09
[考研] 278求调剂 +27	范婷娜 2026-04-07	31/1550	2026-04-09 20:49 by zhouxiaoyu
[考研] 0703化学求调剂 +21	不知名的小卅 2026-04-08	21/1050	2026-04-09 18:55 by l_paradox
[考研] 332，085601求调剂 +12	ydfyh 2026-04-09	14/700	2026-04-09 17:28 by wp06
[考研] 考研求调剂 +4	雯??? 2026-04-08	4/200	2026-04-08 21:44 by 土木硕士招生
[考研] 一志愿211，化学学硕，310分，本科重点双非，求调剂 +10	努力奋斗112 2026-04-07	10/500	2026-04-08 15:01 by screening