自己写的一个pe loader，申请邀请码-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 自己写的一个pe loader，申请邀请码 0.00雪花

发表于: 2009-11-4 12:27 4479

[旧帖] 自己写的一个pe loader，申请邀请码 0.00雪花

maplelee

2009-11-4 12:27

4479

本人接触pe文件格式不久，参考看雪上的一些资料写了一个pe loader，主要是通过把需要加载的文件的所所有section加载到相应的RVA上，然后进行重定位处理、导入表和导出表处理、资源段处理。由于本loader.exe会被加载到0x0f400000处，因此可以把0x400000给被加载的文件预留了，这样可以避免重定位所带来的性能损耗。导入表的处理主要是通过调用GetProcAddress获取导入表中函数的地址。导出表一般仅在dll中使用，而此主要是用于load exe文件，所以不用做任何处理。资源段处理资料不多，我这里好像有些问题，加载console程序可以正常执行，但是当加载gui程序则不能成功。望高手能指教一二。

执行结果：

加载cmd.exe会提示“系统无法在消息文件中为 Application 找到消息号为 0x2378 的消息文本“错误，不知道说何原因，也望高手指点一二。

主要代码：

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

loader.zip （125.22kb，133次下载）
cmd.PNG （47.88kb，667次下载）

收藏・6

免费・7

支持

最新回复 (16)
木木爱雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	木木爱 2 楼楼主比较厉害 2009-11-4 13:04 0
vsong 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	vsong 3 楼 lz强人，我是来学习的。是不是部分dll文件没有加载成功，cmd依赖的dll文件应该不止这些，比如你得程序中显示卷、目录信息等操作都失败了。 2009-11-4 13:33 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 4 楼分别用dependency walker和Stud_PE察看了cmd.exe，两个结果如下，比较奇怪为什么依赖的dll会不一样，还是Stud_PE察看的结果不正确呢？上传的附件： pe.PNG （11.83kb，650次下载） depends.PNG （29.39kb，653次下载） 2009-11-4 13:53 0
wpwswang 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	wpwswang 5 楼都是些大牛，厉害 2009-11-4 15:42 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 6 楼坛主、斑竹等大牛们，帮帮小弟看看是哪里出问题了？谢啦 2009-11-4 17:37 0
cseeg 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cseeg 7 楼牛人来得看到晕了 2009-11-5 00:13 0
recosong 雪币： 21 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	recosong 8 楼厉害学习了有收获 2009-11-5 09:36 0
glxrz 雪币： 505 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 0 关注私信	glxrz 9 楼支持楼主，进来学习 2009-11-5 09:58 0
KillBC 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	KillBC 10 楼如果loader自身被加载到高地址（/fixed /base），把0x400000预留出来。我觉得使用CreateFile/CreateFileMapping/MapViewOfFileEx更方便。 CreateFileMapping 使用 SEC_IMAGE 选项，这样Image的加载，各个section的映射都由系统完成了，包括设置属性。最后自己fixup import table就OK了。 2009-11-6 16:59 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 11 楼这确实是个好方法,会简化代码,但是一些内部细节同时也会被这些接口给屏蔽了,有关rv\rav等一些知识点就没办法涉及到,所以后来采用自己把sections加载到内存中.本来LoadLibrary和GetProAddress也想通过自己的代码来替代该功能的,不过为了方便就没有这么做了,呵呵. 2009-11-6 17:39 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 12 楼谢谢看雪的支持，希望以后能和大家一起进步 2009-11-9 20:07 0
KillBC 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	KillBC 13 楼啥时候才能转正啊～～ 2010-2-3 10:23 0
whuwy 雪币： 520 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	whuwy 1 14 楼啥时候才能转正啊 2010-2-5 15:39 0
dongy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	dongy 15 楼强悍啊坚决顶楼主 2010-2-13 17:03 0
klclkk 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	klclkk 16 楼厉害，学习了 2010-2-20 22:28 0
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 17 楼楼主牛人，学习了 2011-10-4 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

maplelee

发帖

回帖

RANK

关注

私信

他的文章

自己写的一个pe loader，申请邀请码 4480

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
木木爱雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	木木爱 2 楼楼主比较厉害 2009-11-4 13:04 0
vsong 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	vsong 3 楼 lz强人，我是来学习的。是不是部分dll文件没有加载成功，cmd依赖的dll文件应该不止这些，比如你得程序中显示卷、目录信息等操作都失败了。 2009-11-4 13:33 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 4 楼分别用dependency walker和Stud_PE察看了cmd.exe，两个结果如下，比较奇怪为什么依赖的dll会不一样，还是Stud_PE察看的结果不正确呢？上传的附件： pe.PNG （11.83kb，650次下载） depends.PNG （29.39kb，653次下载） 2009-11-4 13:53 0
wpwswang 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	wpwswang 5 楼都是些大牛，厉害 2009-11-4 15:42 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 6 楼坛主、斑竹等大牛们，帮帮小弟看看是哪里出问题了？谢啦 2009-11-4 17:37 0
cseeg 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cseeg 7 楼牛人来得看到晕了 2009-11-5 00:13 0
recosong 雪币： 21 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	recosong 8 楼厉害学习了有收获 2009-11-5 09:36 0
glxrz 雪币： 505 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 0 关注私信	glxrz 9 楼支持楼主，进来学习 2009-11-5 09:58 0
KillBC 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	KillBC 10 楼如果loader自身被加载到高地址（/fixed /base），把0x400000预留出来。我觉得使用CreateFile/CreateFileMapping/MapViewOfFileEx更方便。 CreateFileMapping 使用 SEC_IMAGE 选项，这样Image的加载，各个section的映射都由系统完成了，包括设置属性。最后自己fixup import table就OK了。 2009-11-6 16:59 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 11 楼这确实是个好方法,会简化代码,但是一些内部细节同时也会被这些接口给屏蔽了,有关rv\rav等一些知识点就没办法涉及到,所以后来采用自己把sections加载到内存中.本来LoadLibrary和GetProAddress也想通过自己的代码来替代该功能的,不过为了方便就没有这么做了,呵呵. 2009-11-6 17:39 0
maplelee 雪币： 66 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maplelee 1 12 楼谢谢看雪的支持，希望以后能和大家一起进步 2009-11-9 20:07 0
KillBC 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	KillBC 13 楼啥时候才能转正啊～～ 2010-2-3 10:23 0
whuwy 雪币： 520 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	whuwy 1 14 楼啥时候才能转正啊 2010-2-5 15:39 0
dongy 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	dongy 15 楼强悍啊坚决顶楼主 2010-2-13 17:03 0
klclkk 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	klclkk 16 楼厉害，学习了 2010-2-20 22:28 0
wangshen 雪币： 172 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 0 关注私信	wangshen 17 楼楼主牛人，学习了 2011-10-4 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复