首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
5
[原创]PEedit
发表于: 2013-12-2 21:32 7818

[原创]PEedit

GhostDL 活跃值
2013-12-2 21:32
7818

PEedit总结
                                                                               ——千里之行,始于足下

1.引言
        1.1编写目的                                       
               该工具模仿LoadPE,目的是通过做项目来了解PE结构。
        1.2背景
               说明:
               a.项目名称:PEedit
               b.任务提出者:A1pass,编写者:GhostDL
        1.3 开发工具
               VS2012 Update3、OllDbg
        1.4 参考资料
               a.LordPE结构说明
               b.《黑客免杀攻防》
               c.《Windows PE权威指南》
               d.网上相关资料
2.实际开发结果
        2.1产品结构图
        
       2.2版本
               当前版本为Bate1.0版
       2.3主要功能
               a.查看及编辑PE基本信息
               b.查看及编辑目录表结构信息
               c.查看区段基本信息
               d.查看输入表、输出表、资源表及重定位表信息
               e.可用16Edit定位编辑
               f.加密伪装壳
       2.4性能
               性能比较稳定,能够接受压力测试,可以抵御变态的PE文件
       2.5进度
               进度比较慢,以后慢慢完善。
3.开发
      3.1程序文件列表
      
      3.2相关代码
             a.工具函数类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
/******************************************************************/
/* 函数功能:多字节转宽字节,使用后需要delete                         */
/* 参数: 多字节                                                    */
/* 返回值:WCHAR*                                                   */
/*******************************************************************/
WCHAR*  MultiByte2WideChar(CHAR* multiChar)
{
    DWORD dwNum = MultiByteToWideChar(CP_ACP,0,multiChar,-1,NULL,0);
    WCHAR  *wideChar = new WCHAR[dwNum];
    MultiByteToWideChar (CP_ACP, 0, multiChar, -1, wideChar, dwNum);
    return wideChar;
}
  
/*******************************************************************/
/* 函数功能:宽字节转多字节,使用后需要delete                        */
/* 参数: 多字节                                                    */
/* 返回值:CHAR*                                                    */
/*******************************************************************/
CHAR* WideChar2MultiByte(WCHAR *wcChar )
{
    //宽字节转换多字节
DWORD dwNum =     WideCharToMultiByte(CP_OEMCP,NULL,wcChar,-1,NULL,0,NULL,FALSE);
    char *psText;
    psText = new char[dwNum];
    WideCharToMultiByte (CP_OEMCP,NULL,wcChar,-1,psText,dwNum,NULL,FALSE);
    return psText;
}
  
  
/*******************************************************************/
/* 函数功能:判断是否为PE文件                                       */
/* 参数:lpImage文件映像基址、文件大小                               */
/* 返回值:TURE或FALSE                                              */
/*******************************************************************/
BOOL IsPE_File(PVOID lpImage)
{
    PIMAGE_DOS_HEADER pDos  = (PIMAGE_DOS_HEADER)lpImage;
    if ( pDos->e_magic != IMAGE_DOS_SIGNATURE )
        return FALSE;
  
    PIMAGE_NT_HEADERS32 pNT32 = (PIMAGE_NT_HEADERS32)((LONG)lpImage+pDos->e_lfanew);
    if ( pNT32->Signature != IMAGE_NT_SIGNATURE )
        return FALSE;
  
    return TRUE;
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取真正内存地址                                       */
/* 参数:RVA相对虚地址、装入内存基址、PE文件头                      */
/* 返回值:真正内存地址                                             */
/*******************************************************************/
DWORD RVA2Offset( DWORD dwRVA, PVOID lpImage, PIMAGE_NT_HEADERS32 pNT32 )
{
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT32);
    for ( DWORD i=0; i<pNT32->FileHeader.NumberOfSections; i++ )
    {
        if ( dwRVA>=pSection[i].VirtualAddress && dwRVA<pSection[i].VirtualAddress+pSection[i].Misc.VirtualSize )
        {
            DWORD dwR_Offset = dwRVA - pSection[i].VirtualAddress;
            DWORD dwOffset   =(DWORD)lpImage+ dwR_Offset+ pSection[i].PointerToRawData;
            return dwOffset;
        }
    }
    return 0;
}
  
  
/*******************************************************************/
/* 函数功能:判断在哪个区段                                         */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:所在区段的RVA                                            */
/*******************************************************************/
DWORD GetRvaInWhitchSection( DWORD dwRVA,PVOID lpImage,PIMAGE_NT_HEADERS32 pNT32)
{
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT32);
    for (DWORD i=0; i<pNT32->FileHeader.NumberOfSections; i++)
    {
        if (dwRVA>=pSection[i].VirtualAddress && dwRVA<pSection[i].VirtualAddress+pSection[i].Misc.VirtualSize)
        {
            return (DWORD)&pSection[i];
        }
    }
    return 0;
}
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取PIMAGE_NT_HEADERS32                                */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_NT_HEADERS32                                      */
/*******************************************************************/
PIMAGE_NT_HEADERS  GetNtHeaders(LPVOID lpImage)
{
    PIMAGE_DOS_HEADER   pDos  = (PIMAGE_DOS_HEADER)lpImage;
    PIMAGE_NT_HEADERS32 pNT32 = (PIMAGE_NT_HEADERS32)((LONG)lpImage+pDos->e_lfanew);
    return pNT32;
}
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取PIMAGE_FILE_HEADER                                 */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_FILE_HEADER                                       */
/*******************************************************************/
PIMAGE_FILE_HEADER   GetFileHeader(LPVOID lpImage)
{
    if(!IsPE_File(lpImage))
        return NULL;
    PIMAGE_NT_HEADERS32 pNT32 = GetNtHeaders(lpImage);
    PIMAGE_FILE_HEADER pImageHeader = &(pNT32->FileHeader);
    return pImageHeader;
}
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取文件扩展头                                         */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_OPTIONAL_HEADER                                   */
/*******************************************************************/
PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID lpImage)
{
    if(!IsPE_File(lpImage))
        return NULL;
    PIMAGE_NT_HEADERS32 pNT32 = GetNtHeaders(lpImage);
    PIMAGE_OPTIONAL_HEADER pOH=&pNT32->OptionalHeader;
    return pOH;
}
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取数据目录表                                         */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_DATA_DIRECTORY                                    */
/*******************************************************************/
PIMAGE_DATA_DIRECTORY GetDataDirctory(LPVOID lpImage)
{
    PIMAGE_NT_HEADERS32 pNT32 = GetNtHeaders(lpImage);
    PIMAGE_DATA_DIRECTORY pDir = (PIMAGE_DATA_DIRECTORY)pNT32->OptionalHeader.DataDirectory;
    return pDir;
}
  
  
  
  
  
/*******************************************************************/
/* 函数功能:获取导入表                                             */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_IMPORT_DESCRIPTOR                                 */
/*******************************************************************/
PIMAGE_IMPORT_DESCRIPTOR GetImportTable(LPVOID lpImage)
{
    PIMAGE_NT_HEADERS32 pNT32 = GetNtHeaders(lpImage);
    PIMAGE_DATA_DIRECTORY pDir = GetDataDirctory(lpImage);
    PIMAGE_DATA_DIRECTORY pImportDir = pDir+IMAGE_DIRECTORY_ENTRY_IMPORT;
    PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)RVA2Offset(pImportDir->VirtualAddress, lpImage, pNT32);
    return pImport;
}
  
  
/*******************************************************************/
/* 函数功能:获得第一个节头                                         */
/* 参数:lpImage文件映像基址                                        */
/* 返回值:PIMAGE_SECTION_HEADER                                    */
/*******************************************************************/
PIMAGE_SECTION_HEADER GetFirstSectionHeader(LPVOID lpImage)
{
    PIMAGE_NT_HEADERS pNtHeader=GetNtHeaders(lpImage);
    if (pNtHeader!=NULL)
    {
        return IMAGE_FIRST_SECTION(pNtHeader);  //根据NT头得到首个SECTION的宏
    }
    return NULL;
}
  
  
  
/*******************************************************************/
/* 函数功能:关闭打开的文件                                         */
/* 参数:MAP文件结构体                                              */
/* 返回值:无                                                       */
/*******************************************************************/
void UnLoadFile(PMAP_FILE_STRUCT pstMapFile)
{
    if(pstMapFile->ImageBase)
        UnmapViewOfFile(pstMapFile->ImageBase);
  
    if(pstMapFile->hMapping)
        CloseHandle(pstMapFile->hMapping);
  
    if(pstMapFile->hFile)
        CloseHandle(pstMapFile->hFile);
  
}
  
  
/*******************************************************************/
/* 函数功能:加载文件                                               */
/* 参数:文件绝对地址, MAP文件结构体                                */
/* 返回值:无                                                       */
/*******************************************************************/
BOOL  LoadFileR(LPTSTR lpFilename,PMAP_FILE_STRUCT pstMapFile)
{
  
    HANDLE hFile;
    HANDLE hMapping;
    LPVOID ImageBase;
  
    memset(pstMapFile,0,sizeof(MAP_FILE_STRUCT));
  
    hFile=CreateFile(lpFilename,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING, 
        FILE_ATTRIBUTE_NORMAL,0);
  
    if (!hFile)                                   
        return FALSE;
  
    hMapping=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);
    if(!hMapping)
    {                                                                        
        CloseHandle(hFile);
        return FALSE;
    }
    ImageBase=MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0);
    if(!ImageBase)
    {                                                                        
        CloseHandle(hMapping);
        CloseHandle(hFile);
        return FALSE;
    }
    pstMapFile->hFile=hFile;
    pstMapFile->hMapping=hMapping;
    pstMapFile->ImageBase=ImageBase;
    return TRUE;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
LRESULT CALLBACK MainDlgProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
    int wmId, wmEvent;
    switch (message) 
    {
    case WM_DROPFILES:
        {
            int FileNum = DragQueryFile((HDROP)wParam,-1,szFilePath,0);//得到拖动文件个数
            if(FileNum!=1)
                return FALSE;
            DragQueryFile((HDROP)wParam, 0, szFilePath, MAX_PATH);
            stMapFile.tFilePath = szFilePath; 
            SendDlgItemMessage(hWnd,IDC_FILEPATH_EDIT,WM_SETTEXT,MAX_PATH,(LPARAM)szFilePath);
 
            UnLoadFile(&stMapFile);
            if(!LoadFileR(szFilePath,&stMapFile))
            {
                MessageBox(hWnd,_T("Load file faild! :("),_T("PEInfo_Example"),MB_OK);
                EnableEditCtrl(hWnd,FALSE);
                return FALSE;
            }
            if(!IsPE_File(stMapFile.ImageBase))
            {
                MessageBox(hWnd,_T("Invalid PE Format file!:("),_T("PEInfo_Example"),MB_OK);
                UnLoadFile(&stMapFile);
                EnableEditCtrl(hWnd,FALSE);
                return FALSE;
            }
            EnableEditCtrl(hWnd,TRUE);      
            ShowFileHeaderInfo(hWnd);
            ShowOptionHeaderInfo(hWnd);
            return TRUE;
        }
    case WM_INITDIALOG:
        hIcon=LoadIcon(hInst,MAKEINTRESOURCE(IDI_SMALL));
        SendMessage(hWnd,WM_SETICON,ICON_SMALL,(LPARAM)hIcon);
        EnableEditCtrl(hWnd,FALSE);
        return TRUE;
 
    case WM_COMMAND:
        wmId    = LOWORD(wParam); 
        wmEvent = HIWORD(wParam); 
 
        switch (wmId)
        {
        // 打开文件
        case IDC_OPEN_BTN:
            OpenFileFun(hWnd);
            return TRUE;
        // 显示位置计算器
        case IDC_CLAC:
                DialogBox(hInst,MAKEINTRESOURCE(IDD_CALCPOS_DLG), hWnd, (DLGPROC)CalcPosDlgProc);
                return TRUE;
        // 保存主界面PE修改信息
        case IDC_SAVE_BTN:
                OnSavePE(hWnd);
                return TRUE;
        // 显示区段对话框
        case IDC_SHOWSHT:                        
            DialogBox(hInst, MAKEINTRESOURCE(IDD_SHT_DLG), hWnd, (DLGPROC)SectionTableDlgProc);
            return TRUE;
        // 显示数据目录表
        case IDC_SHOWDATADIR:  
            DialogBox(hInst, MAKEINTRESOURCE(IDD_DATADIR_DLG), hWnd, (DLGPROC)DataDirDlgProc);
            return TRUE;
        //加壳操作
        case IDC_PACKER:
            Packing(hWnd);
            return TRUE;
        // 点击退出
        case IDC_EXIT:
            SendMessage(hWnd, WM_CLOSE,0,0);
            return TRUE;
        }
        break;
    case IDC_ABOUTBTN:
        DialogBox(hInst, MAKEINTRESOURCE(IDD_ABOUTBOX), hWnd, (DLGPROC)About);
        return TRUE;
    //程序退出
    case WM_CLOSE:
        UnLoadFile(&stMapFile);
        EndDialog(hWnd, 0);
        return TRUE;
    }
    return FALSE;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/*******************************************************************/
/* 函数功能:显示目录表信息                                         */
/* 参数:HWND                                                       */
/* 返回值:无                                                       */
/*******************************************************************/
void ShowDataDirInfo(HWND hDlg)
{
    TCHAR   tcBuff[9];
    //获取PE扩展头
    PIMAGE_OPTIONAL_HEADERpOH=GetOptionalHeader(stMapFile.ImageBase);
    if(!pOH) return;
    //循环获取目录表信息并显示在对话框中
    for(int i=0;i<COUNT_OF_DATADIR;i++)
    {
   wsprintf(tcBuff,_T("%08lX"),pOH->DataDirectory[i].VirtualAddress);        
        SetDlgItemText(hDlg,EditID_Array[i].ID_RVA,cBuff);
  
        wsprintf(tcBuff, _T("%08lX"), pOH->DataDirectory[i].Size);
        SetDlgItemText(hDlg,EditID_Array[i].ID_SIZE,cBuff);
    }
}

[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 5
支持
分享
赞赏记录
参与人
雪币
留言
时间
心游尘世外
为你点赞~
2024-5-31 07:02
QinBeast
为你点赞~
2024-5-31 06:53
飘零丶
为你点赞~
2024-5-31 01:24
shinratensei
为你点赞~
2024-5-31 01:05
PLEBFE
为你点赞~
2023-3-5 04:16
最新回复 (4)
a糊涂虫
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
看了后面哪四条,我还是建议楼主看看C++八大金刚里<<设计模式>>
2013-12-2 22:12
0
GhostDL
雪    币: 23
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
好的
2013-12-2 22:19
0
glces
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这不是参考科锐的项目么, 今天什么日子啊. 你们班的人都出来宣传了吧 好多人发同样的帖子哦!
2013-12-3 11:36
0
GhostDL
雪    币: 23
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
::3这是我们班学PE结构做的小项目,写的文档总结,欢迎批评指正。本人小菜,和大家一起进步。
2013-12-3 14:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》