[原创]MFC 写的一个PEedit-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]MFC 写的一个PEedit

发表于: 2013-12-2 22:48 9447

[原创]MFC 写的一个PEedit

gotmilk

2013-12-2 22:48

9447

DWORD RVA2Memaddr( DWORD dwVA,DWORD lpiamge,PIMAGE_NT_HEADERS32 pNT32 )
{
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNT32);
    for ( DWORD i=0; i<=pNT32->FileHeader.NumberOfSections; i++ )
    {
        DWORD dwFileAddr=0;
 
        if ( dwVA < pSection[i].VirtualAddress )
        {
            DWORD dwAddr= dwVA - pSection[i-1].VirtualAddress-lpiamge;
            dwMemAddr=dwAddr+ pSection[i-1].PointerToRawData;
            return dwMemAddr;
        }
        else  if(dwVA>= pSection[pNT32->FileHeader.NumberOfSections-1].VirtualAddress)
        {
            DWORD dwAddr= dwVA - pSection[pNT32->FileHeader.NumberOfSections-1].VirtualAddress-lpiamge;
            dwMemAddr= dwAddr+ pSection[pNT32->FileHeader.NumberOfSections-1].PointerToRawData;
            return dwMemAddr;
        }
    } 
    return 0;
}

//载入pe文件
PeMisicInfo CPELoad::LoadPEFile(LPCTSTR lpszPath)
{
    DWORD PeFileSize=0;
    LPVOID DumpAddr=nullptr;
    BOOL CanBeRead;
    PIMAGE_NT_HEADERS32 Nt_headers;
    //创建文件映射
    HANDLE hFile=CreateFile(lpszPath,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_WRITE|FILE_SHARE_READ,NULL,OPEN_EXISTING,SECURITY_IMPERSONATION,NULL);
    if(!hFile) goto EndProcess;
    PeFileSize=GetFileSize(hFile,NULL);
    if(PeFileSize==0)goto EndProcess;
 
    DumpAddr=VirtualAlloc(NULL,PeFileSize,MEM_COMMIT | MEM_RESERVE,PAGE_READWRITE);
    if(!DumpAddr)goto EndProcess;
    DWORD dwRet;
 
    CanBeRead=ReadFile(hFile,DumpAddr,PeFileSize,&dwRet,NULL);
    int a=GetLastError();
    if(!CanBeRead)goto EndProcess;//判断是不是pe文件
    // 判断是不是pe文件
    BOOL isPeFile=IsPeFile(DumpAddr,PeFileSize,Nt_headers);
    if(!isPeFile) goto EndProcess;
    mypemisc.Dumpaddr=DumpAddr;
    mypemisc.nt_headeras=Nt_headers;
    mypemisc.hFile=hFile;
    mypemisc.lpPath=lpszPath;
    return mypemisc;
 
EndProcess:
    if(hFile)CloseHandle(hFile);
    ExitProcess(0);
 
 
}

void CImportDir::ShowModuleInfo(vector<PIMAGE_SECTION_HEADER> Section)
{
    //删除掉模块栏的所有条目
    m_modulelist.DeleteAllItems();
    //删除所有vector中模块
    mymodulename.clear();
    PeMisicInfo miscinfo=ReturnMiscInfo();
    PIMAGE_NT_HEADERS32 LocalHeaders=miscinfo.nt_headeras;
    DWORD dumpaddr=(DWORD)miscinfo.Dumpaddr;
    m_dumpaddr=dumpaddr;
    WORD optional_header_size=LocalHeaders->FileHeader.SizeOfOptionalHeader;
    PIMAGE_OPTIONAL_HEADER32  Optional_header=&LocalHeaders->OptionalHeader;
    PIMAGE_DATA_DIRECTORY pDataDir = (PIMAGE_DATA_DIRECTORY)Optional_header->DataDirectory;
    //导入表的地址
    DWORD my_export_rva=pDataDir[1].VirtualAddress;
    DWORD Import_Table_Section_ShiftAddr;
    DWORD OA;
   //数据段的RVA
    for(int a=0;a<Section.size();a++)
    {
        if(Section[a]->VirtualAddress>my_export_rva)
        {
            m_OA=OA=Section[a-1]->VirtualAddress-Section[a-1]->PointerToRawData;
            Import_Table_Section_ShiftAddr=my_export_rva-OA;
            break;
        }
 
    }
    if(Import_Table_Section_ShiftAddr==0xcccccccc)
    {
        MessageBox(L"未初始化",L"错误",MB_OK);
        return;
    }
    //获取输入表信息
    IMAGE_IMPORT_DESCRIPTOR *my_Import_Data=(PIMAGE_IMPORT_DESCRIPTOR)(Import_Table_Section_ShiftAddr+(DWORD)dumpaddr);
   
    PIMAGE_THUNK_DATA32 pInt;
    //判断的条件是因为大多数情况IMAGE_THUNK_DATA 会指向一个IMPORT_BY_NAME 结束的时候会以一个
    //全零的IMAGE_THUNK_DATA结束
    if(pInt=(PIMAGE_THUNK_DATA32)my_Import_Data->OriginalFirstThunk)
    {
 
        while(my_Import_Data->Name)
        {
            MYIMAGE_IMPORT_DESCRIPTOR my_image_des={0};
            DWORD pszDllName_Addr=my_Import_Data->Name-OA+dumpaddr;
            my_image_des.dllname=pszDllName_Addr;
            my_image_des.my_image_descriptor.FirstThunk=my_Import_Data->FirstThunk;
            my_image_des.my_image_descriptor.OriginalFirstThunk=my_Import_Data->OriginalFirstThunk;
            my_image_des.my_image_descriptor.ForwarderChain=my_Import_Data->ForwarderChain;
            my_image_des.my_image_descriptor.Name=my_Import_Data->Name;
            mymodulename.push_back(my_image_des);
            my_Import_Data++;
 
        }
 
        for(int a=0;a<mymodulename.size();a++)
        {
            CString myid;
            myid.Format(L"%d",a);
            char* mychar;
            m_modulelist.InsertItem(LVIF_TEXT | LVIF_STATE,a, myid,(a % 2) == 0 ? LVIS_SELECTED : 0, LVIS_SELECTED,0,0);
            for(int i=1;i<6;i++)
            {
                LPCWCH OutputChar[4]={0};
                CString mymoduleinfo;
                switch (i)
                {
                case 1:
                    MyUtil.ConvertUtf8ToUnicode((char*)mymodulename[a].dllname,*OutputChar);
                    mymoduleinfo.Format(L"%s",*OutputChar);
                    m_modulelist.SetItemText(a,i,mymoduleinfo);
                    break;
                case 2:
mymoduleinfo.Format(L"0x%X",mymodulename[a].my_image_descriptor.OriginalFirstThunk);
                    m_modulelist.SetItemText(a,i,mymoduleinfo);
                    break;
                case 3:
                    mymoduleinfo.Format(L"0x%X",mymodulename[a].my_image_descriptor.ForwarderChain);
                    m_modulelist.SetItemText(a,i,mymoduleinfo);
                    break;
                case 4:
mymoduleinfo.Format(L"0x%X",mymodulename[a].my_image_descriptor.Name);
                    m_modulelist.SetItemText(a,i,mymoduleinfo);
                    break;
                case 5:
mymoduleinfo.Format(L"0x%X",mymodulename[a].my_image_descriptor.FirstThunk);
                    m_modulelist.SetItemText(a,i,mymoduleinfo);
                    break;
                default:
                    break;
                }
            }
        }
    }
}

void CExportDir::GetExportInfo()
{
    LPCWCH outputchar={0};
    LPCWCH outputchar1={0};
    m_exportlistcrl.DeleteAllItems();
    m_vec_myexportinfo.clear();
    PeMisicInfo miscinfo=ReturnMiscInfo();//获取pe基本信息
    PIMAGE_NT_HEADERS32   pNT32    = miscinfo.nt_headeras;
    PIMAGE_DATA_DIRECTORY pDataDir = (PIMAGE_DATA_DIRECTORY)pNT32->OptionalHeader.DataDirectory;
    PIMAGE_DATA_DIRECTORY   pExportDir      = &pDataDir[IMAGE_DIRECTORY_ENTRY_EXPORT];
    if(pExportDir->Size!=0)
    {
    DWORD                   dwExportOfffset = Rva2FileA(pExportDir->VirtualAddress, pNT32);//输出表地文件偏移
    PIMAGE_EXPORT_DIRECTORY pExport         = (PIMAGE_EXPORT_DIRECTORY)((DWORD)miscinfo.Dumpaddr+dwExportOfffset);
    PDWORD pEAT = (PDWORD)((DWORD)miscinfo.Dumpaddr + Rva2FileA(pExport->AddressOfFunctions, pNT32));
    PDWORD pENT = (PDWORD)((DWORD)miscinfo.Dumpaddr + Rva2FileA(pExport->AddressOfNames, pNT32));
    PWORD  pEIT = (PWORD)((DWORD)miscinfo.Dumpaddr  + Rva2FileA(pExport->AddressOfNameOrdinals, pNT32));
    PCHAR exenameaddr=(PCHAR)((DWORD)miscinfo.Dumpaddr + Rva2FileA(pExport->Name, pNT32));  
    mysttring.ConvertUtf8ToUnicode((char*)exenameaddr,outputchar1);
    /////////////////////////////////////////////
    //格式化输出
    m_ExpDirFa.Format(L"0x%X",dwExportOfffset);
    m_funaddr.Format(L"0x%X",pExport->AddressOfFunctions);
    m_funnameaddr.Format(L"0x%X",pExport->AddressOfNames);
    m_funnamenums.Format(L"%d",pExport->NumberOfNames);
    m_char.Format(L"%d",pExport->Characteristics);
    m_exename.Format(L"%s",outputchar1);
    m_funordaddr.Format(L"0x%X",pExport->AddressOfNameOrdinals);
    m_funnums.Format(L"0x%X",pExport->NumberOfFunctions);
    m_baseaddr.Format(L"0x%X",pExport->Base);
    m_namerva.Format(L"0x%X",pExport->Name);
    for ( DWORD dwOrdinal=0; dwOrdinal<pExport->NumberOfFunctions; dwOrdinal++ )
    {
        if ( !pEAT[dwOrdinal] )
            continue;
        for ( DWORD dwIndex=0; dwIndex<pExport->NumberOfFunctions; dwIndex++ )
        {
         EXPORTINFO myexportinfo={0};
 
            if ( pEIT[dwIndex] == dwOrdinal )
            {
                PCHAR pszFunName = (PCHAR)((DWORD)miscinfo.Dumpaddr+Rva2FileA(pENT[dwIndex], pNT32));
                myexportinfo.Ordinal=pExport->Base+dwOrdinal;
                myexportinfo.FuncRva=pEAT[dwOrdinal];
                mysttring.ConvertUtf8ToUnicode(pszFunName,outputchar);
                myexportinfo.funcname=outputchar;
                m_vec_myexportinfo.push_back(myexportinfo);
                break;
            }
            else if ( dwIndex == pExport->NumberOfFunctions-1 )
            {
                myexportinfo.Ordinal=pExport->Base+dwOrdinal;
                myexportinfo.FuncRva=pEAT[dwOrdinal];
                myexportinfo.funcname=(LPCWCH) L"(Null)" ;
                m_vec_myexportinfo.push_back(myexportinfo);
                break;
            }
          /// free(myexportinfo); 
            
        }
 
    }
    ///////////////////////////////////./////
    //显示信息
    ////////////////////////////////////////
    UpdateData(FALSE);
    Showinfo();
    }
    else
    {
        MessageBox(L"没有导出表!",L"错误",MB_OK|MB_ICONSTOP);
    }
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

srcstrutc.png （35.79kb，130次下载）
main2.png （31.99kb，126次下载）
import.png （52.65kb，120次下载）
export.png （46.68kb，120次下载）
16进制编辑.png （38.52kb，120次下载）
src2.png （35.98kb，121次下载）
图片1.jpg （80.63kb，194次下载）
class.png （36.70kb，135次下载）
basestruct.PNG （9.05kb，20次下载）
PEEdit.zip （175.94kb，201次下载）

收藏・20

免费・6

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 07:02

QinBeast

为你点赞~

2024-5-31 06:54

飘零丶

为你点赞~

2024-5-31 01:24

shinratensei

为你点赞~

2024-5-31 01:06

sky东

为你点赞~

2024-3-12 14:12

PLEBFE

为你点赞~

2023-3-5 04:16

最新回复 (8)
friendanx 雪币： 8014 活跃值： (2463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 186 粉丝 2 关注私信	friendanx 2 楼支持楼主来了，不骄不躁，再接再励，勇往直前。 2013-12-2 22:58 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 3 楼支持楼主 2013-12-3 00:16 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 4 楼图文的真是够详细的，支持下lz。话说刚一看才发现15pd的学员竟然一下子都来发MyLoadpe了.. 继续努力 2013-12-3 02:01 0
kanxue 雪币： 56023 活跃值： (21305) 能力值： (RANK：350 ) 在线值：发帖 2377 回帖 17056 粉丝 565 关注私信	kanxue 8 5 楼帖图的方式不对，建议楼主再编辑一下帖子。参考这帖教学：http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片是以这个形式存在 [ ATTACH ] xxxx [ /ATTACH ] 2013-12-3 09:18 0
小调调雪币： 3428 活跃值： (3726) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 6 楼代码写的蛮工整的~ 2013-12-3 09:28 0
shmac 雪币： 505 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	shmac 7 楼不错，支持一下 15PB培训的小伙子们加油 2013-12-3 11:33 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 8 楼 [QUOTE=kanxue;1244072]帖图的方式不对，建议楼主再编辑一下帖子。参考这帖教学：http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片是以这个形式存在 [ ATTACH ] xxxx [ /ATTACH ][/QUOTE] 谢谢坛主，已修改 2013-12-3 23:15 0
anywhere杨雪币： 110 活跃值： (597) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 426 粉丝 3 关注私信	anywhere杨 9 楼放的图片，第一张就看不清楚。我下载下来还是看不清。这是多大的分辩率的？ 2013-12-6 10:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

gotmilk

发帖

214

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
friendanx 雪币： 8014 活跃值： (2463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 186 粉丝 2 关注私信	friendanx 2 楼支持楼主来了，不骄不躁，再接再励，勇往直前。 2013-12-2 22:58 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 3 楼支持楼主 2013-12-3 00:16 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 4 楼图文的真是够详细的，支持下lz。话说刚一看才发现15pd的学员竟然一下子都来发MyLoadpe了.. 继续努力 2013-12-3 02:01 0
kanxue 雪币： 56023 活跃值： (21305) 能力值： (RANK：350 ) 在线值：发帖 2377 回帖 17056 粉丝 565 关注私信	kanxue 8 5 楼帖图的方式不对，建议楼主再编辑一下帖子。参考这帖教学：http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片是以这个形式存在 [ ATTACH ] xxxx [ /ATTACH ] 2013-12-3 09:18 0
小调调雪币： 3428 活跃值： (3726) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 6 楼代码写的蛮工整的~ 2013-12-3 09:28 0
shmac 雪币： 505 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 34 粉丝 0 关注私信	shmac 7 楼不错，支持一下 15PB培训的小伙子们加油 2013-12-3 11:33 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 8 楼 [QUOTE=kanxue;1244072]帖图的方式不对，建议楼主再编辑一下帖子。参考这帖教学：http://bbs.pediy.com/showpost.php?postid=292659 最后，文章中图片是以这个形式存在 [ ATTACH ] xxxx [ /ATTACH ][/QUOTE] 谢谢坛主，已修改 2013-12-3 23:15 0
anywhere杨雪币： 110 活跃值： (597) 能力值： ( LV4，RANK：40 ) 在线值：发帖 56 回帖 426 粉丝 3 关注私信	anywhere杨 9 楼放的图片，第一张就看不清楚。我下载下来还是看不清。这是多大的分辩率的？ 2013-12-6 10:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]MFC 写的一个PEedit

账号登录 验证码登录

账号登录

验证码登录