[原创]PE加载器的简单实现-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]PE加载器的简单实现

发表于: 2019-1-25 20:44 22619

[原创]PE加载器的简单实现

Iam0x17

2019-1-25 20:44

22619

模拟PE加载器加载PE文件，对导入表以及重定位表的操作过程。

PE加载器的步骤：

1.将PE文件用ReadFile读取数据

2.根据PE结构获取镜像大小，在自己的程序中申请可读可写可执行的内存。

3.将申请的空间全部填为0

4.将用ReadFile读取的数据映射到内存中

由上图可知，PE文件在加载到内存中对齐粒度不同，因此在写代码时要注意这个问题

5.修复重定位

重定位后的地址 = 需要重定位的地址 - 默认加载基址 + 当前加载基址

6.根据PE结构的导入表，加载所需的dll，并获取导入函数的地址并写入导入表中

7.修改PE文件的加载基址

8.跳转到PE的入口点处执行

通过上述代码，成功加载并运行程序：

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-2-27 19:25 被Iam0x17编辑，原因：

上传的附件：

main.rar （2.48kb，390次下载）

收藏・81

免费・12

支持

最新回复 (43) 1 2 ▶
jgs 雪币： 8924 活跃值： (5147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 447 粉丝 7 关注私信	jgs 2 楼普及文章，收藏备用，谢谢楼主 2019-1-25 22:53 1
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 3 楼科普文章感谢 2019-1-26 20:13 0
xbra 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 92 粉丝 0 关注私信	xbra 4 楼谢谢！很实用 2019-1-26 22:47 0
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 5 楼 64位PE呢？？ 2019-1-27 00:18 0
xingke 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	xingke 6 楼建议打包个源码文件 2019-1-27 08:37 1
Mr Julius 雪币： 13650 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	Mr Julius 7 楼咖啡_741298 64位PE呢？？ 64位PE叫做PE32+，和PE32除了头部分之外基本相同。 2019-1-27 09:06 0
我是一条咸鱼雪币： 3170 活跃值： (129) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	我是一条咸鱼 8 楼顶一下 2019-1-27 09:25 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 9 楼 mark顶一下 2019-1-29 20:01 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 10 楼支持最后于 2019-1-29 21:02 被shayi编辑，原因： 2019-1-29 21:00 0
张勋_652486 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	张勋_652486 11 楼学习了 2019-1-29 21:11 0
Iceshara 雪币： 4900 活跃值： (2555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 1 关注私信	Iceshara 12 楼目测是科锐的学生~ 2019-1-29 22:16 0
ttstation 雪币： 1103 活跃值： (521) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 155 粉丝 1 关注私信	ttstation 13 楼有个64位PE 的加载器就完美了！！！ 2019-1-30 00:12 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 14 楼 Iceshara 目测是科锐的学生~ 15pb 2019-1-30 09:24 0
Iceshara 雪币： 4900 活跃值： (2555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 1 关注私信	Iceshara 15 楼看雪已经成为了科锐和51PB的作业论坛了..... 文章质量下滑严重 2019-1-30 14:50 2
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 16 楼没有异常处理的PE LOAD都是渣渣。 2019-1-30 15:51 0
兰陵雪币： 54 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	兰陵 17 楼马克 2019-1-30 16:24 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 18 楼最后于 2019-1-30 17:50 被Iam0x17编辑，原因： 2019-1-30 17:48 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 19 楼最后于 2019-1-30 17:50 被Iam0x17编辑，原因： 2019-1-30 17:50 0
virsnow 雪币： 375 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	virsnow 20 楼支持，学习了，还少一个GetSizeOfImage(pFileBuff)函数，我怎么总是不成功？有源码吗，发一份给，谢谢！ 2019-2-19 15:18 0
Justgoon 雪币： 635 活跃值： (1016) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 49 粉丝 55 关注私信	Justgoon 1 21 楼感谢分享 2019-2-25 13:23 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 22 楼 Iceshara 看雪已经成为了科锐和51PB的作业论坛了..... 文章质量下滑严重 [em_38] 2019-2-25 17:12 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 23 楼楼主有源码么,可以发一份不,最近在学这部分内容,照着你的思路自己写的,总是失败,排查bug也查了十几个小时也查不到在哪,和你发的源码一点点比对也找不出来,吐血了. 2019-2-26 10:56 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 24 楼你这人怎么关键性的东西留一手?如果这个程序没有重定位表,这种方法根本就没法实现PE加载器,所有全局变量全是错的 2019-2-27 17:33 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 25 楼而大多数.exe都没有重定位表,怎么去实现这个加载器? 2019-2-27 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Iam0x17

发帖

回帖

150

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
jgs 雪币： 8924 活跃值： (5147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 447 粉丝 7 关注私信	jgs 2 楼普及文章，收藏备用，谢谢楼主 2019-1-25 22:53 1
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 3 楼科普文章感谢 2019-1-26 20:13 0
xbra 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 92 粉丝 0 关注私信	xbra 4 楼谢谢！很实用 2019-1-26 22:47 0
咖啡_741298 雪币： 6 活跃值： (3290) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 1 关注私信	咖啡_741298 5 楼 64位PE呢？？ 2019-1-27 00:18 0
xingke 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	xingke 6 楼建议打包个源码文件 2019-1-27 08:37 1
Mr Julius 雪币： 13650 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 86 粉丝 1 关注私信	Mr Julius 7 楼咖啡_741298 64位PE呢？？ 64位PE叫做PE32+，和PE32除了头部分之外基本相同。 2019-1-27 09:06 0
我是一条咸鱼雪币： 3170 活跃值： (129) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 61 粉丝 0 关注私信	我是一条咸鱼 8 楼顶一下 2019-1-27 09:25 0
sinkay 雪币： 7165 活跃值： (3937) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 2 关注私信	sinkay 9 楼 mark顶一下 2019-1-29 20:01 0
shayi 雪币： 1604 活跃值： (640) 能力值： ( LV13，RANK：460 ) 在线值：发帖 23 回帖 269 粉丝 52 关注私信	shayi 9 10 楼支持最后于 2019-1-29 21:02 被shayi编辑，原因： 2019-1-29 21:00 0
张勋_652486 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	张勋_652486 11 楼学习了 2019-1-29 21:11 0
Iceshara 雪币： 4900 活跃值： (2555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 1 关注私信	Iceshara 12 楼目测是科锐的学生~ 2019-1-29 22:16 0
ttstation 雪币： 1103 活跃值： (521) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 155 粉丝 1 关注私信	ttstation 13 楼有个64位PE 的加载器就完美了！！！ 2019-1-30 00:12 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 14 楼 Iceshara 目测是科锐的学生~ 15pb 2019-1-30 09:24 0
Iceshara 雪币： 4900 活跃值： (2555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 1 关注私信	Iceshara 15 楼看雪已经成为了科锐和51PB的作业论坛了..... 文章质量下滑严重 2019-1-30 14:50 2
yimingqpa 雪币： 6552 活跃值： (4346) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 16 楼没有异常处理的PE LOAD都是渣渣。 2019-1-30 15:51 0
兰陵雪币： 54 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	兰陵 17 楼马克 2019-1-30 16:24 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 18 楼最后于 2019-1-30 17:50 被Iam0x17编辑，原因： 2019-1-30 17:48 0
Iam0x17 雪币： 751 活跃值： (1409) 能力值： ( LV9，RANK：150 ) 在线值：发帖 14 回帖 73 粉丝 19 关注私信	Iam0x17 1 19 楼最后于 2019-1-30 17:50 被Iam0x17编辑，原因： 2019-1-30 17:50 0
virsnow 雪币： 375 活跃值： (356) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	virsnow 20 楼支持，学习了，还少一个GetSizeOfImage(pFileBuff)函数，我怎么总是不成功？有源码吗，发一份给，谢谢！ 2019-2-19 15:18 0
Justgoon 雪币： 635 活跃值： (1016) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 49 粉丝 55 关注私信	Justgoon 1 21 楼感谢分享 2019-2-25 13:23 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 22 楼 Iceshara 看雪已经成为了科锐和51PB的作业论坛了..... 文章质量下滑严重 [em_38] 2019-2-25 17:12 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 23 楼楼主有源码么,可以发一份不,最近在学这部分内容,照着你的思路自己写的,总是失败,排查bug也查了十几个小时也查不到在哪,和你发的源码一点点比对也找不出来,吐血了. 2019-2-26 10:56 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 24 楼你这人怎么关键性的东西留一手?如果这个程序没有重定位表,这种方法根本就没法实现PE加载器,所有全局变量全是错的 2019-2-27 17:33 0
qj111111 雪币： 1558 活跃值： (3453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 25 楼而大多数.exe都没有重定位表,怎么去实现这个加载器? 2019-2-27 17:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复