[原创]读取 PE 文件的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你Map的时候非要AllAccess干啥？有的文件不能随便写，注意权限，需要多大就用多大~另外hFile检查了吗？hMap检查了吗？即使Map失败，你Beep一声之后不还是继续访问了那块内存？逻辑不严密，而且编程修养太差~ 2009-8-30 07:34 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 3 楼 hFile、hMap、都没问题，权限即使改成 FILE_MAP_READ 都会出错..... 上传的附件： QQ截图未命名.jpg （23.86kb，113次下载） 2009-8-30 09:43 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 4 楼 LoadLibrary 默认是 Map as Image MapViewOfFile 是 Map as Data File 文件对齐和节对齐很可能是不一样的，所以PE的文件布局和内存布局是不太一样的所以各个节的访问应该进行调整对文件结构直接访问时应该先确定 IMPORT 在哪个节上，然后根据节的VirtualAddress 与PointerToRawData 计算出实际的虚拟地址这是wrk里的，参考一下吧 PIMAGE_SECTION_HEADER RtlSectionTableFromVirtualAddress ( IN PIMAGE_NT_HEADERS NtHeaders, IN PVOID Base, IN ULONG Address ) /++ Routine Description: This function locates a VirtualAddress within the image header of a file that is mapped as a file and returns a pointer to the section table entry for that virtual address Arguments: NtHeaders - Supplies the pointer to the image or data file. Base - Supplies the base of the image or data file. Address - Supplies the virtual address to locate. Return Value: NULL - The file does not contain data for the specified directory entry. NON-NULL - Returns the pointer of the section entry containing the data. --/ { ULONG i; PIMAGE_SECTION_HEADER NtSection; NtSection = IMAGE_FIRST_SECTION( NtHeaders ); for (i=0; i<NtHeaders->FileHeader.NumberOfSections; i++) { if ((ULONG)Address >= NtSection->VirtualAddress && (ULONG)Address < NtSection->VirtualAddress + NtSection->SizeOfRawData ) { return NtSection; } ++NtSection; } return NULL; } PVOID RtlAddressInSectionTable ( IN PIMAGE_NT_HEADERS NtHeaders, IN PVOID Base, IN ULONG Address ) /++ Routine Description: This function locates a VirtualAddress within the image header of a file that is mapped as a file and returns the seek address of the data the Directory describes. Arguments: NtHeaders - Supplies the pointer to the image or data file. Base - Supplies the base of the image or data file. Address - Supplies the virtual address to locate. Return Value: NULL - The file does not contain data for the specified directory entry. NON-NULL - Returns the address of the raw data the directory describes. --/ { PIMAGE_SECTION_HEADER NtSection; NtSection = RtlSectionTableFromVirtualAddress( NtHeaders, Base, Address ); if (NtSection != NULL) { return( ((PCHAR)Base + ((ULONG_PTR)Address - NtSection->VirtualAddress) + NtSection->PointerToRawData) ); } else { return( NULL ); } } PVOID RtlpImageDirectoryEntryToData32 ( IN PVOID Base, IN BOOLEAN MappedAsImage, IN USHORT DirectoryEntry, OUT PULONG Size, PIMAGE_NT_HEADERS32 NtHeaders ) { ULONG DirectoryAddress; if (DirectoryEntry >= NtHeaders->OptionalHeader.NumberOfRvaAndSizes) { return( NULL ); } if (!(DirectoryAddress = NtHeaders->OptionalHeader.DataDirectory[ DirectoryEntry ].VirtualAddress)) { return( NULL ); } if (Base < MM_HIGHEST_USER_ADDRESS) { if ((PVOID)((PCHAR)Base + DirectoryAddress) >= MM_HIGHEST_USER_ADDRESS) { return( NULL ); } } *Size = NtHeaders->OptionalHeader.DataDirectory[ DirectoryEntry ].Size; if (MappedAsImage \|\| DirectoryAddress < NtHeaders->OptionalHeader.SizeOfHeaders) { return( (PVOID)((PCHAR)Base + DirectoryAddress) ); } return( RtlAddressInSectionTable((PIMAGE_NT_HEADERS)NtHeaders, Base, DirectoryAddress )); } 2009-8-30 10:21 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 5 楼代码风格很乱，至少一般人看的都觉得很累。。 2009-8-30 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 4楼正解，LoadLibrary是按PE格式映射的，直接Map的话需要RavToRaw然后再访问 2009-8-30 13:03 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 0 关注私信	einyboy 7 楼用GetLastError获取错误代码. 2009-8-30 13:19 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 8 楼楼主没有搞清楚文件偏移和虚拟内存偏移的概念。用文件映射的时候相当于直接把文件复制进内存，这时候进行相关操作的时候用的是文件偏移，而你用的是虚拟内存偏移，所以会出错，需要把虚拟内存偏移转换为文件偏移。使用LoadLibrary的时候是PE加载器把模块加载到了内存，这时候进行相关操作用的就是虚拟内存偏移，所以不会出错。 2009-8-30 13:31 0
winwang 雪币： 290 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 64 粉丝 0 关注私信	winwang 1 9 楼 8樓正解是讀文件,不是執行文件 RVA要轉RAW 不然就定位錯了 2009-8-30 17:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼楼主居然用了原创~ 2009-8-30 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼你Map的时候非要AllAccess干啥？有的文件不能随便写，注意权限，需要多大就用多大~另外hFile检查了吗？hMap检查了吗？即使Map失败，你Beep一声之后不还是继续访问了那块内存？逻辑不严密，而且编程修养太差~ 2009-8-30 07:34 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 3 楼 hFile、hMap、都没问题，权限即使改成 FILE_MAP_READ 都会出错..... 上传的附件： QQ截图未命名.jpg （23.86kb，113次下载） 2009-8-30 09:43 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 4 楼 LoadLibrary 默认是 Map as Image MapViewOfFile 是 Map as Data File 文件对齐和节对齐很可能是不一样的，所以PE的文件布局和内存布局是不太一样的所以各个节的访问应该进行调整对文件结构直接访问时应该先确定 IMPORT 在哪个节上，然后根据节的VirtualAddress 与PointerToRawData 计算出实际的虚拟地址这是wrk里的，参考一下吧 PIMAGE_SECTION_HEADER RtlSectionTableFromVirtualAddress ( IN PIMAGE_NT_HEADERS NtHeaders, IN PVOID Base, IN ULONG Address ) /++ Routine Description: This function locates a VirtualAddress within the image header of a file that is mapped as a file and returns a pointer to the section table entry for that virtual address Arguments: NtHeaders - Supplies the pointer to the image or data file. Base - Supplies the base of the image or data file. Address - Supplies the virtual address to locate. Return Value: NULL - The file does not contain data for the specified directory entry. NON-NULL - Returns the pointer of the section entry containing the data. --/ { ULONG i; PIMAGE_SECTION_HEADER NtSection; NtSection = IMAGE_FIRST_SECTION( NtHeaders ); for (i=0; i<NtHeaders->FileHeader.NumberOfSections; i++) { if ((ULONG)Address >= NtSection->VirtualAddress && (ULONG)Address < NtSection->VirtualAddress + NtSection->SizeOfRawData ) { return NtSection; } ++NtSection; } return NULL; } PVOID RtlAddressInSectionTable ( IN PIMAGE_NT_HEADERS NtHeaders, IN PVOID Base, IN ULONG Address ) /++ Routine Description: This function locates a VirtualAddress within the image header of a file that is mapped as a file and returns the seek address of the data the Directory describes. Arguments: NtHeaders - Supplies the pointer to the image or data file. Base - Supplies the base of the image or data file. Address - Supplies the virtual address to locate. Return Value: NULL - The file does not contain data for the specified directory entry. NON-NULL - Returns the address of the raw data the directory describes. --/ { PIMAGE_SECTION_HEADER NtSection; NtSection = RtlSectionTableFromVirtualAddress( NtHeaders, Base, Address ); if (NtSection != NULL) { return( ((PCHAR)Base + ((ULONG_PTR)Address - NtSection->VirtualAddress) + NtSection->PointerToRawData) ); } else { return( NULL ); } } PVOID RtlpImageDirectoryEntryToData32 ( IN PVOID Base, IN BOOLEAN MappedAsImage, IN USHORT DirectoryEntry, OUT PULONG Size, PIMAGE_NT_HEADERS32 NtHeaders ) { ULONG DirectoryAddress; if (DirectoryEntry >= NtHeaders->OptionalHeader.NumberOfRvaAndSizes) { return( NULL ); } if (!(DirectoryAddress = NtHeaders->OptionalHeader.DataDirectory[ DirectoryEntry ].VirtualAddress)) { return( NULL ); } if (Base < MM_HIGHEST_USER_ADDRESS) { if ((PVOID)((PCHAR)Base + DirectoryAddress) >= MM_HIGHEST_USER_ADDRESS) { return( NULL ); } } *Size = NtHeaders->OptionalHeader.DataDirectory[ DirectoryEntry ].Size; if (MappedAsImage \|\| DirectoryAddress < NtHeaders->OptionalHeader.SizeOfHeaders) { return( (PVOID)((PCHAR)Base + DirectoryAddress) ); } return( RtlAddressInSectionTable((PIMAGE_NT_HEADERS)NtHeaders, Base, DirectoryAddress )); } 2009-8-30 10:21 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 14 关注私信	网络游侠 5 楼代码风格很乱，至少一般人看的都觉得很累。。 2009-8-30 10:46 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼 4楼正解，LoadLibrary是按PE格式映射的，直接Map的话需要RavToRaw然后再访问 2009-8-30 13:03 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 119 粉丝 0 关注私信	einyboy 7 楼用GetLastError获取错误代码. 2009-8-30 13:19 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 8 楼楼主没有搞清楚文件偏移和虚拟内存偏移的概念。用文件映射的时候相当于直接把文件复制进内存，这时候进行相关操作的时候用的是文件偏移，而你用的是虚拟内存偏移，所以会出错，需要把虚拟内存偏移转换为文件偏移。使用LoadLibrary的时候是PE加载器把模块加载到了内存，这时候进行相关操作用的就是虚拟内存偏移，所以不会出错。 2009-8-30 13:31 0
winwang 雪币： 290 活跃值： (41) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 64 粉丝 0 关注私信	winwang 1 9 楼 8樓正解是讀文件,不是執行文件 RVA要轉RAW 不然就定位錯了 2009-8-30 17:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 10 楼楼主居然用了原创~ 2009-8-30 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复