PE可执行文件加载器
PE文件加载器
模仿操作系统,加载pe文件到内存中
该项目主要是为了检测pe的学习程度,是否都完全理解了。当然没有完全理解
实现功能的如下:
- 模仿操作系统,加载pe文件到内存中,然后执行待执行的pe文件
- 修复IAT,reloc等重要信息
当然,这只是一个雏形,有很多工作都没有完成,TODO列表
- DLL文件加载,这个其实很简单,只需要解析导出表,然后修正就行了
- 绑定IAT的加载,这块懒得做
- 延迟加载,也是懒得做
所以我们的这个小型加载器,只是负责重定位表的解析和重定位表的解析。不过对于一个小型程序来讲够用了。下面说一下思路
- 根据pe头中的optionalheader中的SizeOfImage,申请内存。内存的基地址为ImageBase。SizeOfImage为pe文件在内存对齐的情况下,所需要的空间的大小。基地址这块的话,建议为ImageBase的地址,当然,如果该pe文件有重定位信息的话,就说明该pe文件可以加载到内存的任意位置。随后根据重定位表修正就行了
- 根据pe头中的SizeOfHeader,获取pe头的大小。该值为文件对齐的值。根据该值,我们调用Rtlmemcopy将pe头拷贝到内存中
- 解析pe头,获取numberofSection,根据此值,处理section。将section拷贝到内存中
- 处理iat 分别解析iat中的内容,并修正
- 处理重定位表。如果加载的基地址为ImageBase的话,则无需处理。否则必须处理
- 跳转到Address of entry,开始执行pe文件
注意事项:
- 暂时忽略loadflag等等
- 为了方便,申请的内存可读可写可执行,并没有根据section的属性去设置
- 被加载的程序,与主程序使用同一个heap和stack。所以不需要关注sizeofstack等值
- 一定要修改主程序的加载基地址,修改非0x0040000的位置。不然无法申请0x00400000的地址。修改该值的话,在vs的链接选项中
下面数一下详细的操作
判断是否pe文件
这块很简单,没什么说的,看代码即可
PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)BaseAddr;
PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)((UINT_PTR)BaseAddr + pDos->e_lfanew);
if (pDos->e_magic == IMAGE_DOS_SIGNATURE && pNt->Signature == IMAGE_NT_SIGNATURE) {
return true;
}
申请内存
根据sizeofimage去申请内存即可。当然我这个函数很粗,在imagebase无法使用的情况下,并没有判断程序是否可以重定位的情况下,强行修改imagebase。大家在使用的时候最好判断一下。
DWORD dwSizeOfImage = pnt->OptionalHeader.SizeOfImage;
DWORD dwImageBaseAddr = pnt->OptionalHeader.ImageBase;
//为了安全性,暂时将该申请的内存区域设置成可读可写,等一会再根据需要重新设置
//必须要设置MEM_RESERVE,不然不能申请0x00400000地址
LPVOID returnAddr = VirtualAlloc((LPVOID)dwImageBaseAddr, dwSizeOfImage, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
if (GetLastError() == 0) {
printf("[+] 正在根据pe的加载基地址 申请内存,基地址为 0x%p\n", (LPVOID)dwImageBaseAddr);
return returnAddr;
}
else {
returnAddr = VirtualAlloc(NULL, dwSizeOfImage, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
printf("[+] pe的加载基地址不能用,正在重新申请地址中,基地址为 0x%p\n", (LPVOID)dwImageBaseAddr);
return returnAddr;
}
拷贝pe头到内存中
其实对于咱们的加载器来讲。拷贝不拷贝pe头,并不会正常影响文件的执行。所以这个是一个可选的步骤。当然,我为了方便,因为在后面我会释放掉读取文件的内存。所以必须拷贝pe头。该函数比较简单,直接调用rtlcopy函数即可
static void __stdcall CopyNtHeaderToMem(IN LPVOID lpPemem, IN LPVOID Header, SIZE_T size) {
//获取nt头的size,文件对齐值,一般是一页文件对齐
RtlCopyMemory(lpPemem, Header, size);
printf("[+] 正在拷贝pe头到 0x%p中\n", lpPemem);
}
拷贝section到内存
这块比较简单。读取sectionHeader,header中说明的section的VA和FOA以及size,我们只需要根据这些信息,拷贝到内存的指定位置即可
static void __stdcall CopySectionToMem(IN LPVOID lpPeMem, IN LPVOID lpBaseAddr, IN PIMAGE_NT_HEADERS pNt) {
//暂时不处理内存属性,全部可读可写可执行哈哈哈哈
DWORD dwNumOfSection = pNt->FileHeader.NumberOfSections;
DWORD dwSectionAlignment = pNt->OptionalHeader.SectionAlignment;
PIMAGE_SECTION_HEADER pSecHed = (PIMAGE_SECTION_HEADER)((UINT_PTR)pNt + sizeof(IMAGE_NT_HEADERS));
for (DWORD index = 0; index < dwNumOfSection; index++)
{
DWORD dwRva = pSecHed->VirtualAddress;
DWORD dwFOA = pSecHed->PointerToRawData;
DWORD dwSize = pSecHed->SizeOfRawData;
//拷贝源是文件对齐的foa
LPVOID SecDataSrc = (LPVOID)((UINT_PTR)lpBaseAddr + (UINT_PTR)dwFOA);
//目的地址是RV
LPVOID SecDataDst = (LPVOID)RVA2VA(lpPeMem, dwRva);
//开始拷贝
RtlCopyMemory(SecDataDst, SecDataSrc, dwSize);
printf("[+] 正在拷贝 %s section 到内存的 0x%p, 大小为 %d\n", pSecHed->Name, SecDataDst, dwSize);
pSecHed = (PIMAGE_SECTION_HEADER)((UINT_PTR)pSecHed + sizeof(IMAGE_SECTION_HEADER));
}
return;
}
处理IAT
在PE文件中,IAT(Import address Table)和INT(Import Name Tbable)其实差不了太多。导入表的话一般都在.rdata节中。在pe中,IAT最终会存放相应函数的内存地址。下面以一个例子来说明
某程序会调用KERNEL32.dll!IsProcessorFeaturePresent函数,反汇编代码如下
004013E3 6A17 push 00000017h
004013E5 E84F090000 call jmp_KERNEL32.dll!IsProcessorFeaturePresent
004013EA 85C0 test eax,eax
0x004013E5中存放的为机器码,E8代表call执行,后面的值为距离该地址的偏移,偏移值为0x0000094F。
则程序会调转到 0x004013EA + 0x0000094F,也就是0x0040$D19。下面看一下该地址的反汇编代码
00401D39 FF251C204000 jmp [KERNEL32.dll!IsProcessorFeaturePresent]
FF代表绝对跳转, JMP r/m32 绝对跳转(32位),下一指令地址在r/m32中给出 。也就是取出地址0x0040201c25中的值。跳转过去。而0x0040201c25,就是rdata节。该处为IAT。
而pe文件中,IAT首先会存放va,指向一个IMAGE_IMPORT_BY_NAME
,里面存放导入函数的名称和hint。
所以修复IAT很简单,首先遍历INT,INT的结构如下
遍历到INT,拿到加载dll的名字。调用loadlobrary加载。
然后通过FirstTrunk的方式,去遍历IAT。再根据IAT中的信息,调用GetProcAddress函数,获取到真正的函数地址。修正IAT即可
代码如下
PIMAGE_IMPORT_DESCRIPTOR pImportTab = (PIMAGE_IMPORT_DESCRIPTOR)RVA2VA(lpPeMem, dwImportTableRVA);
//根据桥2修复就行了,不用根据桥1
while (pImportTab->OriginalFirstThunk && pImportTab->FirstThunk) {
char* DllName = (char*)(RVA2VA(lpPeMem, pImportTab->Name));
printf("[+] 正在修正导入库 %s\n", DllName);
PDWORD FirstTunkVA = (PDWORD)RVA2VA(lpPeMem, pImportTab->FirstThunk);
HMODULE hModle = LoadLibraryA(DllName);
while (*FirstTunkVA != 0) {
PIMAGE_IMPORT_BY_NAME pImportName = (PIMAGE_IMPORT_BY_NAME)(RVA2VA(lpPeMem, *FirstTunkVA));
//这块主要是为了处理exitprocess,拦截程序的exitprocess,我们可以从这里获取程序的返回结果
if (strcmp(pImportName->Name, "ExitProcess") == 0) {
procAddr = (FARPROC)& MyExitProcess;
}
else
{
procAddr = GetProcAddress(hModle, pImportName->Name);
}
*FirstTunkVA = (DWORD)procAddr;
FirstTunkVA = (DWORD*)((DWORD)FirstTunkVA + sizeof(DWORD));
#ifdef _DEBUG
printf("\t[+] 正在修正 %s 的导入地址, 修正后的函数地址为 0x%p\n", pImportName->Name, procAddr);
#endif // _DEBUG
}
printf("\n");
pImportTab = (IMAGE_IMPORT_DESCRIPTOR*)((UINT_PTR)pImportTab + sizeof(IMAGE_IMPORT_DESCRIPTOR));
}
当然,我们也可以在这里hook函数。比如我为了拦截被加载程序的结果。在修复ExitProcess函数的时候,将该函数的调用地址并没有修正到kernel32.dll中。而是修正到自己的代码中。
而hook的函数写法,按照你想hook函数的参数写就行。例
void MyExitProcess(_In_ UINT uExitCode) {
printf("\n[+] 程序已退出,退出代码为 %d\n", uExitCode);
ExitProcess(uExitCode);
}
处理重定位表
根据重定位表的定义,里面存放着相对于ImageBase的偏移。我们需要读取到该偏移后,转换成virtual address。与当前加载的基地址进行对比。根据偏移去修复即可。重定位表的解释如图
代码如下
PIMAGE_BASE_RELOCATION pReloc = (PIMAGE_BASE_RELOCATION)RVA2VA(lpPeMem, pRelocRVA);
printf("[+] 发现重定位表,开始修正...\n");
while (pReloc->VirtualAddress) {
DWORD dwSizeOfBlock = (pReloc->SizeOfBlock - 8) >> 1;
DWORD dwVa = pReloc->VirtualAddress;
PWORD block = (PWORD)((UINT_PTR)pReloc + sizeof(IMAGE_BASE_RELOCATION));
printf("[+] 发现 %d块需要重定位的地址信息\n", dwSizeOfBlock);
DWORD dwDelta = (DWORD)lpPeMem - pNt->OptionalHeader.ImageBase;
for (DWORD index = 0; index < dwSizeOfBlock; index++)
{
WORD relocBlock = *block;
if (((relocBlock & 0xF000) >> 12) == IMAGE_REL_BASED_HIGHLOW) {
DWORD wOffset = (relocBlock & 0x0FFF | 0x00000000) + dwVa;
PDWORD pAddress = (PDWORD)(wOffset | (DWORD)lpPeMem);
*pAddress = *pAddress + dwDelta;
#ifdef _DEBUG
printf("[+] 修正后的地址为 0x%08x\t\n", pAddress);
#endif
}
block = (PWORD)((UINT_PTR)block + sizeof(WORD));
}
pReloc = (PIMAGE_BASE_RELOCATION)block;
}
至此,一个pe文件所需要的东西,就已经全部解析完。下面我们需要跳转到入口点。入口点为optionalheader的entry of address。该值为RVA。需要转换成VA才可以。转换完成后,我们在vs中使用内联汇编。jmp跳转过去即可。代码如下
DWORD EntryOfImage = RVA2VA(lpPeMem, pNt->OptionalHeader.AddressOfEntryPoint);
printf("[+] 所有的内容都处理完毕,跳转到addresss of entry,地址为 0x%p\n\n", (LPVOID)EntryOfImage);
__asm {
jmp EntryOfImage;
}
测试结果
下面来测试一个vs 2019编译的程序,该程序使用MessageBox弹框,调用printf输出1111。该程序使用release模式编译,存在重定位表。加载截图如下
目前已知的bug
- 大部分的容错机制都没有,毕竟只是一个简单的程序。
- 容易出现无法申请内存的问题
完整的代码,请去github上看