壳的编写（3）-- 获取被加壳文件的PE信息

   我们将获取PE信息的操作单独封装到一个类文件中，在这个文件中，我们需要定义一个结构_PE_INFO用于封装PE相关信息并供外部调用，除此之外我们还需要定义RVA转文件偏移，文件偏移转，获取PE文件的信息，修复重定位信息，获取导出全局变量的文件偏移，设置新OEP，添加区段等函数。

         在Pack_Dll中添加一个CProcessingPE类，在ProcessingPE.h文件中内容如下：

#pragma once
#include <Windows.h>
#include <string.h>
#include <stdlib.h>


// 关键PE信息
typedef struct _PE_INFO
{
DWORD dwOEP; // 入口点
DWORD dwImageBase; // 映像基址
PIMAGE_DATA_DIRECTORY pDataDir; // 数据目录指针
IMAGE_DATA_DIRECTORY stcExport; // 导出目录
PIMAGE_SECTION_HEADER pSectionHeader; // 区段表头部指针
}PE_INFO, *PPE_INFO;


class CProcessingPE
{
public:
CProcessingPE(void);
~CProcessingPE(void);

public:
DWORD RVAToOffset(ULONG uRvaAddr); // RVA转文件偏移
DWORD OffsetToRVA(ULONG uOffsetAddr); // 文件偏移转RVA
BOOL GetPeInfo(LPVOID lpImageData, DWORD dwImageSize, PPE_INFO pPeInfo); // 获取PE文件的信息
void FixReloc(DWORD dwLoadImageAddr); // 修复重定位信息
PVOID GetExpVarAddr(LPCTSTR strVarName); // 获取导出全局变量的文件偏移
void SetOEP(DWORD dwOEP); // 设置新OEP
PVOID AddSection(LPCTSTR strName, DWORD dwSize, DWORD dwChara, PIMAGE_SECTION_HEADER pNewSection, PDWORD lpSize); // 添加区段
void SetDLL();	// 去除DLL动态加载标识
private:
DWORD m_dwFileDataAddr; // 目标文件所在缓存区的地址
DWORD m_dwFileDataSize; // 目标文件大小
PIMAGE_DOS_HEADER m_pDos_Header; // DOS头指针
PIMAGE_NT_HEADERS m_pNt_Header; // NT头指针
PE_INFO m_stcPeInfo; // PE关键信息

};

ProcessingPE.cpp 实现如下：

#include "stdafx.h"
#include "ProcessingPE.h"



CProcessingPE::CProcessingPE(void)
{
ZeroMemory(&m_stcPeInfo, sizeof(PE_INFO));
}
CProcessingPE::~CProcessingPE(void)
{
}


/************************************************************************/
/* 方法名称: RVAToOffset
/* 方法全称： CProcessingPE::RVAToOffset
/* 参数：	ULONG uRvaAddr	RVA地址值
/* 返回值：	DWORD	成功返回Offset，失败则返回0
/* 说明： 相对虚拟地址(RVA)转文件偏移(Offset)
/************************************************************************/
DWORD CProcessingPE::RVAToOffset(ULONG uRvaAddr)
{
//获取区段头表 
PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(m_pNt_Header);

//获取区段的数量 --- nt表中的文件头中 
DWORD dwSize = m_pNt_Header->FileHeader.NumberOfSections;

for (DWORD i = 0; i < dwSize; i++)
{
if ((pSectionHeader[i].VirtualAddress <= uRvaAddr) && 
((pSectionHeader[i].VirtualAddress + pSectionHeader[i].Misc.VirtualSize) > uRvaAddr))
{
return ( uRvaAddr - pSectionHeader[i].VirtualAddress + pSectionHeader[i].PointerToRawData );
}
}
return 0;
}

/************************************************************************/
/* 方法名称: OffsetToRVA
/* 方法全称： CProcessingPE::OffsetToRVA
/* 参数：	ULONG uOffsetAddr	Offset地址值
/* 返回值：	DWORD	成功返回RVA地址，失败则返回0
/* 说明： 文件偏移(Offset)转相对虚拟地址(RVA)
/************************************************************************/
DWORD CProcessingPE::OffsetToRVA(ULONG uOffsetAddr)
{
//获取区段头表 
PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(m_pNt_Header);

//获取区段的数量 --- nt表中的文件头中 
DWORD dwSize = m_pNt_Header->FileHeader.NumberOfSections;

for (DWORD i = 0; i < dwSize; i++)
{
if ((pSectionHeader[i].PointerToRawData <= uOffsetAddr) && 
(pSectionHeader[i].PointerToRawData + pSectionHeader[i].SizeOfRawData > uOffsetAddr))
{
return (uOffsetAddr - pSectionHeader[i].PointerToRawData + pSectionHeader[i].VirtualAddress );
}
}
return 0;
}



/************************************************************************/
/* 方法名称: GetPeInfo
/* 方法全称： CProcessingPE::GetPeInfo
/* 参数：	LPVOID lpImageData	目标文件所在缓存区的指针
/* 参数：	DWORD dwImageSize	目标文件的大小
/* 参数：	PPE_INFO pPeInfo	[OUT]用于传出目标文件的关键PE信息
/* 返回值：	BOOL	成功返回true，失败则返回false
/* 说明： 获取PE文件信息
/************************************************************************/
BOOL CProcessingPE::GetPeInfo(LPVOID lpImageData, DWORD dwImageSize, PPE_INFO pPeInfo)
{
// 1、判断映像指针是否有效
if (m_stcPeInfo.dwOEP)
{
CopyMemory(pPeInfo, &m_stcPeInfo, sizeof(PE_INFO));
return true;
}

if (!lpImageData)
{
return false;
}

// 2、将要获取PE的文件的地址和大小保存起来
m_dwFileDataAddr = (DWORD)lpImageData;
m_dwFileDataSize = dwImageSize;


// 3. 获取基本信息
// 3.1 获取DOS头、NT头
m_pDos_Header = (PIMAGE_DOS_HEADER)lpImageData;

// 检查PE文件是否有效
if (m_pDos_Header->e_magic != IMAGE_DOS_SIGNATURE) 
{
return false;
}

m_pNt_Header = (PIMAGE_NT_HEADERS)((DWORD)lpImageData + m_pDos_Header->e_lfanew);

// 检查PE文件是否有效
if ( m_pNt_Header->Signature != IMAGE_NT_SIGNATURE)
{
return false;
}

// 3.2 获取OEP
m_stcPeInfo.dwOEP = m_pNt_Header->OptionalHeader.AddressOfEntryPoint;
// 3.3 获取映像基址
m_stcPeInfo.dwImageBase = m_pNt_Header->OptionalHeader.ImageBase;
// 3.4 获取关键数据目录表的内容
PIMAGE_DATA_DIRECTORY lpDataDir = m_pNt_Header->OptionalHeader.DataDirectory;
m_stcPeInfo.pDataDir = lpDataDir;
CopyMemory(&m_stcPeInfo.stcExport, lpDataDir + IMAGE_DIRECTORY_ENTRY_EXPORT, sizeof(IMAGE_DATA_DIRECTORY));

// 3.5 获取区段表与其他详细信息
m_stcPeInfo.pSectionHeader = IMAGE_FIRST_SECTION(m_pNt_Header);

// 4. 传出处理结果
CopyMemory(pPeInfo, &m_stcPeInfo, sizeof(PE_INFO));

return true;
}


/************************************************************************/
/* 方法名称: FixReloc
/* 方法全称： CProcessingPE::FixReloc
/* 参数：	DWORD dwLoadImageAddr	此映像被加载后的预计模块基址
/* 返回值：	void
/* 说明： 修复重定位项 此函数依赖于RVAToOffset函数。
/* 注意：
/*	1. dwLoadImageAddr指的并非是其本身ImageBase的值，而是其被加载后的预
/*	计模块基址。
/*	2. 此重定位函数并未考虑到修复类型问题，如果要提高兼容性，应该分别对
/*	三种重定位类型进行区别对待。
/************************************************************************/
void CProcessingPE::FixReloc(DWORD dwLoadImageAddr)
{
// 1. 获取映像基址与代码段指针
DWORD dwImageBase;
PVOID lpCode;
dwImageBase = m_pNt_Header->OptionalHeader.ImageBase;
lpCode = (PVOID)(m_dwFileDataAddr + RVAToOffset(m_pNt_Header->OptionalHeader.BaseOfCode));

// 2. 获取重定位表在内存中的地址
PIMAGE_DATA_DIRECTORY pDataDir;
PIMAGE_BASE_RELOCATION pReloc;
pDataDir =&( m_pNt_Header->OptionalHeader.DataDirectory [IMAGE_DIRECTORY_ENTRY_BASERELOC]);
pReloc = (PIMAGE_BASE_RELOCATION)(m_dwFileDataAddr + RVAToOffset(pDataDir->VirtualAddress));

// 3. 遍历重定位表，并对目标代码进行重定位
while (pReloc->SizeOfBlock )
{
// 3.1 取得重定位项TypeOffset与其数量
PWORD pTypeOffset = (PWORD)((DWORD)pReloc + sizeof(IMAGE_BASE_RELOCATION));
DWORD dwCount = (pReloc->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);

// 3.2 循环检查重定位项
for (DWORD i = 0; i < dwCount; i++)
{
if (!*pTypeOffset) continue;

// 3.2.1 获取此重定位项指向的指针
DWORD dwPointToRVA = (*pTypeOffset & 0x0FFF) + pReloc->VirtualAddress;
PDWORD pPtr = (PDWORD)(m_dwFileDataAddr + RVAToOffset(dwPointToRVA) );
// 3.2.2 计算重定位增量值
DWORD dwIncrement = dwLoadImageAddr - dwImageBase;
// 3.2.3 修复需重定位的地址数据
*((PDWORD)pPtr) += dwIncrement;
pTypeOffset++;
}

// 3.3 指向下一个重定位块，开始另一次循环
pReloc = (PIMAGE_BASE_RELOCATION)((DWORD)pReloc + pReloc->SizeOfBlock);
}
}


/************************************************************************/
/* 方法名称: GetExpVarAddr
/* 方法全称： CProcessingPE::GetExpVarAddr
/* 参数：	LPCTSTR strVarName
/* 返回值：	PVOID
/* 说明： 获取导出全局变量的文件偏移
/************************************************************************/
PVOID CProcessingPE::GetExpVarAddr(LPCTSTR strVarName)
{
// 1、获取导出表地址，并将参数strVarName转为ASCII形式，方便对比查找
CHAR szVarName[MAX_PATH] = { 0 };
PIMAGE_EXPORT_DIRECTORY lpExport = (PIMAGE_EXPORT_DIRECTORY)(m_dwFileDataAddr + 
RVAToOffset(m_stcPeInfo.stcExport.VirtualAddress));
WideCharToMultiByte(CP_ACP, NULL, strVarName, -1, szVarName, _countof(szVarName), NULL, FALSE);

// 2、循环读取导出表输出项的输出函数，并依次与szVarName做比对，如果相同，则取出相对应的函数地址
for (DWORD i = 0; i < lpExport->NumberOfNames; i++)
{
PDWORD pNameAddr = (PDWORD)(m_dwFileDataAddr + RVAToOffset((DWORD)lpExport->AddressOfNames + 4 * i));
PCHAR strTempName = (PCHAR)(m_dwFileDataAddr + RVAToOffset(*pNameAddr));
if (!strcmp(szVarName, strTempName))
{
PDWORD pFunAddr = (PDWORD)(m_dwFileDataAddr + RVAToOffset((DWORD)lpExport->AddressOfFunctions + 4 * i));
return (PVOID)(m_dwFileDataAddr + RVAToOffset(*pFunAddr));
}
}
return 0;
}



/************************************************************************/
/* 方法名称: AddSection
/* 方法全称： CProcessingPE::AddSection
/* 参数：	LPCTSTR strName	新区段的名称
/* 参数：	DWORD dwSize	新区段的最小体积
/* 参数：	DWORD dwChara	新区段的属性
/* 参数：	PIMAGE_SECTION_HEADER pNewSection	[OUT]新区段的段结构指针
/* 参数：	PDWORD lpSize	[OUT]新区段的最终大小
/* 返回值：	PVOID	成功返回指向新区段现在所在内存的指针
/* 说明： 添加区段函数
/* 注：
/*	此函数并未考虑到目标函数存在附加数据等细节问题。
/************************************************************************/
PVOID CProcessingPE::AddSection(LPCTSTR strName, DWORD dwSize, DWORD dwChara, PIMAGE_SECTION_HEADER pNewSection, PDWORD lpSize)
{
PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(m_pNt_Header);

// 1. 获取基本信息
DWORD dwDosSize = m_pDos_Header->e_lfanew;
DWORD dwPeSize = sizeof(IMAGE_NT_HEADERS32);
DWORD dwStnSize = m_pNt_Header->FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER);
DWORD dwHeadSize = dwDosSize + dwPeSize + dwStnSize;

// 2. 在区段表中加入新区段的信息
// 2.1 获取基本信息
CHAR szVarName[7] = { 0 };
DWORD dwFileAlign = m_pNt_Header->OptionalHeader.FileAlignment; // 文件粒度
DWORD dwSectAlign = m_pNt_Header->OptionalHeader.SectionAlignment; // 区段粒度 
WORD dwNumOfsect = m_pNt_Header->FileHeader.NumberOfSections; // 区段数目

// 2.2 获取最后一个区段的信息
IMAGE_SECTION_HEADER stcLastSect = { 0 };
CopyMemory(&stcLastSect, &pSectionHeader[dwNumOfsect - 1], sizeof(IMAGE_SECTION_HEADER));

// 2.3 根据区段粒度计算相应地址信息
DWORD dwVStart = 0; // 虚拟地址起始位置
DWORD dwFStart = stcLastSect.SizeOfRawData + stcLastSect.PointerToRawData; // 文件地址起始位置

if (stcLastSect.Misc.VirtualSize%dwSectAlign)
dwVStart = (stcLastSect.Misc.VirtualSize / dwSectAlign + 1) * dwSectAlign + stcLastSect.VirtualAddress;
else
dwVStart = (stcLastSect.Misc.VirtualSize / dwSectAlign) * dwSectAlign + stcLastSect.VirtualAddress;

DWORD dwVirtualSize = 0; // 区段虚拟大小
DWORD dwSizeOfRawData = 0; // 区段文件大小



if (dwSize%dwSectAlign)
dwVirtualSize = (dwSize / dwSectAlign + 1) * dwSectAlign;
else
dwVirtualSize = (dwSize / dwSectAlign) * dwSectAlign;

if (dwSize%dwFileAlign)
dwSizeOfRawData = (dwSize / dwFileAlign + 1) * dwFileAlign;
else
dwSizeOfRawData = (dwSize / dwFileAlign) * dwFileAlign;

WideCharToMultiByte(CP_ACP, NULL, strName, -1, szVarName, _countof(szVarName), NULL, FALSE);

// 2.4 组装一个新的区段头
IMAGE_SECTION_HEADER stcNewSect = { 0 };
CopyMemory(stcNewSect.Name, szVarName, 7); // 区段名称
stcNewSect.Misc.VirtualSize = dwVirtualSize; // 虚拟大小
stcNewSect.VirtualAddress = dwVStart; // 虚拟地址
stcNewSect.SizeOfRawData = dwSizeOfRawData; // 文件大小
stcNewSect.PointerToRawData = dwFStart; // 文件地址
stcNewSect.Characteristics = dwChara; // 区段属性

// 2.5 写入指定位置
CopyMemory((PVOID)(m_dwFileDataAddr + dwHeadSize), &stcNewSect, sizeof(IMAGE_SECTION_HEADER));

// 3. 修改区段数目字段NumberOfSections
m_pNt_Header->FileHeader.NumberOfSections++;

// 4. 修改PE文件的景象尺寸字段SizeOfImage
m_pNt_Header->OptionalHeader.SizeOfImage += dwVirtualSize;

// 5. 返回新区段的详细信息、大小，以及可直接访问的地址
CopyMemory(pNewSection, &stcNewSect, sizeof(IMAGE_SECTION_HEADER));
*lpSize = dwSizeOfRawData;
return (PVOID)(m_dwFileDataAddr + dwFStart);
}


/************************************************************************/
/* 方法名称: SetOEP
/* 方法全称： CProcessingPE::SetOEP
/* 参数：	DWORD dwOEP	新OEP
/* 返回值：	void
/* 说明： 修改目标文件OEP
/************************************************************************/
void CProcessingPE::SetOEP(DWORD dwOEP)
{
m_pNt_Header->OptionalHeader.AddressOfEntryPoint = dwOEP;
}

/************************************************************************/
/* 方法名称: SetDLL
/* 方法全称： CProcessingPE::SetDLL
/* 返回值：	void
/* 说明： 去除DLL动态加载标识
/************************************************************************/
void CProcessingPE::SetDLL()
{
m_pNt_Header->OptionalHeader.DllCharacteristics = 0x0;
}

　　

　　

————————————————
版权声明：本文为CSDN博主「布衣僧」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/oBuYiSeng/article/details/50478832