編譯過的二進制代碼本身是一種數據結構,在代碼被載入內存執行的時候,由操作系統對這種數據結構進行操作,具體到Win32平臺,就是所謂的PE文件頭。
對于Windows系統,源代碼是如何轉化為二進制代碼?全局變量存儲在什么地方,如何初始化?共享變量是如何工作?理解PE文件格式能更好地理解上面的問題.舉個例子,我們使用C++編寫源代碼,這些源代碼被編譯器翻譯成obj格式的目標文件,每一個目標文件都包含著全局變量、常量數據、資源、可執行代碼、用于鏈接的符號名以及調試信息。模塊的目標文件通過鏈接器與庫鏈接在一起,而庫自身是一種將目標文件組合在一起的格式。此外,鏈接器將所有已經初始化的全局變量合并到一個段中,將所有未初始化的全局變量合并到另一個段中,再將所有的執行代碼放入到另一個段中等。為什么要將目標文件的不同部分進行分組分段呢?主要是保護資源和優化資源的使用。例如常數和可執行代碼是只讀的,如果操作系統檢測到對這部分內存進行寫操作時,就會發出錯誤。又例如,所有的Win32程序都是用同一個gdi32.dll,這樣就優化了內存的使用,gdi32.dll的可執行代碼段自在內存中存儲一次。
PE文件格式
PE格式保留了多個目錄,通常可以看到的目錄有導入、綁定導入、延遲導入、到處、重定位、資源和調試信息。將這些段和目錄組合在一起,
加上兩個頭,就成為了PE文件。
-----------------
|IMAGE_DOS_HEADER | : 兼容DOS程序運行
|-----------------|
|DOS 存根程序 | : 小程序,用于顯示錯誤信息的軟件中斷然后退出,
|-----------------|
|PE Header | : 真正的PE頭
|-----------------|
|Section Table | : 段表
|-----------------|
|Section 1 |
|-----------------|
|Section 2 |
|-----------------|
|Section ... |
|-----------------|
|Section n |
--------------
對于DOS存根程序,由于存根程序長度不定,所以要DOS頭的e_lfanew確定偏移。
段的名稱和作用如下:
節名 作用
.arch 最初的構建信息(Alpha Architecture Information)
.bss 未經初始化的數據
.CRT C運行期只讀數據
.data 已經初始化的數據
.debug 調試信息
.didata 延遲輸入文件名表
.edata 導出文件名表
.idata 導入文件名表
.pdata 異常信息(Exception Information)
.rdata 只讀的初始化數據
.reloc 重定位表信息
.rsrc 資源
.text .exe或.dll文件的可執行代碼
.tls 線程的本地存儲器
.xdata 異常處理表
PE文件存儲的地址有些以虛擬地址的形式存儲,不過一旦其相應模塊被加載,它們就可以使用。下面編寫一個簡單的PEFile的C++類,來說明
PE文件的使用。
我們要實現一個小小的鉤子程序,將MessageBoxA改成我們自己設定的程序中去,由于程序比較簡單,不再贅述,詳見程序中的注釋。
PEFile.h
#ifndef PE_FILE_H
#define PE_FILE_H
class PEFile
{
public:
PEFile(HMODULE _hModule);
const void* getDirectory(int _id);
PIMAGE_IMPORT_DESCRIPTOR getImportDescriptor(LPCSTR _pDllName);
const unsigned * getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName);
FARPROC setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc);
FARPROC setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc);
private:
const char* m_pModule;//模塊
PIMAGE_DOS_HEADER m_pDOSHeader;//DOS頭
PIMAGE_NT_HEADERS m_pNTHeader;//NT頭
};
#endif
PEFile.cpp
#include <Windows.h>
#include "PEFile.h"
PEFile::PEFile(HMODULE _hModule)
{
m_pModule = (const char*)_hModule;
if (IsBadReadPtr(m_pModule,sizeof(IMAGE_DOS_HEADER)))
{
m_pDOSHeader = 0;
m_pNTHeader = 0;
}
else
{
m_pDOSHeader = (PIMAGE_DOS_HEADER)m_pModule;
if (IsBadReadPtr(m_pModule + m_pDOSHeader->e_lfanew,sizeof(IMAGE_NT_HEADERS)))
{
m_pNTHeader = 0;
}
else
{
m_pNTHeader = (PIMAGE_NT_HEADERS)(m_pModule + m_pDOSHeader->e_lfanew);
}
}
}
const void* PEFile::getDirectory(int _id)
{
return m_pModule + (m_pNTHeader->OptionalHeader.DataDirectory[_id].VirtualAddress);
}
//返回引入的模塊
PIMAGE_IMPORT_DESCRIPTOR PEFile::getImportDescriptor(LPCSTR _pDllName)
{
PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)getDirectory(IMAGE_DIRECTORY_ENTRY_IMPORT);
if (pImport == 0)
{
return 0;
}
//一個一個查找
while(pImport->FirstThunk)
{
if (stricmp(_pDllName,m_pModule + pImport->Name) == 0)
{
return pImport;
}
++pImport;
}
return 0;
}
//返回引入的函數
const unsigned * PEFile::getFunctionPtr(PIMAGE_IMPORT_DESCRIPTOR _pImport,LPCSTR _pProcName)
{
PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)(m_pModule + _pImport->OriginalFirstThunk);
//一個一個查找
for (int i = 0; pThunk->u1.Function ; ++i)
{
bool isMatch = false;
if (pThunk->u1.Ordinal & 0x80000000)
{
isMatch = (pThunk->u1.Ordinal & 0xFFFF) == ((DWORD)_pProcName);
}
else
{
isMatch = stricmp(_pProcName,(m_pModule + ((unsigned)pThunk->u1.AddressOfData +2 ))) == 0;
}
if (isMatch)
{
return ((unsigned *)(m_pModule + _pImport->FirstThunk)) + i;
}
++pThunk;
}
return 0;
}
//設定導入的函數地址
FARPROC PEFile::setImportAddress(LPCSTR _pDllName,LPCTSTR _pProcName,FARPROC _pNewProc)
{
PIMAGE_IMPORT_DESCRIPTOR pImport = getImportDescriptor(_pDllName);
if (pImport)
{
//拿到某模塊的某函數地址
const unsigned* pfn = getFunctionPtr(pImport,_pProcName);
if (IsBadReadPtr(pfn,sizeof(DWORD)))
{
return 0;
}
FARPROC oldproc = (FARPROC)*pfn;
//寫入自定的函數地址
DWORD dwWritten;
WriteProcessMemory(GetCurrentProcess(),(void*)pfn,&_pNewProc,sizeof(DWORD),&dwWritten);
return oldproc;
}
return 0;
}
//導出目錄
FARPROC PEFile::setExportAddress(LPCSTR _pProcName,FARPROC _pNewProc)
{
PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)getDirectory(IMAGE_DIRECTORY_ENTRY_EXPORT);
if (pExport == 0)
{
return 0;
}
unsigned ord = 0;
if ((unsigned)_pProcName < 0xFFFF)
{
ord = (unsigned)_pProcName;
}
else
{
const DWORD* pNames = (const DWORD*)(m_pModule + pExport->AddressOfNames);
const WORD* pOrds = (const WORD*)(m_pModule + pExport->AddressOfNameOrdinals);
for (unsigned i = 0; i < pExport->AddressOfNames; ++i)
{
if (stricmp(_pProcName,m_pModule + pNames[i]) == 0)
{
ord = pExport->Base + pOrds[i];
break;
}
}
}
if ( (ord < pExport->Base) || (ord > pExport->NumberOfFunctions))
{
return 0;
}
DWORD *pRVA = ((DWORD*)(m_pModule + pExport->AddressOfFunctions)) + ord - pExport->Base;
DWORD rslt = *pRVA;
DWORD dwWritten = 0;
DWORD newRVA = (DWORD)_pNewProc - (DWORD)m_pModule;
WriteProcessMemory(::GetCurrentProcess(),pRVA,&newRVA,sizeof(DWORD),&dwWritten);
return (FARPROC)(m_pModule + rslt);
}
測試代碼:
#include <Windows.h>
#include "PEFile.h"
int WINAPI MyMessageBoxA(HWND hWnd,LPCSTR pText,LPCSTR pCaption,UINT uType)
{
char buf1[128];
char buf2[128];
strcpy(buf1,pCaption);
strcat(buf1," - catch!");
strcpy(buf2,pText);
strcat(buf2," - catch!");
return MessageBoxExA(hWnd,buf2,buf1,uType,0);
}
int WINAPI WinMain( __in HINSTANCE hInstance, __in_opt HINSTANCE hPrevInstance, __in_opt LPSTR lpCmdLine, __in int nShowCmd )
{
{
PEFile pe(hInstance);
pe.setImportAddress("user32.dll","MessageBoxA",(FARPROC)MyMessageBoxA);
MessageBoxA(0,"Test","SetImportAddresss",MB_OK);
}
HMODULE hUser = GetModuleHandle("user32.dll");
PEFile user32(hUser);
FARPROC oldproc = GetProcAddress(hUser,"MessageBoxA");
user32.setExportAddress("MessageBoxA",(FARPROC)MyMessageBoxA);
FARPROC newproc = GetProcAddress(hUser,"MessageBoxA");
char temp[64];
wsprintf(temp, "GetProcAddress(MessageBoxA)\n"
"changes from %x to %x", oldproc, newproc);
MessageBoxA(NULL, temp, "SetExportAddress", MB_OK);
return 0;
}
運行一下可以發現,MessageBoxA已經變成自定義的函數,并且使用導出目錄的方法導出函數,GetProcAddress將返回新函數的地址,將來DLL載入此進程時也會和新函數鏈接。
posted on 2011-09-02 20:18
bennycen 閱讀(2392)
評論(2) 編輯 收藏 引用 所屬分類:
Windows Programming