// mem.cpp : 定义控制台应用程序的入口点。

//PE文件从文件加载到内存,再从内存读取,然后存盘到文件

#include "stdafx.h"

#include <windows.h>

#include <winnt.h>

#define  PATH "C:\\Users\\Administrator\\Desktop\\MSG.exe"

int Filelength(FILE *fp);

int _tmain(int argc, _TCHAR* argv[])

{

	FILE *Fp;

	fopen_s(&Fp, PATH, "rb");

	int FileSize = Filelength(Fp);//获取文件大小

	char * FileBuffer = (char *)malloc(FileSize);//申请存放文件的内存空间

	if (FileBuffer == NULL)

	{

		printf("申请iImageBuffer失败");

	}

	fread_s(FileBuffer, FileSize, 1, FileSize, Fp); //将文件复制到内存中

	//定位一下内存中的数据 各个头表

	//定位标准PE头

	PIMAGE_FILE_HEADER MyFileHeader;

	MyFileHeader = (PIMAGE_FILE_HEADER)(char *)(FileBuffer + *(int *)(FileBuffer + 0x3c) + 0x4);

	//定位可选PE头

	PIMAGE_OPTIONAL_HEADER  MyOptionalHeader;

	MyOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((char *)MyFileHeader + 0x14);

	//定位节表

	PIMAGE_SECTION_HEADER MySectionHeader;

	MySectionHeader = (PIMAGE_SECTION_HEADER)((char *)MyOptionalHeader + MyFileHeader->SizeOfOptionalHeader);

	//拉伸,也就是读到内存中的状态

	char * ImageBuffer = (char *)malloc(MyOptionalHeader->SizeOfImage);//给拉伸申请内存空间

	//ZeroMemory(ImageBuffer, MyOptionalHeader->SizeOfImage);

	if (ImageBuffer == NULL)

	{

		printf("申请iImageBuffer失败");

	}

	memcpy(ImageBuffer, FileBuffer, MyOptionalHeader->SizeOfHeaders);

	for (int i = 0; i < MyFileHeader->NumberOfSections ; i++)

	{

		memcpy(ImageBuffer + MySectionHeader->VirtualAddress, FileBuffer + MySectionHeader->PointerToRawData, MySectionHeader->SizeOfRawData);//

		MySectionHeader++;

	}

	//压缩,为存盘做准备

	char * NewBuffer = (char *)malloc(FileSize);//给压缩申请内存空间

	if (NewBuffer == NULL)

	{

		printf("申请iImageBuffer失败");

	}

	memcpy(NewBuffer, ImageBuffer, MyOptionalHeader->SizeOfHeaders);

	MySectionHeader = (PIMAGE_SECTION_HEADER)((char *)MyOptionalHeader + MyFileHeader->SizeOfOptionalHeader);//重新指一下,前面动过了

	for (int i = 0; i < MyFileHeader->NumberOfSections; i++)

	{

		memcpy(NewBuffer + MySectionHeader->PointerToRawData, ImageBuffer + MySectionHeader->VirtualAddress, MySectionHeader->SizeOfRawData);

		MySectionHeader++;

	}

	FILE *nFp;

	fopen_s(&nFp, "C:\\Users\\Administrator\\Desktop\\CYP.exe", "wb");

	fwrite(NewBuffer, FileSize, 1, nFp);

	//getchar();

	fclose(nFp);

	free(FileBuffer);

	free(ImageBuffer);

	free(NewBuffer);

	return 0;

}

//获取文件大小

int Filelength(FILE *fp)

{

	int num;

	fseek(fp, 0, SEEK_END);

	num = ftell(fp);

	fseek(fp, 0, SEEK_SET);

	return num;

}

PE文件从文件加载到内存,再从内存读取,然后存盘到文件的更多相关文章

  1. 如何使用 require.js ,实现js文件的异步加载,避免网页失去响应,管理模块之间的依赖性,便于代码的编写和维护。

    一.为什么要用require.js? 最早的时候,所有Javascript代码都写在一个文件里面,只要加载这一个文件就够了.后来,代码越来越多,一个文件不够了,必须分成多个文件,依次加载.下面的网页代 ...

  2. Javascript 文件的同步加载与异步加载

    HTML 4.01 的script属性 charset: 可选.指定src引入代码的字符集,大多数浏览器忽略该值.defer: boolean, 可选.延迟脚本执行,相当于将script标签放入页面b ...

  3. profile文件的错误加载与基本命令间的映射

    一.绪论 [因为这篇心得是原创的,所以如果有哪处总结或者意见不足的地方,欢迎各位大神的批评和意见,共同学习,谢谢了!] 早些时候,需要在centos6.4系统中配置单机版和集群版单节点的hadoop ...

  4. vue第七单元(vue的单文件组件形式-单文件组件的加载原理-vue-cli构建的开发环境以及生命周期)

    第七单元(vue的单文件组件形式-单文件组件的加载原理-vue-cli构建的开发环境以及生命周期) #课程目标 掌握安装 vue-cli 命令行工具的方法,掌握使用命令行在本地搭建开发环境,使用命令行 ...

  5. 已加载"C:\Windows\SysWOW64\msvcp120d.dll".无法查找或打开 PDB 文件.

    已加载"C:\Windows\SysWOW64\msvcp120d.dll".无法查找或打开 PDB 文件. 今天使用vs2013遇到了这样的问题. 解决方案: 点调试. 然后选项 ...

  6. 本地修改配置hosts文件解决Github加载慢问题

    本地修改配置hosts文件解决Github加载慢问题 手动方式 hosts 文件在每个系统的位置不一,详情如下: Windows 系统:C:\Windows\System32\drivers\etc\ ...

  7. PE解析器与加载器编写指南

    PE解析器与加载器编写指南 最近准备去实习,看公司要求应该开发PE相关的查杀引擎,因此再回头复习一下PE格式,重新写一个PE解析器和PE加载器,再此记录下有关坑. PE解析器部分: 1)如何确定节区表 ...

  8. IOS 多个UIImageView 加载高清大图时内存管理

    IOS 多个UIImageView 加载高清大图时内存管理 时间:2014-08-27 10:47  浏览:59人 当我们在某一个View多个UIImageView,且UIImageView都显示的是 ...

  9. 八爪鱼采集器︱加载更多、再显示20条图文教程(Xpatth、Ajax)

    每每以为攀得众山小,可.每每又切实来到起点,大牛们,缓缓脚步来俺笔记葩分享一下吧,please~ --------------------------- 由于代码布置采集器比较麻烦,又很早知道八爪鱼采 ...

随机推荐

  1. [原]sencha touch之表单二(注册页面)

    接着上一篇的登陆页面,来一个最简单的注册页面,几乎包含了常用的field Ext.application({ id:'itKingApp', launch:function(){ var formPa ...

  2. MySQL之查询性能优化(二)

    查询执行的基础 当希望MySQL能够以更高的性能运行查询时,最好的办法就是弄清楚MySQL是如何优化和执行查询的.MySQL执行一个查询的过程,根据图1-1,我们可以看到当向MySQL发送一个请求时, ...

  3. KVO的底层实现原理?如何取消系统默认的KVO并手动触发?

    KVO是基于runtime机制实现的 当某个类的属性对象第一次被观察时,系统就会在运行期动态地创建该类的一个派生类(该类的子类),在这个派生类中重写基类中任何被观察属性的setter 方法.派生类在被 ...

  4. 剑指Offer - 九度1522 - 包含min函数的栈

    剑指Offer - 九度1522 - 包含min函数的栈2013-12-01 23:44 题目描述: 定义栈的数据结构,请在该类型中实现一个能够得到栈最小元素的min函数. 输入: 输入可能包含多个测 ...

  5. Jmeter的好搭档Badboy的安装与简单使用

    前提: Windows7  64位 Jdk 1.8 1.在官网上下载badboy并安装 网址:http://www.badboy.com.au/download/add 我下载的是最新的2.2.5这个 ...

  6. typeAliasesPackage 配置

    mybatis 的 xml 文件中需要写类的全限定名,较繁琐,可以配置自动扫描包路径给类配置别名,有两种配置方式. 方式一: mybatis-config.xml 中配置 <typeAliase ...

  7. python 3 使用cmp函数报错

    python3 中已经不使用cmp函数进行比较大小,使用operator模块 import operator lt(a,b) 相当于 a<b 从第一个数字或字母(ASCII)比大小 le(a,b ...

  8. 用Python实现基于Hadoop Stream的mapreduce任务

    用Python实现基于Hadoop Stream的mapreduce任务 因为Hadoop Stream的存在,使得任何支持读写标准数据流的编程语言实现map和reduce操作成为了可能. 为了方便测 ...

  9. Opencv3.1.0安装包

    这个资源是Opencv3.1.0安装包,包括Windows软件包,Android软件包,IOS软件包,还有opencv的源代码:需要的下载吧. 点击下载

  10. ftrace 简介

    ftrace 简介 ftrace 的作用是帮助开发人员了解 Linux 内核的运行时行为,以便进行故障调试或性能分析. 最早 ftrace 是一个 function tracer,仅能够记录内核的函数 ...