验证PE文件有效性

最新推荐文章于 2025-01-05 19:33:02 发布
转载 最新推荐文章于 2025-01-05 19:33:02 发布 · 213 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/shremie/archive/2012/05/30/2525016.html

本文介绍了一个C++程序,用于检测Windows PE文件的有效性。通过使用CreateFile、CreateFileMapping和MapViewOfFile等API,程序能够读取并验证PE文件的DOS和NT头部签名。文章还讨论了API错误处理和内存映射文件的使用。 
 1 // IsPE.cpp : Defines the entry point for the console application.
 2 //
 3 
 4 #include "stdafx.h"
 5 #include "windows.h"
 6 BOOL IsPeFile(char szFile[]);
 7 int main(int argc, char* argv[])
 8 {
 9     printf("%d",sizeof(float));
10     IsPeFile("c:\\123.exe");
11     return 0;
12 }
13 
14 
15 
16 BOOL IsPeFile(char szFile[])
17 {
18     //CreateFile既可以用来创建一个文件也可以打开一个文件,如果是打开一个文件的话,那么文件的属性就被忽略了,
19     //只有创建一个文件的时候才需要指定这个文件的属性比如隐藏属性啊 ,系统属性啊之类的。
20         HANDLE hFile=CreateFile(szFile,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING,NULL,NULL);
21     
22     //注意CreateFile和CreateFileMapping的权限必须相同,或者CreateFile的权限应该兼容CreateFileMapping的权限。
23 
24     if(INVALID_HANDLE_VALUE==hFile)
25     {
26         printf("CreateFile error! errorcode is %d",GetLastError());
27         CloseHandle(hFile);
28         return FALSE;
29     }
30 
31     HANDLE hcf=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,0);
32 
33     
34     LPVOID lpmf=MapViewOfFile(hcf,FILE_MAP_ALL_ACCESS,0,0,0);
35     if(NULL==lpmf)
36     {
37         printf("MapViewOfFile error errorcode is %d",GetLastError());
38         UnmapViewOfFile(lpmf);
39         CloseHandle(hFile);
40         return FALSE;
41     }
42     
43     
44     PIMAGE_DOS_HEADER a=(PIMAGE_DOS_HEADER)lpmf;
45     if(IMAGE_DOS_SIGNATURE==a->e_magic)
46     {
47         printf("MZ\n");
48     }
49     //指针为什么有类型呢? BYTE*类型的指针移动的时候是一个BYTE一个BYTE移动的,而DWORD*类型的指针移动的时候是一个DWORD一个DWORD移动的。
50     PIMAGE_NT_HEADERS32 b=(PIMAGE_NT_HEADERS32)((DWORD*)lpmf+a->e_lfanew/4);
51     if(IMAGE_NT_SIGNATURE==b->Signature)
52     {
53         printf("PE\n");
54     }
55     
56     printf("this file is  a valid PE !");
57     UnmapViewOfFile(lpmf);
58     CloseHandle(hFile);
59     return TRUE;
60 }
//有没有朋友能帮忙看下我哪里写的不好,多谢了。
//另外还有一个问题,调用每个API都有可能出错,是不是每调用一个API就要在后面加上检测这个API执行结果的代码呢? 如何改进呢?

 

 //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

上面那是我今天写的,还有个前几个月前写的吧,今天给翻出来了。

	PIMAGE_DOS_HEADER lpMapView=(PIMAGE_DOS_HEADER)MapViewOfFile(hFileMap,FILE_MAP_ALL_ACCESS,0,0,0);
	
	//check MZ signature
	BOOL bMZ;
	BYTE *bMZsig=(BYTE*)lpMapView;
	if('M'==*bMZsig)
	{
		bMZsig++;
		if('Z'==*bMZsig)
		{	
			bMZ=TRUE;
		}
	}
		
	//check PE signature
	BOOL bPE;
	BYTE  *bPEoffset=(BYTE*)lpMapView+sizeof(IMAGE_DOS_HEADER)-4;
	BYTE *bPEsig=(BYTE*)lpMapView+(*bPEoffset);
	if('P'==*bPEsig)
	{
		bPEsig++;
		if('E'==*bPEsig)
			bPE=TRUE;
	}

  

 





  




转载于:https://www.cnblogs.com/shremie/archive/2012/05/30/2525016.html

                

        




    



  



    

      

        

            

              
                
                  aapow22288
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
PE文件的校验和(CheckSum)

				
			

			

				

					qq_39708161的博客
				

				

					02-18
					
					3566
					
				

			

		

		

			
				
IMAGE_OPTIONAL_HEADER.CheckSum  为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的

校验值的计算很简单:


  
  将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉)
  以WORD为单位对数据块进行累加,记住要用ad...

			
		

	



                

            
              



	

		

			

				
					
检验PE文件有效性

				
			

			

				

					weixin_34174422的博客
				

				

					06-28
					
					581
					
				

			

		

		

			
				
(一)检验PE文件有效性:检验PE中的关键数据结构是否有效。
(二)我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下:
IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...

			
		

	



              


  
              

                


	

		

			

				
					
PE文件有效性判断

				
			

			

				

					zcgzdhxm的专栏
				

				

					09-28
					
					1194
					
				

			

		

		

			
				
 
PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。

			
		

	





	

		

			

				
					
关于PE文件中的校验和

				
			

			

				

					行者无疆的专栏
				

				

					07-12
					
					3515
					
				

			

		

		

			
				
最近研究PE文件结构,每看一次文档都有新的收获,证明有很多东西还是理解得不深刻。

今天做了关于checksum校验和的实验,确认了在应用层,系统加载程序的时候,CreateProcess不会对exe做校验和检验,LoadLibrary不会对dll做检验和检验。按文档说,这些都是不需要检验的,没有问题,另外一个问题就是要确认驱动程序加载的时候需要检验校验和。
下面内容摘自PECOFF-v8

			
		

	



		

			
		



	

		

			

				
					
简单的PE文件壳设计与验证

				
			

			

				

					weixin_43908728的博客
				

				

					11-07
					
					801
					
				

			

		

		

			
				
简单的PE文件壳设计与验证
date: 2020 /11/6
Mission:

实现简单的跳转壳,在PE文件中添加新节,在新节其中加入跳转至原入口的指令,实现对原程序的启动。
实现PE文件加密壳,对原程序代码节内容异或运算,在原程序中加入新节实现对原代码节内容解密并启动运行。
Misson Source:CQU

Source Code 测试使用的asm代码
.386
.model flat,stdcall
option casemap:none
include windows.inc
include u

			
		

	





	

		

			

				
					
PE文件格式

				
			

			

				

					于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
				

				

					01-27
					
					6729
					
				

			

		

		

			
				
PE文件基本内容

			
		

	





	

		

			

				
					
PE文件结构详解(非常详细)

				
			

			

				

					zhaotianff的专栏
				

				

					08-31
					
					2336
					
				

			

		

		

			
				
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。

			
		

	





	

		

			

				
					
6-PE文件签名

				
			

			

				

					weixin_40332490的博客
				

				

					01-05
					
					1628
					
				

			

		

		

			
				
Authenticode是微软开发的一种代码签名技术,用于帮助用户检查已签名程序的发布者,确保程序在传输过程中没有被攻击者篡改。此外,用于签名的签名证书必须经过可信证书颁发机构(CA)的验证,以确保所签名的文件是来自发布者的。

			
		

	





	

		

			

          精选资源
				
					
验证PE文件签名-易语言

				
			

			

				

					06-12
				

			

		

		

			
				
在这个“验证PE文件签名-易语言”的主题中,我们将深入探讨PE文件签名的原理以及如何使用易语言进行签名验证PE文件签名主要基于Windows的 Authenticode 技术,它由Microsoft引入以增强软件安全。 Authenticode ...

			
		

	





	

		

			

				
					
汇编编写的PE文件有效性检查工具

				
			

			

				

					
				

			

		

		

			
				
验证PE文件有效性通常需要检查文件头部信息的完整性,包括但不限于签名验证、校验和计算、文件头和节表的合法性检查等。恶意软件或病毒可能会破坏或修改PE文件头以避免被检测,因此验证PE文件有效性是安全检查中的一...

			
		

	





	

		

			

				
					
易语言验证PE文件签名源码


				
			

			

				

					06-03
				

			

		

		

			
				
验证PE文件签名可以确保文件未被篡改,并且来自可信的源。  源码实现PE文件签名验证通常涉及以下几个步骤:  1. **读取PE头信息**:首先,程序需要解析PE文件的头部信息,这包括COFF(Common Object File Format)头...

			
		

	





	

		

			

				
					
检查PE文件有效性的C++实现示例

				
			

			

				

					
				

			

		

		

			
				
二、检查PE文件有效性的方法 1. DOS头验证PE文件开始部分包含一个DOS头,其有效标志是一个有效的PE签名,位于偏移量为0x3C的位置。可以通过检查该位置开始的4个字节是否为"PE\0\0"(PE\0\0字节序为***)来验证。 2...

			
		

	





	

		

			

				
					
深入理解PE文件结构及有效性的校验方法

				
			

			

				

					
				

			

		

		

			
				
PE文件结构是Windows操作系统中可执行...通过掌握上述知识点,我们可以对PE文件结构有一个全面的了解,并且能够进行基本的PE文件有效性和结构分析。这对于系统开发、软件安全以及问题诊断等领域都具有非常重要的意义。

			
		

	





	

		

			

				
					
Cisco_PacketTracer_Ex_网络设备配置与协议仿真综合练习项目_包含路由器交换机VLAN配置静态动态路由OSPF协议EIGRP协议访问控制列表ACL配置网络地址转换.zip

				
			

			

				

					01-02
				

			

		

		

			
				
Cisco_PacketTracer_Ex_网络设备配置与协议仿真综合练习项目_包含路由器交换机VLAN配置静态动态路由OSPF协议EIGRP协议访问控制列表ACL配置网络地址转换.zip

			
		

	





	

		

			

				
					
这是一个基于Docker容器化技术构建的Cisco官方网络模拟软件PacketTracer822版本的完整运行环境镜像项目_它包含了用于自动化构建Docker镜像的Dock.zip

				
			

			

				

					01-02
				

			

		

		

			
				
这是一个基于Docker容器化技术构建的Cisco官方网络模拟软件PacketTracer822版本的完整运行环境镜像项目_它包含了用于自动化构建Docker镜像的Dock.zip

			
		

	





	

		

			

				
					
这是一个为思科网络技术学院官方网络模拟软件PacketTracer构建的Flatpak应用打包清单项目_它旨在将思科官方以Debian软件包格式分发的PacketTracer网.zip

				
			

			

				

					01-02
				

			

		

		

			
				
这是一个为思科网络技术学院官方网络模拟软件PacketTracer构建的Flatpak应用打包清单项目_它旨在将思科官方以Debian软件包格式分发的PacketTracer网.zip

			
		

	





	

		

			

				
					
基于K-Means聚类的非线性抗干扰算法matlab仿真【包括程序,中文注释,程序操作视频】

					
最新发布

				
			

			

				

					01-02
				

			

		

		

			
				
1.版本:matlab2024b。

2.包含:程序,中文注释,程序操作视频。

3.领域:K-Means+聚类+非线性抗干扰

4.仿真效果:仿真效果可以参考博客同名文章《基于K-Means聚类的非线性抗干扰算法matlab仿真》

5.内容:基于K-Means聚类的非线性抗干扰算法matlab仿真。 包含数据生成(含非线性失真)、K-Means聚类训练、纠正向量计算、信号补偿、结果可视化全流程;最后通过对比星座图,显示非线性干扰补偿前后的QPSK星座点变化情况。

6.注意事项:注意MATLAB左侧当前文件夹路径,必须是程序所在文件夹位置,具体可以参考视频录。

			
		

	





	

		

			

				
					
labview录音程序实现

				
			

			

				

					01-02
				

			

		

		

			
				
代码下载地址: https://pan.quark.cn/s/a4b39357ea24     labview2018-tutorial Author: Zhiqiang Yuan this repository tells how to use LabVIEW based on labview2018. Environment: LabVIEW2018 PS: This is the source code of labview2018 course of https://www.51zxw.net/list.aspx?cid=757 , because of the copyright of this net, so I have to put the source code here. You can watch the whole movie course in the link above. If you have any problem ,you can send me an email: yuanzhiqiang@sina.cn Thanks for your attention.

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
             | 博主筛选后可见
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值