PE文件查看源代码

最新推荐文章于 2024-10-29 19:59:09 发布
最新推荐文章于 2024-10-29 19:59:09 发布
阅读量319 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: image descriptor header import file dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/denglin_123/article/details/6490488
本文介绍了一个C++程序,该程序用于解析Windows PE文件格式。它读取指定的PE文件,检查其是否为有效的PE文件,并打印出PE文件的详细信息,包括文件头信息、节表信息及导入表等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <conio.h>


#define addr(rva) (void *)((char *)((char *)pBasePoint+pSectionHead->PointerToRawData)+((DWORD)(rva)-pSectionHead->VirtualAddress))

int main(int argc,char *argv[]){

 IMAGE_DOS_HEADER *pDosHead;
 IMAGE_NT_HEADERS *pPeHead;
 IMAGE_SECTION_HEADER *pSectionHead;
 HANDLE hFile, hMapping;
 char *pBasePoint;
 //Create the File Handle
 hFile = ::CreateFile(argv[1], GENERIC_READ, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
 if(hFile == INVALID_HANDLE_VALUE){
  return 0;
 }
 if(!(hMapping = ::CreateFileMapping(hFile, 0, PAGE_READONLY|SEC_COMMIT, 0, 0, 0))){
  goto end;
  return 0;
 }
 if(!(pBasePoint = (char *)MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0))){
  goto end;
  return 0;
 }
 //Check is the File is PE File
 pDosHead = (IMAGE_DOS_HEADER *)pBasePoint;
 if(pDosHead->e_magic != IMAGE_DOS_SIGNATURE){
  goto end;
 }
 pPeHead = (IMAGE_NT_HEADERS *)(pBasePoint + pDosHead->e_lfanew);
 if(pPeHead->Signature != IMAGE_NT_SIGNATURE){
  goto end;
 }
 printf("运行平台 : /t");
 if(pPeHead->FileHeader.Machine == IMAGE_FILE_MACHINE_I386){
  printf("X86CPU/n");
 }else{
  printf("未X86CPU/n");
 }
 //打印PE文件头中的一些重要信息
 printf("节数目:/t%d/n",pPeHead->FileHeader.NumberOfSections);
 printf("创建时间:/t%X/n",pPeHead->FileHeader.TimeDateStamp);
 printf("PointerToSymbolTable:/t%X/n",pPeHead->FileHeader.PointerToSymbolTable);
 printf("NumberOfSymbols:/t%X/n",pPeHead->FileHeader.NumberOfSymbols);
 printf("SizeOfOptionalHeader:/t%X/n",pPeHead->FileHeader.SizeOfOptionalHeader);
 printf("Characteristics:/t%X/n",pPeHead->FileHeader.Characteristics);
 //列出Optional Header信息
 printf("进入点:/t%x/n",pPeHead->OptionalHeader.AddressOfEntryPoint);
 printf("载入地址:/t%x/n",pPeHead->OptionalHeader.ImageBase);
 printf("内存对齐:/t%x/n",pPeHead->OptionalHeader.SectionAlignment);
 printf("文件对齐:/t%x/n",pPeHead->OptionalHeader.FileAlignment);
 printf("MajorSubsystemVersion:/t%x/n",pPeHead->OptionalHeader.MajorSubsystemVersion);
 printf("MinorSubsystemVersion:/t%x/n",pPeHead->OptionalHeader.MinorSubsystemVersion);
 printf("映像大小:/t%x/n",pPeHead->OptionalHeader.SizeOfImage);
 printf("头大小:/t%x/n",pPeHead->OptionalHeader.SizeOfHeaders);
 printf("界面:/t%x/n",pPeHead->OptionalHeader.Subsystem);

 

 printf("节数目 : /t%d/n", pPeHead->FileHeader.NumberOfSections);
 printf("创建时间: /t%x/n", pPeHead->FileHeader.TimeDateStamp);
 printf("PointerToSymbolTable: /t%x/n", pPeHead->FileHeader.PointerToSymbolTable);
 for(int i = 0; i < pPeHead->FileHeader.NumberOfSections; ++i){
  pSectionHead = (IMAGE_SECTION_HEADER *)((char *)pPeHead + sizeof(*pPeHead) + i * sizeof(*pSectionHead));
  printf("/n节名称: /n");
  for(int j = 0; j < sizeof(pSectionHead->Name); ++j){
   if(pSectionHead->Name[j] == 0){
    break;
   }
   putch(pSectionHead->Name[j]);
  }
  printf("/n本节的RVA: /t%x/n", pSectionHead->VirtualAddress);
  printf("映射尺寸:  /t%x/n", pSectionHead->SizeOfRawData);
  printf("文件数据偏移: /t%x/n", pSectionHead->PointerToRawData);
  printf("节属性:  /t/%x/n", pSectionHead->Characteristics);
 }
 //导入表//遍历节表查找导入表的位置
 for(int i = 0; i < pPeHead->FileHeader.NumberOfSections; ++i){
  IMAGE_DATA_DIRECTORY *pData = &pPeHead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
  pSectionHead = (IMAGE_SECTION_HEADER *)((char*)pPeHead + sizeof( *pPeHead ) + i * sizeof(*pSectionHead));
  if(pData->VirtualAddress >= pSectionHead->VirtualAddress && pData->VirtualAddress + pData->Size <= pSectionHead->VirtualAddress+pSectionHead->SizeOfRawData);{
   IMAGE_IMPORT_DESCRIPTOR *pImport = (IMAGE_IMPORT_DESCRIPTOR *)addr(pData->VirtualAddress);
   while(pImport->Name){
    IMAGE_THUNK_DATA *imThunk_data = (IMAGE_THUNK_DATA *)addr(pImport->Characteristics);
    printf("/n导入模块: %s/n/n", (char *)addr(pImport->Name));
    while(imThunk_data->u1.Ordinal){
     if(IMAGE_SNAP_BY_ORDINAL(imThunk_data->u1.Ordinal)){
      printf("/t导入ID: /t%d/n", IMAGE_ORDINAL(imThunk_data->u1.Ordinal));
     }else{
      IMAGE_IMPORT_BY_NAME *imImport_Name = (IMAGE_IMPORT_BY_NAME *)addr(imThunk_data->u1.AddressOfData);
      printf("/t导入函数: /t/%s/n", (char *)imImport_Name->Name);
     }
     imThunk_data++;
    }
    pImport++;
   }
   break;
  }
 }
end:
 if(hFile){
  CloseHandle(hFile);
  hFile = NULL;
 }
 if(hMapping){
  CloseHandle(hMapping);
  hMapping = NULL;
 }
 return 0;
}

denglin_123
关注
如何使用 Source Insight 查看编辑C/C++源代码
dvlinker的技术专栏
04-22 1万+
本文简单介绍如何使用Source Insight工具去查看并编辑源码
32位PE文件信息查看器(WIN32控制台)
我们仍旧还是那年追逐着C++的少年的影子
05-14 4045
最近重新撸了一遍PE文件文件格式,这个程序算是复习的产物吧。说明与警告: 1.只适用于32位PE文件,可以读取符合标准的32位PE文件DOS头、NT头、节区头、导入表、导出表信息,想要其他功能请在PEFile类中找,没有请留言 2.因为是边复习功能边写的,所以不要纠结程序架构、编码风格、鲁棒性等各种问题,我会再改的 3.翻译可能是不准的,仅供参考 4.所有计数从0开始,程序不对是否越界进
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
编码实现PE文件解析(C源代码)
zjc742206723的专栏
07-15 1939
#include #include LPTSTR lpcTheFile = TEXT("c:\\i.exe"); int main(void) { HANDLE hMapFile; HANDLE hFile; DWORD dwFileSize; DWORD dwSysGran; SYSTEM_INFO SysInfo; HANDLE lpMapAddress;
PeView 命令行PE文件解析工具
优快云
10-29 2717
PeView 是一款基于C/C++开发的命令行版PE文件解析工具,专门用于解析Windows可执行文件并提供详尽的文件结构和交互式查询功能,帮助用户理解和分析目标程序的内部构成,是逆向分析和软件调试中的重要工具,本次分享工具源代码及使用方法,读者可根据自己的需要参考学习,并以此来更好的理解PE文件格式的构成。
PE文件(八)重定位表
2301_78838647的博客
07-13 1472
重定位表的引入程序加载过程在win32下,每一个PE文件(其可能由多个子PE文件组成)在运行时,操作系统会给分配一个独立的4GB虚拟内存,内存地址从0x00000000到0xFFFFFFFF。其中低2G为用户程序空间,高2G为操作系统内核空间。并且操作系统会将该文件中数据拉伸成内存中数据,从ImageBase开始,分配SizeOfImage大小空间当一个主PE文件由很多个子PE文件组成,当我们运行主PE文件时,所有的PE文件共享操作系统分配的一个4GB虚拟空间。
HTML查看器PC,PE文件查看器(PeViewer)
weixin_39668965的博客
06-23 968
PE文件查看器(PeViewer)官方版是一款实用性非常强的的PE文件查看类软件。用户使用PE文件查看器(PeViewer)最新版可以随时查看电脑中的DLL文件,并且还能对数据目录进行导入和导出。PE文件查看器(PeViewer)官方版的右键支持更多的操作,还可以对任何进程的一块符合PE结构的内存块进行分析。相似软件版本说明软件地址0.97.4 官方版查看2.3 官方版查看0.41 最新版查看5....
PE文件学习
qq_40569221的博客
07-04 1259
PE文件,即Portable Executable文件,是一种标准的文件格式,主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序(如.exe文件)、动态链接(.DLL文件)、设备驱动(.SYS文件)、ActiveX(.OCX文件)以及其他类型的可执行模块。PE文件格式设计得非常灵活和强大,它允许程序在不同版本的Windows上运行,从而实现了一定程度的可移植性。
PE文件 反汇编
qq_38393271的博客
05-05 2596
PE文件 反汇编1.PE文件1.1 Dos头1.1.1 使用python pefile 读取PE文件查看DOS头1.1.2 使用16进制文本编辑器 UltraEdit 打开PE文件1.2 NI头1.2.1 使用python pefile 读取PE文件查看IN头1.3 节表头1.3.1 使用16进制文本编辑器 UltraEdit 查看各节表头1.3.2 使用python pefile 读取PE文件查看.text节表头1.4 节表内容(.text)2.反汇编2.1 使用python capston.
PE文件(六)静态与动态链接
2301_78838647的博客
07-08 1363
本章内容为导入表和导出表的前置内容。
PE文件分析器WinDump的Delphi源代码..rar
05-03
本篇将深入探讨一个名为WinDump的PE(Portable Executable)文件分析器的Delphi源代码,通过解析这个项目,我们可以深入了解Delphi编程技巧以及PE文件格式。 首先,让我们了解PE文件格式。PE是Windows操作系统中的...
PE文件分析器VC源代码
03-15
本篇文章将围绕"PE文件分析器VC源代码"这一主题,探讨如何通过VC++编程语言对PE文件进行深度剖析,特别是如何查看EXE文件依赖的DLL及其包含的函数。 首先,我们要理解PE文件结构。PE文件由若干节区(Section)组成...
PE文件各种操作源代码加注释
09-28
PE文件PE文件各种操作的源代码,方法,包含大量注释,文件操作
PE文件加壳软件源代码
05-08
在IT行业中,"PE文件加壳软件源代码"是一个与软件保护和逆向工程相关的主题。PE(Portable Executable)文件格式是Windows操作系统中的可执行文件格式,包括.exe和.dll等。"加壳"是一种技术手段,用于在原始程序(即...
PE文件查看器:查看与分析工具含源代码
既然给定文件信息中的【标题】和【描述】都是“pe文件信息查看器--含源代码”,以及【标签】相同,我们假设这是一个软件项目,其目的在于提供一个能够查看PE文件信息,并且附带其源代码的工具。【压缩包子文件文件...
潮白、北运、蓟运河水系流经空间范围shp矢量数据.rar
最新发布
08-12
潮白、北运、蓟运河水系流经空间范围shp矢量数据
浪漫网页版女友告白与纪念日特效
08-12
资源下载链接为: https://pan.quark.cn/s/9648a1f24758 这个HTML文件是一个专门设计的网页,适合在告白或纪念日这样的特殊时刻送给女朋友,给她带来惊喜。它通过HTML技术,将普通文字转化为富有情感和创意的表达方式,让数字媒体也能传递深情。HTML(HyperText Markup Language)是构建网页的基础语言,通过标签描述网页结构和内容,让浏览器正确展示页面。在这个特效网页中,开发者可能使用了HTML5的新特性,比如音频、视频、Canvas画布或WebGL图形,来提升视觉效果和交互体验。 原本这个文件可能是基于ASP.NET技术构建的,其扩展名是“.aspx”。ASP.NET是微软开发的一个服务器端Web应用程序框架,支持多种编程语言(如C#或VB.NET)来编写动态网页。但为了在本地直接运行,不依赖服务器,开发者将其转换为纯静态的HTML格式,只需浏览器即可打开查看。 在使用这个HTML特效页时,建议使用Internet Explorer(IE)浏览器,因为一些老的或特定的网页特效可能只在IE上表现正常,尤其是那些依赖ActiveX控件或IE特有功能的页面。不过,由于IE逐渐被淘汰,现代网页可能不再对其进行优化,因此在其他现代浏览器上运行可能会出现问题。 压缩包内的文件“yangyisen0713-7561403-biaobai(html版本)_1598430618”是经过压缩的HTML文件,可能包含图片、CSS样式表和JavaScript脚本等资源。用户需要先解压,然后在浏览器中打开HTML文件,就能看到预设的告白或纪念日特效。 这个项目展示了HTML作为动态和互动内容载体的强大能力,也提醒我们,尽管技术在进步,但有时复古的方式(如使用IE浏览器)仍能唤起怀旧之情。在准备类似的个性化礼物时,掌握基本的HTML和网页制作技巧非常
XILINX FPGA网络堆栈中TCP&UDP卸载引擎的技术解析及应用 · 数据包处理 2025版
08-12
XILINX FPGA网络堆栈中的TCP和UDP卸载引擎。首先阐述了FPGA在网络数据处理中的重要性和应用场景,接着具体分析了TCP和UDP卸载引擎的工作原理及其代码实现,包括状态机、缓冲区管理和校验和计算等功能模块。最后,通过对性能的评估展示了FPGA相较于传统CPU的优势,强调了其在提升系统吞吐量和响应速度方面的重要作用。 适合人群:对FPGA技术和网络协议有一定了解的研发人员和技术爱好者。 使用场景及目标:适用于需要深入了解FPGA网络堆栈内部机制的研究人员,以及希望优化网络数据处理性能的工程师。 其他说明:本文不仅提供了理论分析,还涉及具体的代码实现细节,有助于读者全面掌握TCP和UDP卸载引擎的设计与优化方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值