PE学习笔记2

最新推荐文章于 2025-05-24 14:13:44 发布
最新推荐文章于 2025-05-24 14:13:44 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: image string header delete file null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/i_like_cpp/article/details/380510
此博客给出一段C++代码,用于读取PE文件。代码先打开指定的PE文件,检查文件格式,接着读取PE头信息,判断是否为PE格式。之后读取节表信息,找到资源节,再读取资源目录和资源项,根据资源项的名称或ID输出资源类型。

// __pe.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"

using std::cout;
using std::endl;
LPCTSTR lpszFileToOpen = _T("c://windows//explorer.exe");
char* GetResType(int id);

int main(int argc, char* argv[])
{
 CFile f;
 TCHAR szRsRc[8];
 if (f.Open(lpszFileToOpen, CFile::typeBinary|CFile::shareDenyNone) == FALSE)
 {
  cout << "File open error." << endl;
  return 0;
 }

 f.Seek(0x3c, CFile::begin);
 short nbuf;
 f.Read(&nbuf, sizeof (short));

 try{f.Seek(nbuf, CFile::begin);}
 catch (...)
 {
  cout << "File format error." << endl;
  return 0;
 }
 IMAGE_NT_HEADERS stPEHeader;
 f.Read(&stPEHeader, sizeof stPEHeader);
 if (stPEHeader.Signature != 17744)
 {
  cout << "It isn't PE format." << endl;
  return 0;
 }
 short nSection = stPEHeader.FileHeader.NumberOfSections;
 IMAGE_SECTION_HEADER *pstSection=NULL;
 pstSection = new IMAGE_SECTION_HEADER[nSection];
 DWORD ptResource=0;
 for (int i=0; i<nSection; i++)
 {
  f.Read(&pstSection[i], sizeof (IMAGE_SECTION_HEADER));
  lstrcpy(szRsRc, (LPCSTR)pstSection[i].Name);
  if (!lstrcmp(szRsRc, _T(".rsrc/0/0")))
  {
   ptResource = pstSection[i].PointerToRawData;
  }
  cout << pstSection[i].Name << endl;
 }
 delete [] pstSection;

 IMAGE_RESOURCE_DIRECTORY stResourceDir;
 IMAGE_RESOURCE_DIRECTORY_ENTRY *pstResDirEntry1;
 IMAGE_RESOURCE_DIRECTORY *pstResourceDir1;
 IMAGE_RESOURCE_DIR_STRING_U stResDirStrU;
 TCHAR wResname[128];
 WORD nResource=0;
 long tmpSeek=0;
 if (ptResource)
 {
  f.Seek(ptResource, CFile::begin);
  f.Read(&stResourceDir, sizeof (stResourceDir));
  nResource = stResourceDir.NumberOfIdEntries+stResourceDir.NumberOfNamedEntries;

  pstResourceDir1 = new IMAGE_RESOURCE_DIRECTORY[nResource];
  pstResDirEntry1 = new IMAGE_RESOURCE_DIRECTORY_ENTRY[nResource];
  for (i=0; i<nResource; i++)
  {
   f.Read(&pstResDirEntry1[i], sizeof (IMAGE_RESOURCE_DIRECTORY_ENTRY));
  }
  for (i=0; i<nResource; i++)
  {
   f.Read(&pstResourceDir1[i], sizeof (IMAGE_RESOURCE_DIRECTORY));
   if (pstResDirEntry1[i].Name>=IMAGE_RESOURCE_NAME_IS_STRING)
   {
    cout << "........" << endl;
    tmpSeek = f.Seek(0, CFile::current);
    f.Seek(pstResDirEntry1[i].NameOffset+ptResource, CFile::begin);
    f.Read(&stResDirStrU, sizeof (IMAGE_RESOURCE_DIR_STRING_U));
    f.Read(wResname, (stResDirStrU.Length - 1)*2);
    cout << wResname << endl;
    f.Seek(tmpSeek, CFile::begin);
   }
   else
   {
    cout << GetResType(pstResDirEntry1[i].Id) << endl;
   }
  }
  delete [] pstResourceDir1;
  delete [] pstResDirEntry1;
 }
 return 0;
}

char* GetResType(int id)
{
 static char cc[36];
 sprintf(cc,"id%d: ",id);
 switch(id)
 {
 case 1: strcat(cc,"cursor/0");break;
    case 2: strcat(cc,"bitmap/0");break;
    case 3: strcat(cc,"icon/0");break;
    case 4: strcat(cc,"menu/0");break;
    case 5: strcat(cc,"dialog/0");break;
    case 6: strcat(cc,"string table/0");break;
    case 7: strcat(cc,"font directory/0");break;
    case 8: strcat(cc,"font/0");break;
    case 9: strcat(cc,"accelerators/0");break;
    case 10: strcat(cc,"unformatted resource data/0");break;
    case 11: strcat(cc,"message table/0");break;
    case 12: strcat(cc,"group cursor/0");break;
    case 14: strcat(cc,"group icon/0");break;
    case 16: strcat(cc,"version information/0");break;
 default:strcat(cc,"unkowned resource/0");
 }
 return cc;
}

小发猫
关注
【IPSec】学习笔记
知识分享与学习笔记总结,欢迎指点
03-03 934
完成于 2023-08-09 14:45:00。
Bert学习笔记
小邓博客
07-31 1016
被替换的token中80%的机率替换成掩码,10%的几率替换成别的token,剩下10的几率从vocab中替将标签换成对应位置的索引。句子位置编码:[0, 0, 0, 0, 0, 0, 1, 1, 1, 1] (0表示第一句话,1表示第二句话)注意力掩码:[1, 1, 1, 1, 1, 1, 1, 1, 1, 1] (1表示非填充,0表示填充。用于给定序列中每个位置的词添加位置信息,以便模型能够区分序列中不同位置的词。位置编码:[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]
常用的飞鸽传书工具
09-20
常用的飞鸽传书工具,内网传书文件,聊天,很好的工作助手,非常方便简单,你懂得
C++Primer Plus学习笔记
weixin_45068267的博客
04-08 2757
此博文是通过翻阅C++ Primer Plus中文第6版(2020),逐章学习记录笔记由此学习C++的基础特性和语法知识,有别于其它视频教学+代码+笔记的学习途径,更趋向传统的书籍+代码+笔记学习,Cpp第6版以C++11标准为主,学习C++基础编程绰绰有余.
PE 视频学习笔记
Oops-re的博客
12-20 1562
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件 而 PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
C语言程序设计学习笔记
CEILinggggg的博客
07-25 1811
函数是一块代码,接受零个或多个参数,做一个事情,并返回零个或多个值。返回类型 函数名(参数表) {函数体 }即使没有参数也要( )如果有参数,则需要给出正确的数量和顺序函数知道每一次是从哪里调用它,会返回到正确的地方return停止函数的执行,并送回一个值一个函数里可以出现多个return没有返回值的函数:void 函数名(参数表)不能使用带值的return使用时可以没有return。
PE学习笔记1
我还在的博客
10-14 696
文章目录与PE相关概念地址扩展虚拟内存VA相对虚拟内存地址RVA文件偏移FOA特殊地址数据目录节对齐PE文件结构 学习笔记来源《Windows.PE权威指南》这本书 与PE相关概念 地址 VA(Virtual Address):虚拟内存地址 RVA(Relative Virtual Address):相对虚拟内存地址 FOA(File Offset Address):文件偏移地址 特殊地址 扩展 ...
Transformer 架构学习笔记
Humbunklung的专栏
05-24 903
Transformer 是一种基于自注意力机制的深度学习模型架构,最初由 Google 在 2017 年提出(论文《Attention Is All You Need》)。它彻底改变了自然语言处理(NLP)领域,并成为 GPT、BERT 等大模型的基础架构。
stm32学习笔记
qq_58357566的博客
01-15 1011
嵌入式学习笔记
Auto-CAD入门学习笔记
qq_48498309的博客
06-12 3285
鼠标左键:从左到右 => 需要全覆盖选择从右到左 => 包含对象即可选择。
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
DB2安装配置学习笔记.doc
02-21
DB2 安装配置学习笔记 DB2 安装配置学习笔记是一份关于 DB2 在 Unix 或 Linux 上的安装配置的学习笔记,涵盖了安装前的准备工作、DB2 安装、license 注册等多个方面的知识点。 安装前的准备工作 在安装 DB2 之前...
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
pc样本学习笔记PE类恶意程序与启发査杀.docx
05-10
2. **静态分析**:不执行程序,仅分析其二进制代码结构,寻找可能存在的异常或可疑代码段。 3. **机器学习算法**:利用监督学习或无监督学习算法,根据已有的恶意软件样本训练模型,提高查杀准确率。 ### 实际应用...
二维码工具(1).zip
最新发布
09-13
二维码工具(1).zip
基于ZXing修改的二维码扫描器.zip
09-12
基于ZXing修改的二维码扫描器.zip
在网页上生成二维码.zip
09-12
在网页上生成二维码.zip
四级流水线8位booth算法乘法器,有无符号都支持(verilog),含testbench(system verilog)
09-12
乘法器包含三个.v文件 乘法器可进行有符号与无符号的8位乘法计算,但是需要提前输入乘数是否为有符号的标识 【 顶层multiplier_8_special.v:对乘法器进行分割段数 booth2_pp_decoder.v:使用booth算法,将乘数进行转换 mult_pp_adder.v:执行部分积加法。(这里经过了部分优化,但是仍直接使用了‘+’符号,如果是asic设计,需要更加具体,也能进一步优化) tb_mult8_special.v:(tesetbench):仿真激励文件:20*4组随机数测试数据,会返回验证时出错的数据的部分原因。(system verilog) 】 经过初步仿真验证,无问题 经过vivado某个ultrascale型号的fpga实现过后能达到500mhz以上频率,资源使用量为120lut左右 此模块为tpu设计中的一个底层模块,(作为多复用单元,可以处理浮点数据的一个部分)后续会逐步上传tpu的其他部分以及功能原理介绍 注:sys_enable:模块启动信号,sys_enable=0时会暂停并暂存数据。 valid:valid=1输入乘数有效,valid=0无效则会不计算这个数据。
无限特征选择_一种基于图的特征过滤方法_Infinite Feature Selection_ a Graph-base
09-12
无限特征选择_一种基于图的特征过滤方法_Infinite Feature Selection_ a Graph-based Feature Filtering Approach.zip
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件(PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值