如何判断一个文件是否为PE文件

PE文件格式验证方法
最新推荐文章于 2021-05-21 11:25:15 发布
原创 最新推荐文章于 2021-05-21 11:25:15 发布 · 3.4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#DOS #百度

本文介绍了如何通过检查MZ头、e_lfanew指针及PE头等关键元素来判断一个文件是否符合PE文件格式标准。PE文件即便携式可执行文件格式,是Windows操作系统下常见的文件格式之一。

PE文件,Portable Executable file format简称。

那么如何判断一个文件是否为PE格式的文件?

1、首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE,是则 DOS MZ header 有效。
2、一旦证明文件的 DOS header 有效后,就可用e_lfanew来定位 PE header 了。
3、比较 PE header 的第一个字的值是否等于IMAGE_NT_HEADER。如果前后两个值都匹配,那我们就认为该文件是一个有效的PE文件。

上面的是百度的结果

翻译通俗点

1、查找MZ头是否为0X4D5A

2、如果上面条件符合 则用e_lfanew指针定位pe头,e_lfanew一般位于0X3C

3、如果上面条件符合 则判断pe头是否为0x4550

都符合 则是有效PE文件


 

james23dier
关注
使用程序判断一个文件是否是有效的PE文件
bcbobo21cn的专栏
03-20 1212
判断一个文件是否为有效的PE文件判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是一个有效的PE文件; VC6,单文档工程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here...
判断一个文件是否是合法的PE文件
03-09
判断一个文件是否是合法的PE文件 IsValidPEFile.cpp
判断文件是否是PE文件
4SecNet团队专栏
12-13 1581
判断一个文件文件属性是不是PE文件:主要思路就是:比较文件DOS头和NT头的白哦之是不是“MZ”和“PE”,判断文件是不是EXE文件或者DLL文件或者其他的主要思路是:获取文件文件头的Characteristis字段,根据字段值进行判断 下边贴上源码 #include <stdio.h> #include <Windows.h> int main() { print...
判断是不是PE文件
游刃有余则成的专栏
07-08 3373
#include #include "assert.h" #include #include "TCHAR.H" #ifdef UNICODE #define IsPEFile IsPEFileW #define IsDigiSig IsDigiSigW #else #define IsPEFile IsPEFileA #define IsDigiSig IsDigiSigA #endi
PE文件学习之一:PE文件判断
weixin_34113237的博客
03-26 333
最近在看Iczelion的PE教程,整理一个简单的C/C++代码。目标是最终写一个PEViewer。本篇为判断文件是否是PE文件。具体思路是判断IMAGE_DOS_HEADER和IMAGE_NT_HEADERS中的SIGNATURE,也就是著名的“MZ”和“PE\0\0"。简单类代码如下:#include <iostream> #include <stdio...
通过DOS判断一个文件是否PE文件
DSQSYSPA的博客
11-25 969
通过DOS判断一个文件是否PE文件,可以用工具查看,也可以通过代码的形式让程序自动的查看这段代码是一下这样的结构: 1. 加载要判断文件 2. 计算文件的大小 3. 把文件的二进制信息读进程序中创建的一段缓冲区中 4. 通过缓冲区中的首地址转换成Dos头的位置 5. 通过Dos头的IMAGE_DOS_HEADER类型的变量点出e_magic变量 6. 因为所有的PE 文件Dos
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
本压缩包包含的资源是关于使用VC++(Visual C++)编写的源码,用于判断一个文件是否符合PE文件格式。这个功能在软件开发、系统分析以及安全领域有着广泛的应用。 首先,我们需要了解PE文件的基本结构。PE文件由多个...
精选资源
判断你的文件是否为合法的PE文件和应用类型VC源代码
03-15
能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用...如下这段代码所示,这是一个判断是否为合法PE文件的API。 关键字:pe,api,win32
使用程序判断一个文件是否是有效的PE文件.pdf
12-24
这篇文档讨论的是如何编写一个简单的C++程序来判断一个文件是否为有效的PE文件。这个过程涉及到对PE文件结构的理解以及文件I/O操作。 首先,程序使用`CreateFile`函数打开指定的文件,如`notepad.exe`,并获取文件...
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
- **导出表**:当PE文件被设计为DLL时,会有一个导出表,列出对外提供的函数和变量。其他程序可以通过这个表来调用DLL中的功能。 ### 4. 资源表 PE文件中的资源表存储了各种类型的资源,如图标(ICO)、位图(BMP...
商业编程-源码-判断你的文件是否为合法的PE文件和应用类型.zip
06-23
本资源"商业编程-源码-判断你的文件是否为合法的PE文件和应用类型.zip"提供了一段源代码,用于检测一个文件是否符合PE文件格式,并识别其应用类型。下面将深入探讨PE文件结构以及如何通过编程来检查它的合法性与类型...
判断pe文件
小驹的专栏
06-12 860
#include 是为了使用CFileDialog main.h如下: #include class CMyApp:public CWinApp { BOOL InitInstance(); }; main.cpp如下: #include "main.h" #include CMyApp theApp; BOOL CMyApp::InitInstance()
Windows下判断PE文件是32位还是64位程序
perry_xiao的专栏
09-01 8090
int __stdcall get_file_machine_bit(const WCHAR * pwszFullPath) { FILE * peFile = NULL; _wfopen_s(&peFile, pwszFullPath, L"rb"); if (peFile == NULL) { fclose(peFile)
逆向-C++判定PE文件
写代码的小阿帆的博客
05-21 722
思路分析 经过前面的介绍,我们对PE文件结构已经有了大致了解,与其他文件的不同是DOS部首和PE文件头的内容,我们可以检测DOS_HEADER中的e_magic魔术字字段是否为“MZ”来判断是否PE文件,但这还不够,如果有其他文件的起始字符也是“MZ”不就造成误判了么,所以我们还需验证PE文件头中的SINGATURE是否为“PE00",两者都满足,我们才认为该文件PE文件。 大致思路就是解析PE文件,根据其中的关键字来判断是否是PE文件,如果需要,我们还可以通过PE文件头中IMAGE_FILE_HEAD
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 397
前言学一学PE小基础,从文件PE到内存中的PE,然后再保存到内存中这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件pe这边我们需要知道内存中对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
delphi中PE文件结构
03-11 476
PE文件: ----------------------------------------------------------------------- | DOS Header | 其中_lfanew 域指向4...
delphi 简单PE文件感染源码!
期待下集是个可爱梦儿
02-27 775
<br />文件感染是木马故有的特征,其实实现这样的功能并不难!下面是一个简单实例的源码:<br />procedure copy(s:string);///S:目标文件完整文件名(带路径的)<br />var<br />s1,s2,s3:tmemorystream; //内存流<br />file1:tfilestream;//文件流<br />id:integer;<br />iid:longint;<br />const<br />id=$66666666;//感染标识<br />begin<br /
PE文件的有效性判断
zcgzdhxm的专栏
09-28 1190
  PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值