PE编程汇总

最新推荐文章于 2024-09-02 15:52:16 发布
原创 最新推荐文章于 2024-09-02 15:52:16 发布 · 2.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#编程 #header #dos #image #null #file

这篇博客主要汇总了关于PE编程的相关知识,包括如何判断一个文件是否为有效的PE文件,使用C语言进行文件的读写操作,以及通过文件指针对PE文件的处理。内容将涉及RVA转换、输入输出表的获取和文件目录等核心概念。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

判断是否为有效PE文件:

(c 版读写文件)

//通过判断DOS头标志和PE头标志以及PE头属性值来确定文件是否可执行文件
BOOL IsExeFile(HANDLE hFile)
{
	DWORD nCount;
	BOOL bResult = FALSE;
	IMAGE_DOS_HEADER dosHeader;
	IMAGE_NT_HEADERS ntHeader;

	ReadFile(hFile,&dosHeader,sizeof(dosHeader),&nCount,NULL);
	if (nCount == sizeof(dosHeader))
	{
		//有效的DOS头
		if (IMAGE_DOS_SIGNATURE == dosHeader.e_magic)
		{
			if (SetFilePointer(hFile,dosHeader.e_lfanew,NULL,FILE_BEGIN) != -1)
			{//NT头检查
				ReadFile(hFile,&ntHeader,sizeof(ntHeader),&nCount,NULL);
				if(nCount == sizeof(ntHeader))
					if(IMAGE_NT_SIGNATURE == ntHeader.Signature)
						if(ntHeader.FileHeader.Characteristics & IMAGE_FILE_EXECUTABLE_IMAGE)
						{
							bResult = TRUE;
						}
			}
		}
	}
	SetFilePointer(hFile,0,NULL,FILE_BEGIN);

	return bResult;
}

(以下通过文件指针操作)

//通过ImageBase 文件指针判断,映像基址由MapViewOfFile函数获得
BOOL IsPEFile(LPVOID ImageBase)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	
	if(!ImageBase)    //指针安全检查
		return FALSE;
	//DOS头和PE头检查	
	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase; //转换ImageBase为PIMAGE_DOS_HEADER结构变量类型
	if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
		return FALSE;
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader+pDosHeader->e_lfanew); 
	//一般可等同于 pNtHeader = (PIMAGE_NT_HEADERS32)(pDosHeader->e_lfanew);
	if(pNtHeader->Signature != IMAGE_NT_SIGNATURE)
		return FALSE;
	return TRUE;
}

//映像基址的获取
	HANDLE hFile;
	HANDLE hMapping;
	LPVOID ImageBase;
	HANDLE hFile = CreateFile(szFilePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
	if(INVALID_HANDLE_VALUE == hFile) 
		 return  FALSE;
	//可以添加判断空文件语句
    hMapping = CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);
	if(!hMapping)
	{									
		CloseHandle(hFile);
		return FALSE;
	}
	ImageBase = MapViewOfFile(hMapping,FILE_MAP_READ,0,0,0);
    if(!ImageBase)
	{									
		CloseHandle(hMapping);
		CloseHandle(hFile);
		return FALSE;
	}

//获取 NT头、文件头、可选头、区块
PIMAGE_NT_HEADERS32 GetNtHeader(LPVOID ImageBase)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS32 pNtHeader = NULL;

	if(!ImageBase)
		return NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNtHeader = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader+pDosHeader->e_lfanew);

	return  pNtHeader;
}

PIMAGE_FILE_HEADER GetFileHeader(LPVOID	Imagebase)
{  
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	pNtHeader = GetNtHeader(Imagebase);
	if(!pNtHeader)
		return NULL;
	else
		return &pNtHeader->FileHeader; 
}

PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID ImageBase)
{
  PIMAGE_NT_HEADERS32 pNtHeader = NULL;
  pNtHeader=GetNtHeaders(ImageBase);
  if(!pNtHeader)
     return NULL;
  else
     return &pNtHeader->OptionalHeader;
}

//获得区块表指针
PIMAGE_SECTION_HEADER GetSectionHeader(LPVOID ImageBase)
{
	return (PIMAGE_SECTION_HEADER)
	(GetOptionalHeader(ImageBase)+sizeof(IMAGE_OPTIONAL_HEADER));
}

//待添加: rva转化、输入输出表获取、文件目录等



《Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
《Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
C++软件调试与异常排查从入门到精通专栏介绍与文章汇总
热门推荐
dvlinker的技术专栏
06-29 22万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2231
资源枚举     写一个例子,枚举一个PE文件的资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
PE工具的编写(三)
qq_45873163的博客
10-24 502
PEComp的实现 PEComp是PE文件比较器。功能是按照PE文件格式的数据结构按字段对两个指定的PE文件进行比对,以获取两个PE文件结构中不相同的信息。在实际应用中,我们可以通过对比病毒感染前后PE文件在相关字段上发生的变化来判断病毒的感染方式,从而确定清理病毒的方法。 编程思路 步骤1 打开要比较的两个文件,分别进行文件的内存映射,获取内存的起始地址。 步骤2 线性搜索根据文件头部内容确定该文件是否为PE文件,不是则退出。 步骤三 将esi指向要操作的第一个文件的相关字段处,将edi指向第二个要操作的
基于VC++实现PE的修改编程
weixin_30610755的博客
05-11 280
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS...
PE工具的编写-窗口和框架的建立
最新发布
zhyjhacker的博客
09-02 434
PE工具的编写。
初识PE结构:编程在任意节空白区添加代码(一)
laobingzai的博客
01-03 1955
我们如果想在任意节空白区添加隐藏代码:首先我们先实验对PE文件进行正确的读写,是要将.exe文件从硬盘中完整地拷贝到内存中,这时我们称这个在内存数据块为FileBuffer,然后我们要将FileBuffer按照操作系统能运行的要求进行拉伸对齐生成内存映像文件ImageBuffer,我们才能得到正确的偏移,之后将ImageBuffer按照文件对齐的形式转成新的文件NewBuffer,最后将NewBu
生信分析常用编程语言汇总
一台没有感情的知识吸尘器
05-25 2075
0525 Cloudy 说到编程语言,其实大致可以分成两种,一种是计算机编译器语言,比方说C,C++,优点在于基于计算机硬件特点编写,可以使代码有效高速的运行,特别适合大规模复杂的计算。日常用到的程序有很多,比方说其中之一就是大名鼎鼎的BLAST。还有一种是脚本语言,小到中等规模的计算和数据操作时会经常用到,这个时候用C可以说是用牛刀杀鸡。用编译器语言编写的工具绝大多数情况下除了需要参数设置以外都可以直接使用。比起编译器语言,生信分析中给我们带来阻碍更多的是脚本语言。 当然也不是说每一个编程语言都需要用的风
分析C++软件问题的实用软件与高效工具实战案例集锦汇总
dvlinker的技术专栏
06-26 16万+
C++软件分析工具案例分析集锦!根据近几年C++软件异常排查的项目实践,详细地讲述如何使用PE工具、Dependency Walker、GDIView、Process Explorer、Process Monitor、API Monitor、Clumsy、DebugDiag、Windbg、IDA Pro等常用分析工具,以及如何使用这些工具去巧妙地分析和解决日常工作中遇到的问题,有很强的实战参考价值!
C语言编程获取PE文件导入函数
一根火柴博客
02-02 971
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageN
PE知识
12-11
PE知识
PE程序壳编写学习过程(一)PE文件的读取
l470279614的博客
08-26 1630
参考书籍《加密与解密》第三版 一,头文件的包含。 由于使用WinGw编译,需要包含windef.h。然后为了windows文件的读取,包含winbase.h。又由于提示缺少va_list的声明,包含stdarg.h解决。 待续/
PE基础1
weixin_30873847的博客
06-24 287
PE文件概述 文件格式 .png 、.mp4、.gif、.dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握winodws运行秘密 掌握PE文件对逆向,病毒分析,调试,漏洞.....不可替代作 PE文件常见术语 字段:结构体中某个成员 头: 说明书本的目录或者前言 区段:...
PE文件感染程序设计(PE病毒)
Zyecho的博客
01-11 4409
记录PE病毒设计的入门实验
PE框架学习
weixin_34242331的博客
02-09 5086
PE开发基础: 开发平台PowerEngine: 开发新功能: 业务逻辑处理: 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 PE交易处理流程: 无论一个交易的发送渠道是HTTP还是TCP,最终针对每一个渠道的Adapter会将请求的Form(HTTP)或报文(TCP)转换成与渠道无关的Context...
逆向编程一,PE结构拉伸内存
cszrydn的专栏
05-20 822
PE的加载从文件到内存有一个拉伸的过程,拉伸的原因是因为PE在文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件和内存对齐字节都是一样的)。文件对齐字节在可选PE头里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1316
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
第八章 PE文件 windows程序设计 王艳平版
pjz969的专栏
08-11 475
/////////////////////////////////////////// // ValidPE.h文件 #include class CMyApp : public CWinApp { public: virtual BOOL InitInstance(); }; /////////////////////////
PE——PE基础结构分析
markey1的博客
03-08 454
PE结构 总体结构 IMAGE_NT_HEADERS包含了标准PEIMAGE_FILE_HEADER和可选PEIMAGE_OPTIONAL_HEADER。 //DOS头 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp;
PE图表库:C++和VB的图形编辑工具与源码示例
- 统计表:通常用于展示数据的汇总信息,例如平均值、中位数、总和等统计量。统计表能够帮助用户快速理解数据分布情况。 - 波形图:波形图是科学和工程领域常用的一种图表,它以时间或空间为X轴,显示信号或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值