判断是不是PE文件

最新推荐文章于 2021-05-21 11:25:15 发布
最新推荐文章于 2021-05-21 11:25:15 发布
阅读量3.3k 收藏 5
点赞数 1
分类专栏: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/macalyou/article/details/37569037
版权 
#include <stdio.h>
#include "assert.h"
#include <windows.h>
#include "TCHAR.H"

#ifdef UNICODE
#define IsPEFile  IsPEFileW
#define IsDigiSig IsDigiSigW
#else
#define IsPEFile  IsPEFileA
#define IsDigiSig IsDigiSigA
#endif // !UNICODE

//获得DOS头
LPVOID GetDosHeader(LPVOID lpFile)
{
	assert(lpFile != NULL);
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	if (lpFile != NULL)
		pDosHeader = (PIMAGE_DOS_HEADER)lpFile;

	return (LPVOID)pDosHeader;
}

//获得NT头
LPVOID GetNtHeader(LPVOID lpFile,BOOL& bX64)
{
	assert(lpFile != NULL);
	bX64 = FALSE;
	PIMAGE_NT_HEADERS32 pNtHeader32 = NULL;
	PIMAGE_NT_HEADERS64 pHeaders64 = NULL;

	PIMAGE_DOS_HEADER pDosHeader = NULL;
	if (lpFile != NULL)
		pDosHeader = (PIMAGE_DOS_HEADER)GetDosHeader(lpFile);
	//判断是否合法
    if (pDosHeader->e_magic !=IMAGE_DOS_SIGNATURE)
	    return NULL;

	pNtHeader32 = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	//判断是不是正常的PE文件
	if (pNtHeader32->Signature != IMAGE_NT_SIGNATURE)
	    return NULL;

	if (pNtHeader32->FileHeader.Machine==IMAGE_FILE_MACHINE_AMD64) //64bit
	{
		bX64 = TRUE;
		pHeaders64 = (PIMAGE_NT_HEADERS64)((DWORD)pDosHeader + pDosHeader->e_lfanew);
		return pHeaders64;
	}

	return pNtHeader32;
}

//获得可选头
LPVOID GetOptionHeader(LPVOID lpFile,BOOL& bX64)
{
	assert(lpFile != NULL);
	bX64 = FALSE;
	LPVOID pOptionHeader = NULL;
	BOOL bX64Nt = FALSE;

	LPVOID pNtHeader = (LPVOID)GetNtHeader(lpFile,bX64Nt);
	if (pNtHeader == NULL)
	    return NULL;

	if (bX64Nt) //64bit
	{
		bX64 = TRUE;		
		pOptionHeader = (LPVOID) PIMAGE_OPTIONAL_HEADER64((DWORD)pNtHeader +sizeof( IMAGE_FILE_HEADER )+ sizeof(DWORD)) ;
	}else
	{
		pOptionHeader = (LPVOID) PIMAGE_OPTIONAL_HEADER32((DWORD)pNtHeader + sizeof( IMAGE_FILE_HEADER )+ sizeof(DWORD));
	}	
	return pOptionHeader;
}

/*
*  获取字段
*/
BOOL IsDigiSigEX(HANDLE hFile)
{
	if (hFile == INVALID_HANDLE_VALUE)  //文件对象
		return FALSE;
	HANDLE hFileMapping = CreateFileMapping(hFile,NULL,PAGE_READONLY,0, 0, NULL);
	if (hFileMapping == NULL)  
	{
		CloseHandle(hFile);
		return FALSE;
	}
	LPVOID lpFile = MapViewOfFile(hFileMapping,FILE_MAP_READ,0, 0, 0);
	if (lpFile==NULL)  //文件视图对象
	{
		CloseHandle(hFileMapping);
		CloseHandle(hFile);
		return FALSE;
	}

	IMAGE_DATA_DIRECTORY secData = { 0 };
	LPVOID pOptionHeader = NULL;
	BOOL bX64Opheader = FALSE;

	pOptionHeader     = (LPVOID)GetOptionHeader( lpFile,bX64Opheader );
	if(pOptionHeader != NULL && bX64Opheader)
	{
		secData = ((PIMAGE_OPTIONAL_HEADER64)pOptionHeader)->DataDirectory[IMAGE_DIRECTORY_ENTRY_SECURITY];
	}
	else if(pOptionHeader != NULL)
	{
		secData = ((PIMAGE_OPTIONAL_HEADER32)pOptionHeader)->DataDirectory[IMAGE_DIRECTORY_ENTRY_SECURITY];
	}

	UnmapViewOfFile(lpFile);
	CloseHandle(hFileMapping);
	CloseHandle(hFile);
	if ( ( secData.VirtualAddress != 0 ) && ( secData.Size != 0 ) )
		return TRUE;
	return FALSE;
}
//A版函数
BOOL IsDigiSigA(LPCSTR pPath)
{
	HANDLE hFile = CreateFileA(pPath,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,NULL);
    return IsDigiSigEX(hFile);
}
//W版函数
BOOL IsDigiSigW(LPCWSTR pPath)
{
	HANDLE hFile = CreateFileW(pPath,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,NULL);
	return IsDigiSigEX(hFile);
}

//实际判断PE文件操作
BOOL IsPEFileEX(HANDLE hFile,BOOL &bIsSucceed)
{
	if (hFile == INVALID_HANDLE_VALUE)  //文件对象
		return FALSE;
	HANDLE hFileMapping = CreateFileMapping(hFile,NULL,PAGE_READONLY,0, 0, NULL);
	if (hFileMapping == NULL)  
	{
		CloseHandle(hFile);
		return FALSE;
	}
	LPVOID lpFile = MapViewOfFile(hFileMapping,FILE_MAP_READ,0, 0, 0);
	if (lpFile==NULL)  //文件视图对象
	{
		CloseHandle(hFileMapping);
		CloseHandle(hFile);
		return FALSE;
	}

	PIMAGE_DOS_HEADER pDosHeader=NULL;
	PIMAGE_NT_HEADERS32 pNtHeader32 = NULL;
	//取得Dos头部
	pDosHeader = (PIMAGE_DOS_HEADER)lpFile;
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
		UnmapViewOfFile(lpFile);
		CloseHandle(hFileMapping);
		CloseHandle(hFile);
		return TRUE;
	}

	//获取NT头
	pNtHeader32 = (PIMAGE_NT_HEADERS32)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	//判断是不是PE文件
	if (pNtHeader32->Signature != IMAGE_NT_SIGNATURE)
	{
		UnmapViewOfFile(lpFile);
		CloseHandle(hFileMapping);
		CloseHandle(hFile);
		return TRUE;
	}

	UnmapViewOfFile(lpFile);
	CloseHandle(hFileMapping);
	CloseHandle(hFile);

	bIsSucceed = TRUE;
	return TRUE;
}

/*
*  函数执行成功返回true,失败返回false,A版
*  第二个参数为true表示是PE文件,false表示非PE文件
*/
BOOL IsPEFileA(LPCSTR pPath,BOOL &bIsSucceed)
{
	bIsSucceed = FALSE;
	HANDLE hFile = CreateFileA(pPath,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,NULL);	
	return IsPEFileEX(hFile,bIsSucceed);
}
//W版
BOOL IsPEFileW(LPCWSTR pPath,BOOL &bIsSucceed)
{
	bIsSucceed = FALSE;
	HANDLE hFile = CreateFileW(pPath,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_EXISTING,FILE_FLAG_SEQUENTIAL_SCAN,NULL);	
	return IsPEFileEX(hFile,bIsSucceed);
}

int main()
{
	char *test = "D:\\1.txt";
	//WCHAR *test = _T("D:\\tes.exe");

	BOOL bIsSucceed = FALSE;
	printf("%d\n",IsPEFile(test,bIsSucceed));  //实现的第一个函数
	printf("%d\n",bIsSucceed);
	printf("%d",IsDigiSig(test));  //实现的第二个函数,参数文件句柄

	getchar();
	return 0;
}

使用程序判断一个文件是否是有效的PE文件
bcbobo21cn的专栏
03-20 1155
判断一个文件是否为有效的PE文件判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是一个有效的PE文件; VC6,单文档工程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here...
Windows下判断PE文件是32位还是64位程序
perry_xiao的专栏
09-01 7896
int __stdcall get_file_machine_bit(const WCHAR * pwszFullPath) { FILE * peFile = NULL; _wfopen_s(&peFile, pwszFullPath, L"rb"); if (peFile == NULL) { fclose(peFile)
判断一个文件是否是合法的PE文件
03-09
判断一个文件是否是合法的PE文件 IsValidPEFile.cpp
判断文件是否PE文件
4SecNet团队专栏
12-13 1502
判断一个文件文件属性是不是PE文件:主要思路就是:比较文件的DOS头和NT头的白哦之是不是“MZ”和“PE”,判断文件是不是EXE文件或者DLL文件或者其他的主要思路是:获取文件文件头的Characteristis字段,根据字段值进行判断 下边贴上源码 #include <stdio.h> #include <Windows.h> int main() { print...
如何判断一个文件是否PE文件
飞檐走壁
01-03 3343
PE文件,Portable Executable file format简称。 那么如何判断一个文件是否PE格式的文件? 1、首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE,是则 DOS MZ header 有效。 2、一旦证明文件的 DOS header 有效后,就可用e_lfanew来定位 PE header 了。 3、比较 PE header 的第一个...
PE文件学习之一:PE文件判断
weixin_34113237的博客
03-26 312
最近在看Iczelion的PE教程,整理一个简单的C/C++代码。目标是最终写一个PEViewer。本篇为判断文件是否PE文件。具体思路是判断IMAGE_DOS_HEADER和IMAGE_NT_HEADERS中的SIGNATURE,也就是著名的“MZ”和“PE\0\0"。简单类代码如下:#include <iostream> #include <stdio...
判断pe文件
小驹的专栏
06-12 832
#include 是为了使用CFileDialog main.h如下: #include class CMyApp:public CWinApp { BOOL InitInstance(); }; main.cpp如下: #include "main.h" #include CMyApp theApp; BOOL CMyApp::InitInstance()
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
在实际应用中,判断PE文件格式不仅仅是为了确认文件类型,还可以用于安全分析,比如检测病毒、木马等恶意软件。此外,对PE文件格式的理解和处理能力也是系统编程、逆向工程等领域不可或缺的技能。通过学习和实践这样...
判断你的文件是否为合法的PE文件和应用类型VC源代码
03-15
我就简单的用代码去演示如何判断PE文件合法,主要就是两个地方,头为"MZ"签名,跟着DOS头部的就是"PE"签名,任何标准的PE文件都会包含这两个签名。如下这段代码所示,这是一个判断是否为合法PE文件的API。 关键字:...
C++判断pe文件实例
09-04
本文将详细介绍如何使用C++来判断一个文件是否PE文件,以及涉及到的相关知识。 首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS)。DOS头通常包含...
二进制文件/PE文件对比工具非常好用
07-28
这款工具能够帮助用户分析并对比两个PE文件,检测它们之间的差异,从而判断是否被篡改。 描述进一步解释了这个工具的功能,它能够进行二进制级别的比较,确保在两个PE文件之间,无论是代码还是数据,都能准确地找出...
手写PE结构,提示不是有效的win32程序
05-21
自己模仿别人的写的,不知道哪里出错了,希望可以帮下
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
pefile 掌握 开发 pefile是一个多平台Python模块,用于解析和使用。 PE文件头中包含的大多数信息以及所有部分的详细信息和数据都是可访问的。 Windows头文件中定义的结构将作为PE实例中的属性进行访问。 字段/属性的命名将尝试遵循那些标头中的命名方案。 只有为方便起见而添加的快捷方式才会脱离该约定。 pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查头 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对不同类型的文件的外观的
逆向-C++判定PE文件
写代码的小阿帆的博客
05-21 669
思路分析 经过前面的介绍,我们对PE文件结构已经有了大致了解,与其他文件的不同是DOS部首和PE文件头的内容,我们可以检测DOS_HEADER中的e_magic魔术字字段是否为“MZ”来判断是否PE文件,但这还不够,如果有其他文件的起始字符也是“MZ”不就造成误判了么,所以我们还需验证PE文件头中的SINGATURE是否为“PE00",两者都满足,我们才认为该文件PE文件。 大致思路就是解析PE文件,根据其中的关键字来判断是否PE文件,如果需要,我们还可以通过PE文件头中IMAGE_FILE_HEAD
通过DOS头判断一个文件是否PE文件
DSQSYSPA的博客
11-25 932
通过DOS头判断一个文件是否PE文件,可以用工具查看,也可以通过代码的形式让程序自动的查看这段代码是一下这样的结构: 1. 加载要判断文件 2. 计算文件的大小 3. 把文件的二进制信息读进程序中创建的一段缓冲区中 4. 通过缓冲区中的首地址转换成Dos头的位置 5. 通过Dos头的IMAGE_DOS_HEADER类型的变量点出e_magic变量 6. 因为所有的PE 文件的Dos头
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 364
前言学一学PE小基础,从文件PE到内存中的PE,然后再保存到内存中这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件pe这边我们需要知道内存中对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
判断当前操作系统是否pe环境
zing's blog
09-26 1416
#include <iostream> #include <string> #include <algorithm> #include <windows.h> //#include <stdio.h> #include <conio.h> #include <winreg.h> #pragma comment...
判断文件是否pe文件
liyu355的博客
01-12 2249
判断是否pe文件,我使用了文章:http://blog.youkuaiyun.com/wangningyu/article/details/4862004里面的代码。但是这个并不够,因为我们认为纯资源的DLL文件,其实也是属于非pe的一种。那么如何判别这个呢?我又找到了这篇文章,里面有对pe结构的完整的描叙:http://www.cnblogs.com/tk091/archive/2012/09/03/2669
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值