PE解析

最新推荐文章于 2020-07-21 14:29:37 发布
最新推荐文章于 2020-07-21 14:29:37 发布
阅读量440 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全开发 文章标签: 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/useror/article/details/90200362
本文深入探讨了PE(Portable Executable)文件格式,它是Windows操作系统中用于执行程序和动态链接库的主要格式。内容包括PE文件的结构、节区、导入导出表、资源管理等关键部分,旨在帮助安全开发者更好地理解和分析恶意软件行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

// PE解析1.cpp : 定义控制台应用程序的入口点。
//1·获取文件到内存
//2·判断是否是PE文件
//3·解析字段
//
//f1·RVAtoFOA

#include "stdafx.h"
#include<windows.h>


char* ReadFileToMem(char* pFilePath)
{
	HANDLE hFile = CreateFileA(pFilePath,
		GENERIC_READ,
		FILE_SHARE_WRITE | FILE_SHARE_READ,//设置共享属性 默认为0会独占
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL
		);
	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("File open failed\n");
		return 0;
	}
	//获取文件大小
	DWORD dwFileSize = GetFileSize(hFile, NULL);
	//申请内存空间
	char* pFileBuf = new char[dwFileSize] {};
	//读文件数据
	DWORD dwRead;
	BOOL bRet =
		ReadFile(hFile, pFileBuf, dwFileSize, &dwRead, NULL);

	if (bRet)
	{
		return pFileBuf;
	}
	delete pFileBuf;
	return 0;
}

/*2·判断是否是PE文件*/
BOOL IsPeFile(char* pFileBuf)
{
	PIMAGE_DOS_HEADER pDos=(PIMAGE_DOS_HEADER)pFileBuf;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pFileBuf);

	if ((pDos->e_magic!=IMAGE_DOS_SIGNATURE)||(pNt->Signature!=IMAGE_NT_SIGNATURE))
	{
		printf("isn't PE File\n");
		delete pFileBuf;
		return FALSE;
	}
	printf("It's PE File\n");
	return TRUE;
}

/*3·解析PE中的字段*/
void ShowImportantData(char * pFileBase)
{
	PIMAGE_DOS_HEADER pDos=(PIMAGE_DOS_HEADER)pFileBase;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pFileBase);

	//加载基址
	printf("加载基址:0x%X\n", pNt->OptionalHeader.ImageBase);
	//OEP
	printf("OEP:0x%X\n", pNt->OptionalHeader.AddressOfEntryPoint);
	//文件属性
	printf("文件属性:0x%X\n", pNt->FileHeader.Characteristics);

	//32or64位文件
	if (pNt->OptionalHeader.Magic==0x10B?1:0)
	{
		printf("32位文件\n");
	}
	else
	{
		printf("64位文件\n");
	}
}

/*f1 RVA to FOA*/
DWORD RVAtoFOA(DWORD dwRVA, char*pBase)
{
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBase;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pBase);

	//获取区段数
	DWORD dwSectionCount = pNt->FileHeader.NumberOfSections;
	//第一区段表地址
	PIMAGE_SECTION_HEADER pSec1 = IMAGE_FIRST_SECTION(pNt);
	//循环比对地址落在哪个区段
	for (DWORD i = 0; i < dwSectionCount;i++)
	{
		if (dwRVA>=pSec1->VirtualAddress &&
			dwRVA<pSec1->VirtualAddress+
			pSec1->SizeOfRawData)
		{
			return dwRVA - pSec1->VirtualAddress + pSec1->PointerToRawData;
		}
		pSec1++;
	}
	return 0;
}



int _tmain(int argc, _TCHAR* argv[])
{
	char* pFile = ReadFileToMem("F:\\src.exe");  //文件路径
	if (!IsPeFile(pFile))
	{
		return 0;
	}
	ShowImportantData(pFile);
	getchar();
	return 0;
}

在这里插入图片描述

PE解析器(C语言).zip
08-19
使用C语言完成PE解析器,对未加壳状态下的PE文件进行解析,查看其基本信息、导入表、导出表、资源表等
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
pe解析
Iamangle122的博客
12-02 316
doc头word e_magic “MZ标记”用于判断是否为可执行文件
PE文件解析
爱上了她的猫~
05-28 3589
标题:PE文件解析 作者:流浪的野指针 1 IMAGE_DOS_HEADER MS-DOS 头部存在于每个 PE 文件中,它的存在完全是出于兼容性的考虑,MS-DOS 头部紧接的是 DOS-STUB,这两部分构成了可执行文件的基本要素,当该程序运行在 MS-DOS 系统中,并不会出现不可预料的错误,因为它会执行 DOS-STUB 中的代码,如果不行它也仅仅是提示你 This program c...
PE格式详解讲解1
Masimaro的专栏
03-13 755
这篇文章主要转载自小甲鱼的加密解密部分,然后补充加上我自己的少许内容,原文地址–>传送门 下面的内容主要是围绕这个图来进行 MS-DOS头部这个头部是为了兼容早期的DOS系统,PE文件的第一个字节起始于一个传统的MS-DOS头,被称为IMAGE_DOS_HEADER,这个结构体完整的定义如下:(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WO
VS2022MFC非常基础的pe解析器(滴水三期自查用,只适用于64)
最新发布
10-10
VS2022环境下开发的MFC应用程序,通常被称为“非常基础的PE解析器”,旨在特定的项目环境中使用,即“滴水三期自查”项目。PE文件是Windows操作系统中常见的可执行文件格式,其全称为Portable Executable,它包括了...
三个PE解析器代码学习
04-29
标题 "三个PE解析器代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
PE解析器python脚本
03-17
标题中的“PE解析器python脚本”指的是一个使用Python编程语言编写的程序,它的主要功能是解析PE(Portable Executable)文件格式。PE文件格式是Windows操作系统中的可执行文件和动态链接库(DLL)的标准格式。这个...
基于C++实现32位PE解析工具
06-06
在C++中实现PE解析,我们需要关注以下核心知识点: 1. 文件I/O操作:使用C++标准库中的`fstream`类读取和处理PE文件的二进制数据。 2. 结构体和联合体:定义一系列结构体来映射PE文件的各个部分,如IMAGE_DOS_...
PEInfo.zip_peinfo_pe解析
09-23
标题中的"PEInfo.zip_peinfo_pe解析"指出我们要探讨的主题是关于PE文件的解析,这主要涉及Windows操作系统中的可执行文件格式。PE(Portable Executable)格式是Microsoft为32位和64位Windows系统设计的文件格式,...
PE解析器,纯手工制作,用于分析可执行文件,逆向破解必备工具
07-18
用于解析windows系统平台的可执行文件解析 运行平台:WIN7 64bit/32bit,WIN8 64bit/32bit,WIN10 64bit/32bit; 暂不支持64位PE文件。
PE文件解析
08-20
简易的基于文件操作的PE文件解析器源码
PE 文件解析程序(含反汇编)
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
PE文件解析(C#)
06-28
PE文件解析的c#实现 PE文件解析的c#实现
PE文件解析器的原理(C语言代码)
01-16
用C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架
pe文件解析
&Ψ的博客
07-21 1261
文章目录pe文件解析1.pe文件总图2.大体的分类2.1 dos头部分2.2 pe头2.2.1 标准pe头2.2.2 扩展pe头2.3段表2.4 验证3.rva和foa3.1对齐的相关变量3.2什么是对齐3.3pe文件中的对齐3.4 rva和foa的转换算法3.5验证算法4 导出表4.1实验4.2 利用输出的foa地址找到函数5 导入表5.1 输出模块的名字和依赖模块的函数表5.2 在内存中输出OriginalFirstThunk 和 FirstThunk 指向的结构 pe文件解析 1.pe文件总图 所有成
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
热门推荐
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件(PE,Portable...
图形界面PE解析工具源码深入解析
标题“PE文件解析器”和描述“图形界面的PE解析工具源码 PE的各个结构已经目录表 节数据”告诉我们该文件包含了一个用于分析PE(Portable Executable)文件的解析工具的源代码。PE文件是一种在Windows操作系统中用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值