PE文件信息提取

最新推荐文章于 2025-05-03 11:43:58 发布
最新推荐文章于 2025-05-03 11:43:58 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: PE 文章标签: c语言 c++ 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52971884/article/details/122309287
版权
该博客详细介绍了如何解析PE文件的各个关键部分,包括DOS头、NT头、节表、导出表、导入表和重定位表。通过示例代码展示了如何从文件中读取这些信息,并进行地址转换。对于理解PE文件格式和逆向工程有很好的参考价值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

**

该程序主要是对PE DOS头,PE头,PE可选头,节表,导出表,导入表,重定位表的一些信息的输出,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正

**

#include<Windows.h>
#include<stdio.h>
#include<stdlib.h>
#define IMAGE_SIZEOF_SHORT_NAME 8
//数据的FOA = 数据的ROA - 区段的RVA + 数据的FOA
DWORD RvaToFoa(DWORD rva,int sum,PIMAGE_NT_HEADERS32 NTHead)
{
	PIMAGE_SECTION_HEADER PEZone =  IMAGE_FIRST_SECTION(NTHead);
	for(int i=0;i<sum;i++){
		if(rva>=PEZone->VirtualAddress&&rva<PEZone->VirtualAddress+PEZone->Misc.VirtualSize)
		return rva - PEZone->VirtualAddress + PEZone->PointerToRawData;
		PEZone++;
	} 
} 
int main()
{
	HANDLE hfile = CreateFileA(
		"C:\\Users\\486\\Desktop\\WP\\magic.exe",
		GENERIC_READ,
		FILE_SHARE_READ,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		0);
	DWORD fileSize = GetFileSize(hfile, NULL);
	char* fileBuff;
	fileBuff = (char*)malloc((size_t)fileSize);
	BOOL flag = FALSE;
	flag = ReadFile(hfile, fileBuff, fileSize, NULL, NULL);
	if (flag)
		printf("       		文件读取成功\n");
	else
		printf("       		文件读取失败\n");
	printf("---------------------DOS头-----------------------\n");
	PIMAGE_DOS_HEADER pDosHeaders = (PIMAGE_DOS_HEADER)fileBuff;
	printf("e_magic  = %#x\t", pDosHeaders->e_magic);
	printf("%c%c\n", pDosHeaders->e_magic, pDosHeaders->e_magic >> 8);
	printf("e_lfanew = %#x\n", pDosHeaders->e_lfanew);
	printf("----------------------NT头-----------------------\n");
	PIMAGE_NT_HEADERS32 NTHead = (PIMAGE_NT_HEADERS32)((DWORD)fileBuff+pDosHeaders->e_lfanew);
	printf("PE标准:%#x\t",NTHead->Signature);
	printf("%c%c\n",NTHead->Signature,NTHead->Signature>>8);
	PIMAGE_FILE_HEADER PEHead = &NTHead->FileHeader;
	printf("Machine = %#x\n",PEHead->Machine);
	printf("NumberOfSectioms = %#x\n",PEHead->NumberOfSections);
	printf("SizeOfOptionalHeader = %#x\n",PEHead->SizeOfOptionalHeader);
	printf("Characteristics = %#x\n",PEHead->Characteristics);
	PIMAGE_OPTIONAL_HEADER32 PEOptionalHeader = &NTHead->OptionalHeader;
	printf("Magic = %#x\n",PEOptionalHeader->Magic);
	printf("AddressOfEntryPoint = %#x\n",PEOptionalHeader->AddressOfEntryPoint);
	printf("ImageBase = %#x\n",PEOptionalHeader->ImageBase);
	printf("SectionAlignment = %#x\n",PEOptionalHeader->SectionAlignment);
	printf("FileAlignment = %#x\n",PEOptionalHeader->FileAlignment);
	printf("SizeOfImage = %#x\n",PEOptionalHeader->SizeOfImage);
	printf("SizeOfHeaders = %#x\n",PEOptionalHeader->SizeOfHeaders);
	printf("NumberOfRvaAndSizes = %#x\n",PEOptionalHeader->NumberOfRvaAndSizes);
	printf("----------------------节表-----------------------\n");
	PIMAGE_SECTION_HEADER PEZone =  IMAGE_FIRST_SECTION(NTHead);
	for(int i=0;i<PEHead->NumberOfSections;i++){
		char name[9];
		memcpy_s(name,9,PEZone->Name,8);
		printf("区段名称:%s\n",name);
		PEZone++;
	} 
	printf("--------------------导出表-----------------------\n");
	int sum = PEHead->NumberOfSections;
	IMAGE_DATA_DIRECTORY directory = PEOptionalHeader->DataDirectory[0];
	PIMAGE_EXPORT_DIRECTORY pexort = (PIMAGE_EXPORT_DIRECTORY)(RvaToFoa(directory.VirtualAddress,sum,NTHead)+fileBuff);
	char* dllname = RvaToFoa(pexort->Name,sum,NTHead) + fileBuff;
	printf("文件名称:%s\n",dllname);
	DWORD* funaddr = (DWORD*)(RvaToFoa(pexort->AddressOfFunctions,sum,NTHead)+fileBuff);
	WORD* peot = (WORD*)(RvaToFoa(pexort->AddressOfNameOrdinals,sum,NTHead)+fileBuff);
	DWORD* pent = (DWORD*)(RvaToFoa(pexort->AddressOfNames,sum,NTHead)+fileBuff);
	for(int i=0;i<pexort->NumberOfFunctions;i++){
		printf("函数地址:%x\t",*funaddr);
		for(int j=0;j<pexort->NumberOfNames;j++){
			if(peot[j]==i)
			{
				char *funName=(RvaToFoa(pent[j],sum,NTHead)+fileBuff);
				printf("函数名称:%s\n",funName);
				break;
			}
		}
		funaddr++;
	}
	printf("--------------------导入表-----------------------\n");
	IMAGE_DATA_DIRECTORY directory1 = PEOptionalHeader->DataDirectory[1];
	//导入表地址
	PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)(RvaToFoa(directory1.VirtualAddress,sum,NTHead)+fileBuff);
	while(pImport->OriginalFirstThunk){
		char *dllName = RvaToFoa(pImport->Name,sum,NTHead) + fileBuff;
		printf("dll文件名称:%s\n",dllName);
		PIMAGE_THUNK_DATA pThukData = (PIMAGE_THUNK_DATA)(RvaToFoa(pImport->OriginalFirstThunk,sum,NTHead)+fileBuff);
		while(pThukData->u1.Function){
			//判断是否按序号导入 
					if(pThukData->u1.Ordinal&0x80000000){
						printf("按序号导入:%d\n",pThukData->u1.Ordinal&0x7FFFFFFF);
					}
					else
					{
						PIMAGE_IMPORT_BY_NAME importName = (PIMAGE_IMPORT_BY_NAME)(RvaToFoa(pThukData->u1.AddressOfData,sum,NTHead)+fileBuff);
						printf("按名称导入:%s\n",importName->Name);
					}
					pThukData++;
		}
		pImport++;
	} 
	printf("-------------------重定位表----------------------\n");
	IMAGE_DATA_DIRECTORY directory5 = PEOptionalHeader->DataDirectory[5];
	PIMAGE_BASE_RELOCATION prelocTable = (PIMAGE_BASE_RELOCATION)(RvaToFoa(directory5.VirtualAddress,sum,NTHead)+fileBuff);
	while(1){
		if(prelocTable->VirtualAddress==0){
			break;
		}
		DWORD number = ((DWORD)prelocTable->SizeOfBlock - 8) / 2;
		WORD *prelocOffset = (WORD*)prelocTable + 4;
		for(int i=0;i<number;i++){
			if((*prelocOffset & 0x3000)==0x3000){
				DWORD rva = (*prelocOffset) & 0x0FFF + prelocTable->VirtualAddress;
				printf("rva = %x\n",rva);
			}
			prelocOffset++;
		}
		prelocTable = (PIMAGE_BASE_RELOCATION)((DWORD)prelocTable+prelocTable->SizeOfBlock);
	}
	printf("-------------------------------------------------\n");
	free(fileBuff);
	CloseHandle(hfile);
	return 0;
}
PE文件提取工具
01-20
PE文件 提取工具 逆缘论坛制作本人收藏现在共享给大家
PE文件版本信息模块.rar
04-06
这个"取PE文件版本信息模块.rar"是一个易语言编写的模块,专门用于提取PE文件中的版本信息。易语言是一种中国本土开发的编程语言,以其易学易用的特点受到很多初学者和专业人士的喜爱。 版本信息在PE文件中通常存储...
FindResource提取PE文件中的资源
qq_41490873的博客
01-05 3116
PE文件的资源为一个隐藏的PE文件,使用FindResource把它给提取出来,顺便理解一下资源函数的使用 // test.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> #include "GgetPE_Info.h" int _tmain(int argc, _TCHAR* argv[]) { char *buffer = NULL; HRSRC hRsrc = NULL; // 获取指定模块里的指定
深入解析PE文件及其内嵌BPL文件提取
最新发布
weixin_35755562的博客
05-03 842
PE(Portable Executable)文件格式是Windows操作系统中用于可执行文件、对象代码和DLL文件的一种标准格式。它是Microsoft为实现操作系统平台的可移植性而设计的一种文件格式,兼容性广泛,支持多种编程语言。BPL文件是一种包含编译过的代码和资源的包文件格式,它允许开发者将一组功能封装在一起,便于共享和复用。BPL文件主要用于Delphi环境中,用于实现对第三方组件或定制组件的轻松安装和卸载。
PE文件资源解析(一)资源类型的提取
老狼的专栏
04-21 2819
这个界面相信作为软件开发人员来说,都不会陌生。 从本章节起,分篇介绍如何来开发一个属于自己的资源提取软件。资源的提取有2种,一种是通过WindowsAPI接口来实现资源类型的枚举,一种是通过解析PE文件结构来获取资源类型的枚举。PE文件解析方式将放在后面章节,这次首先以WindowsAPI方式来进行讲解:这里主要用到3个接口EnumResourceTypes、EnumResourceName...
探秘PPLdump:一款强大的PE文件资源提取工具
gitblog_00032的博客
04-12 773
探秘PPLdump:一款强大的PE文件资源提取工具 PPLdumpDump the memory of a PPL with a userland exploit项目地址:https://gitcode.com/gh_mirrors/pp/PPLdump 项目简介 是一个开源项目,由开发者 itm4n 创建,主要用于分析和提取Windows平台上的Portable Executable(PE)文...
提取 PE 文件 / 目标进程 的各种有价值的信息
【Rainbow Network Technology co., LTD】
12-31 795
前段时间项目需要实现对 Windows PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用,简单方便。我们先看一下PE文件结构,PE文件由DOS首部,PE文件头,块表,块和调试信息组成,有关PE文件的数据结构信息在winnt.h中定义。文章不过多赘述,直接上代码简单明了。
探索PEInfo源码:C++实现PE文件信息提取
通过上述对PEInfo源码的知识点的介绍,可以看出PEInfo不仅仅是一个简单的文件信息获取工具,它背后蕴含着对Windows PE格式的深入理解和实现。这为从事Windows平台下软件开发和安全分析的技术人员提供了一个有用的...
PE提取exe文件.rar
03-16
在提供的压缩包中,"PE提取.exe"可能是一个用于提取PE文件资源的工具,而"QQ截图20141103003448.png"可能是示例或教程中的一个截图,展示了PE文件提取操作的一部分。 PE文件提取的知识点包括: 1. PE文件结构:了解...
语言实现PE文件版本信息提取模块
文件主要涉及的主题是“PE文件版本信息”的提取模块,且使用了易语言(一种中文编程语言)来实现。下面将详细介绍以下几个方面: ### 1. PE文件结构理解 PE(Portable Executable)文件是一种可执行文件格式,...
语言实现PE文件版本信息提取技术解析
**易语言PE文件版本信息模块**指的是易语言中的一个模块,这个模块包含了一系列的命令和函数,专门用来提取PE文件中的版本信息。模块是易语言中一个重要的概念,它将相关的命令或函数组合在一起,方便开发者管理和...
PE文件图片提取工具v1.0绿色免费版
07-25
PE文件图片提取工具是一款非常好用的PE文件图片提取工具。该款工具能够帮助用户提取无壳PE文件中的JPG格式和GIF格式的所有图片,方便好用,绿色无毒.如有需要欢迎前来下载体验 使用方法: 1、点击打开按钮,打开要操作的目标文件。或者直接把目标文件拖入到窗体中。 2、点击提取图片按钮。这时会在目标文件的相同文件夹里创建一个名为PeImage的文件夹,提取出来的文件以在文件中的FILEOFFS
PE提取驱动(GetPeDriver)
07-20
可以在pe的界面下提取本机驱动,避免系统启动不了时能及时保存驱动,方面系统的重新安装。
SignerExtractor(数字签名PE提取工具)v1.0.0免费安装版
07-25
Signer Extractor可以提取一个数字签名的可移植可执行(即PE)文件的(供应商、SYS、EXE和DLL)等信息。 通过快速访问系统上的所有签名者,一个特定的文件夹或分区可以帮助编译一个可信任的供应商列表,然后可以在第三方安全软件或特定的安全策略中使用。 使用NoVirusThanks Signer Extractor很简单,只需点击搜索按钮,它就会扫描目标区域,将发现的数据放在界面
语言PE文件区段源码
06-03
语言PE文件区段源码。@易语言源码分享站。
PE下驱动提取工具_GetPeDriver
08-08
对于系统已经崩溃的,就需要这个东西了。它可以在正常模式以及安全模式,甚至PE模式下分析出你的驱动,并建议你该备份哪些驱动。但该程序主要是专为PE系统打造的。
获取PE文件信息的封装
Welcome Friends~
11-06 1990
  工作之余,闲来无事,研究了一下PE文件的格式;虽然PE这方面的工具多如牛毛,用起来也非常直观,但是为了自己加深巩固理解,倒不如自己写一个小东东来一探PE究竟。代码如下【具体操纵可以参考注释】:  首先是PEFile.h//--------------------------------------------------------------------// Name:
C++ 获取 PE 文件的各种信息
优快云
07-16 8835
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。参考代码: 效果图:另外附上我的代码。😕 获取某指定区段的信息:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值