滴水三期PE文件格式个人笔记

已于 2022-12-12 20:55:12 修改
阅读量286 收藏
点赞数
分类专栏: 内核分析 文章标签: c++ 开发语言
于 2022-11-30 21:43:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_73368512/article/details/128123048
版权
本文详细探讨了Windows平台下PE(Portable Executable)文件格式,涵盖了文件头、节区、导入导出表等关键组成部分。通过阅读,读者可以深入理解PE文件的结构及其在程序执行中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#define _CRT_SECURE_NO_WARNINGS
#include "main.h"

int main(int argc, char* argv[]) {
   
	printf("please input a file to local direct,and press any key continue\n");
	char filename[20] = {
    0 };
	DWORD dwSize = scanf("%s", filename);
	PVOID buf = NULL;
	dwSize = file2buf(filename, &buf);
	if (dwSize == 0)
	{
   
		printf("Open File Failed,Exiting Now...\n");
		return 0;
	}

	while (TRUE)
	{
   
		UINT32 caseNum = 0;
		//printf("Select a Options\n");
		printf("\n1:print NT_Header\n");
		printf("2:Print Export Direction\n");
		printf("3:Print Import Direction\n");
		printf("4:Print Reloc Direction\n");
		printf("5:Rva To Ptr\n");
		printf("6:Add Section to File\n");
		printf("7:Merge All Section\n");
		printf("8:buff to New File:\n");
		printf("88:Exit Application\n");
		printf("\nSelect: ");
		scanf("%d", &caseNum);
		switch (caseNum)
		{
   
		case 1:
			PrintNTHeaders(&buf);
		case 2:
			PrintExport(&buf);
			break;
		case 3:
			PrintImport(&buf);
			break;
		case 4:
			PrintReloc(&buf);
			break;
		case 5:
			break;
		case 6:
		{
   
			BYTE newsecname[8] = {
    0 };
			DWORD dwNewSecsize = 0;
			printf("Input New Section Name,Length must be less than 8:");
			int inputsize = scanf("%s", newsecname);
			if (inputsize == 0) {
   
				printf("Input Error,Exiting...\n");
				goto loop;
			}
			printf("Input New Section Size:");
			inputsize = scanf("%d", &dwNewSecsize);
			if (inputsize == 0) {
   
				printf("Input Error,Exiting...\n");
				goto loop;
			}
			buf = Addsec(&buf, dwNewSecsize, newsecname);
			break;
		}
		case 7:
			break;
		case 8:
		{
   
			char szNewfilename[20] = {
    0 };
			printf("Input New File Name:");
			scanf("%s", szNewfilename);
			buf2file(&buf, szNewfilename);
		}
		case 88:
			goto loop;
			break;
		default:
			break;
		}
	}
loop:
	if (buf != NULL) {
   
		free(buf);
	}
	return 0;
}

int file2buf(char* pfname, PVOID* outbuf) {
   
	FILE* pf = fopen(pfname, "rb");
	if (pf == NULL) {
   
		perror("fopen");
		return 0;
	}
	fseek(pf, 0, SEEK_END);
	int len = ftell(pf);
	//计算文件大小
	rewind(pf);
	//指针回位
	if (len == 0) {
   
		printf("获取文件大小失败!");
		return 0;
	}
	rewind(pf);
	*outbuf = malloc(len);
	memset(*outbuf, 0, len);
	fread(*outbuf, sizeof(char), len, pf);
	DWORD dossn = *(DWORD*)*outbuf;
	if (dossn == 0x905a4d) {
   
		return len;
	}
	else
		return 0;
}

LPCSTR addcodetocd(PVOID* FileBuf, PVOID pCode, UINT32 nCodesize) {
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)*FileBuf;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	int nFlags = -1;
	for (int i = 0; i < pPEHeader->NumberOfSections; i++)
	{
   
		//if ((pSectionHeader+i)->PointerToRawData + (pSectionHeader+i) + nCodesize < (pSectionHeader+i+1)->PointerToRawData) {
   
		int n = 0;
		for (UINT32 j = 1; j <= nCodesize; j++)
		{
   
			if (*(PBYTE)((DWORD)pDosHeader + (pSectionHeader + i + 1)->PointerToRawData - j) != 0)
				break;
			else
				n++;
		}
		if (n == nCodesize) {
   
			nFlags = i;
			break;
		}
	}
	if (nFlags == -1) {
   
		printf("没有足够空间添加代码");
		return 0;
	}
	memcpy((PBYTE)((DWORD)pDosHeader + (pSectionHeader + nFlags + 1)->PointerToRawData - nCodesize), pCode, nCodesize);
	printf("已插入数据在:%s", (pSectionHeader + nFlags)->Name);
	return (pSectionHeader + nFlags)->Name;
}

PVOID buf2image(PVOID* buf) {
   
	BYTE* pbuf = (BYTE*)*buf;
	printf("PE头地址:0x%x\n", *(int*)(pbuf + 0x3c));
	int e_lfanew = *(int*)(pbuf + 0x3c);
	PIMAGE_FILE_HEADER pFileHeader = (PIMAGE_FILE_HEADER)(pbuf + e_lfanew + 0x4);
	PIMAGE_OPTIONAL_HEADER pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)(pbuf + e_lfanew + 0x18);
	UINT sizeopt = pFileHeader->SizeOfOptionalHeader;
	ULONG headersize = pOptionalHeader->SizeOfHeaders;
	ULONG sizeofima = pOptionalHeader->SizeOfImage;
	PVOID newbuf = malloc(sizeofima);
	memset(newbuf, 0, sizeofima);
	newbuf = memcpy(newbuf, *buf, headersize);
	PIMAGE_SECTION_HEADER sectionList = (PIMAGE_SECTION_HEADER)(pbuf + e_lfanew + sizeopt + 0x18);
	int numofsec = pFileHeader
最低0.47元/天 解锁文章
滴水三期视频+课件+笔记
07-13
滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过 滴水三期视频+课件,想要的都有了,别错过
滴水三期完整版(96课时)
04-20
项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
滴水PE知识点学习笔记
qq_28526211的博客
03-27 1124
PE文件分为四部分: DOS部分,多是历史遗留问题,并不重要; DOS内一共有2个部分,第一个是MZ文件头,也就是拖入文件后显示的4D5A,大小一共64个字节; 第二部分是DOS Stub,也就是DOS块,他的大小不确定;如果是病毒程序,则可以在这里注入一些代码; 如何确定DOS块的大小:在MZ文件头结构体中,最后四个字节指向PE头的地址,PE头到结构体的距离就是DOS块的大小; PE文件头;...
滴水逆向三期笔记和作业-PE总结1
最新发布
weixin_44449397的博客
01-18 2707
PE头手动解析,节表,FileBuffer-ImageBuffer
滴水逆向三期笔记与作业——02C语言——01基础函数汇编
weixin_43657383的博客
04-26 703
滴水逆向三期,第二篇幅,C语言第一节课。
滴水逆向三期笔记和作业-汇编总结2
weixin_44449397的博客
01-18 1716
标志寄存器,JCC,JCC补录,堆栈图,堆栈图2
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
"滴水逆向3期作业"是一个关于逆向工程的学习项目,重点在于理解C++源码中如何处理文件,特别是与PE(Portable Executable)文件格式相关的操作。PE文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和...
深入学习PE文件结构:Filebuffer到Imagebuffer的C++实践
根据给出的文件信息,我们可以得知“滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码”是一个教学材料,它旨在通过一个具体的案例来教授PE文件格式的解析,以及如何通过C++语言来实现文件数据...
滴水逆向3期笔记与作业——01汇编
weixin_43657383的博客
04-24 2305
B站滴水逆向3期视频的笔记以及作业。 函数功能: MOV EAX,DWORD PTR SS:[EBP+8] ADD EAX,DWORD PTR SS:[EBP+C]主要功能 主要功能 5+6-5+0xA=0x10 主要功能 比较5,0C和9的最大值 计算7+6+5+4+3+2+3+2=0x20海哥牛逼。
滴水逆向三期笔记和作业-c语言总结1
weixin_44449397的博客
01-18 2213
裸函数,调用约定,if语句,if语句逆向
滴水逆向三期课件+中级课件
03-21
初级有代码和课件,中级只有课件,网上所有中级都是这个版本的,不用找了
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全一样的产品。逆向工程源于商业及军事领域中的硬件分析。其主要目的是在不能轻易获得必要的生产信息的情况下,直接从成品分析,推导出产品的设计原理。 逆向工程可能会被误认为是对知识产权的严重侵害,但是在实际应用上,反而可能会保护知识产权所有者。例如在集成电路领域,如果怀疑某公司侵犯知识产权,可以用逆向工程技术来寻找证据。
培训基础教程滴水逆向-C语言笔记
06-01
培训基础教程滴水逆向-C语言笔记
滴水逆向三期课件(全)
11-20
滴水逆向初级班三期课件,全套包括 EXE 练手文件 配套电子书 推荐下载绝对不亏!!
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向学习笔记(3)
BL_zshaom的博客
01-26 994
只能push16位或者32位的寄存器或者内存。 栈顶在push或者pop之后加几,取决于指令之后是多少位的寄存器或者内存,比如push eax ,ac转为a8,之后pop ax,a8转为aa pushad指令 ebp(栈底)esp(栈顶)的值不能乱改,因为里面的内存是系统分配的。 将六个寄存器的值改的明显一点,使用pushad指令 pushad指令就将八个寄存器的值存入了堆栈中。然后我们就可以更改寄存器里的值,改完之后,通过popad还原原本寄存器里的值 标志寄存器 1、进位标志CF 如果运算结果的
滴水逆向三期笔记与作业——02C语言——02数据类型
weixin_43657383的博客
05-04 1070
滴水逆向三期笔记与作业——02C语言——02数据类型
滴水逆向听课笔记3
qq_63676207的博客
01-10 322
汇编 内存 寄存器
IAT表入门简析【滴水逆向三期52笔记
WdIg-2023的博客
04-01 539
如果我们讲函数写在程序的源文件中,那么该函数就会被编译器直接编译到程序的二进制文件中,在程序调用该函数的时候,E8后跟的地址是直接写死的,程序直接在exe文件中找到函数,也被称为直接寻址,因为程序可以直接从自生的二进制文件中找到函数。我们知道,exe在运行的时候,会有自己独立的4GB空间,exe贴到4GB空间的时候,基本上都能按照exe文件预定的位置贴上去,但是dll文件就不一样,它每次贴的位置可能都不一样,所以MessageBox函数的地址也不一样,那程序如何调用MessageBox函数呢?
PE查看器源码分析:滴水三期win32项目解析
滴水三期win32作业项目PE查看器是一个针对Windows操作系统的编程作业项目,旨在通过Win32 API(Windows 32位应用程序接口)实现一个PE(Portable Executable,可移植执行体)文件查看器。PE文件是Windows操作系统中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值