Windows下判断PE文件是32位还是64位程序

最新推荐文章于 2024-03-24 18:52:07 发布
最新推荐文章于 2024-03-24 18:52:07 发布
阅读量2k 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/www973949com/article/details/90611416
这段代码展示了如何在Windows下使用C语言判断一个PE文件是32位还是64位程序。通过打开文件,读取IMAGE_DOS_HEADER和IMAGE_NT_HEADERS结构,特别是IMAGE_FILE_HEADER中的Machine字段,可以确定文件的运行环境。返回值32表示32位程序,64表示64位程序。实现需包含windows.h或WinNT.h头文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

int __stdcall get_file_machine_bit(const WCHAR * pwszFullPath)
{
FILE * peFile = NULL;
_wfopen_s(&peFile, pwszFullPath, L"rb");
if (peFile == NULL)
{
fclose(peFile);
return -1;
}

IMAGE_DOS_HEADER imageDosHeader;
fread(&imageDosHeader, sizeof(IMAGE_DOS_HEADER), 1, peFile);
if (imageDosHeader.e_magic != IMAGE_DOS_SIGNATURE)
    {
    fclose(peFile);
    return -1;
    }

IMAGE_NT_HEADERS imageNtHeaders;
fseek(peFile, imageDosHeader.e_lfanew, SEEK_SET);
fread(&imageNtHeaders, sizeof(IMAGE_NT_HEADERS), 1, peFile);
fclose(peFile);
if (imageNtHeaders.Signature != IMAGE_NT_SIGNATURE)
    {
    return -1;
    }

if (imageNtHeaders.FileHeader.Machine == IMAGE_FILE_MACHINE_I386)
    {
    return 32;
    }
if (imageNtHeaders.FileHeader.Machine == IMAGE_FILE_MACHINE_IA64 ||
    imageNtHeaders.FileHeader.Machine == IMAGE_FILE_MACHINE_AMD64)
    {
    return 64;
    }

return -1;
}

上述程序当文件为32位可执行文件的时候返回32,财神网www.973949.com并为64位可执行文件时返回64。需要包含头文件windows.h或WinNT.h

其中

IMAGE_DOS_HEADER中的e_lfanew是IMAGE_NT_HEADERS的偏移量。

IMAGE_NT_HEADERS 结构定义: http://msdn.microsoft.com/en-us/library/windows/desktop/ms680336(v=vs.85).aspx

IMAGE_FILE_HEADER 结构定义: http://msdn.microsoft.com/en-us/library/windows/desktop/ms680313(v=vs.85).aspx

IMAGE_FILE_HEADER 中的Machine定义了PE文件的运行环境,因此判断该变量就可以获取其可运行的环境。

www973949com
关注
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2345
什么是PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32可执行文件,也称为PE3264的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
Windows系統下如何区分一个PE文件是否是32程序还是64程序
ATree的博客
03-28 4368
        首先,PE文件结构我们是背过的,但是,在这里深深的和老师说一声:抱歉。因为我真的是忘记了,PE文件的字段实在是有一些多,长时间不用这些基本的知识,久而久之,就容易忘记了,于是,写一篇博客给自己增加记忆,另外就是帮助下别的小伙伴们,我在百度上搜了一下这个问题,竟然许多回答都不是很完善,没有给出直接的答案,反而需要我们用户去积极的理解作者表达的是什么意思,我们用户搜索时最想看到的答案就...
判断PE文件(可执行程序exe、动态链接库dll)是32,还是64
maoyeahcom的博客
08-20 2894
方法有很多,本文只介绍三种方法: ================================================================================ 方法一: 最简单粗暴的方法: 直接用记事本或者notepad++(文本编辑软件都可)打开exe文件(dll文件), 会有很多乱码,接下来只需要在第二段中找到PE两个字母,在其后的不远出会出现d? 或者L。 若是L,则证明是32; 若是d,则证明该程序6432(x86): 64(x64): ====
判断windows 程序或动态库 是32还是64
sevendemage的博客
03-15 759
exe 或者dll 以二进制打开查看,PE L 为32PE d 为64声称是32PE文件PE签名后立即具有字母“ L”,即’PE \ 0 \ 0’或在HEX 50 45 00 00中。64PE文件据称是字母’ D’附加到PE签名。
Windows系统判断.exe可执行程序32还是64的方法
qq_61395411的博客
03-21 3616
运行该程序,打开任务管理器进行查看,一般来说进程信息后面标有32字样的都是32应用程序,如果没有标记,则不能判断32还是64的。②用Windows自带的“记事本”打开重命名后的.txt文件。①把需要判断的.exe文件重命名为.txt格式。③第二行,找到PE,看PE后是L还是d?④L表示32,d?现提供一种可靠快速的方式。方法一、任务管理器查看。
如何识别可执行文件32还是64
04-01
例如,64PE文件会有额外的字段,如`IMAGE_NT_HEADERS64`,而32文件则为`IMAGE_NT_HEADERS32`。 5. **编译器标志**:如果你有源代码并知道它是用什么编译器构建的,可以检查编译器的输出或配置文件(如Makefile...
delphi 判断 exe 是否是 x64可执行文件
11-20
此外,如果你的应用需要频繁进行这种检查,可以考虑使用Windows API函数`IsWow64Process`,但这个函数只能用于判断当前正在运行的进程是否是3264系统下的WoW64子系统下运行。对于检查其他外部文件,仍需使用PE...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
在实际应用中,判断PE文件格式不仅仅是为了确认文件类型,还可以用于安全分析,比如检测病毒、木马等恶意软件。此外,对PE文件格式的理解和处理能力也是系统编程、逆向工程等领域不可或缺的技能。通过学习和实践这样...
windows判断程序32还是64工具
01-18
windows判断程序32还是64工具 目前支持检查可执行文件、动态库等PE类型文件 CheckWinExeType version 0.1.0.20130118 Usage:CheckWinPeFileType filepath example CheckWinPeFileType C:\WINDOWS\system32\sc...
安装Windows操作系统
LHB6540的博客
09-15 2835
前提知识 Legacy/UEFI ​ 在初识计算机一文中,我们已经了解了计算机的基本软硬件组成。操作系统作为最底层的软件,对于计算机的正常使用至关重要。在开始安装计算机系统前,我们先大致描述一下正常安装了操作系统的计算机的启动过程。 通电,按下电源开关 BIOS开始自检系统硬件 自检通过后,根据BIOS的存储的设置,选择用于启动系统的磁盘或其他存储设备 在上面的描述中,较新的计算机一般使用UEFI代替BIOS引导启动操作系统,这种引导方式可以加快系统启动的速度。通常,将基于BIOS的引导过程称之为Leg
安装64操作系统出现问题:在EFI系统上,Windows只能安装到GPT磁盘,解决方法
chen229220的博客
07-16 3018
1、开机进入BIOS,在 BOOT MOD选项 中有三个可选(BOTH、UEFI only和Legacy only)默认是BOTH,下面一个选项是UEFI优先,把BOOT MOD选项设为Legacy only,下面那个选项就也设置为Legacy first,保存,退出。 安装Win7 也就不会出现下面的提示了。 ...
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的置经常在变,这样可以节省内存开支、避开错误的内存置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
PE文件结构小结
qq_42814021的博客
12-05 1125
文章目录DOS头NT头文件判断一个文件是不是PE文件判断一个PE文件是不是dll判断一个PE文件是不是exe判断一个PE文件32还是64(方法1,2)可选头判断一个PE文件32还是64(方法3)数据目录导出表三个数组根据函数名称获得函数地址导入表双桥结构判断一个PE文件是不是sys节表通过RVA获得FOA PE文件结构图: DOS头 Dos头一共64个字节 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // DOS头
如何判断一个dll/exe是32还是64?(两种方法)
qq_34059233的博客
03-27 3万+
本文采用vs自带的dumpbin判断一个dll是X86还是x64,如下: Step1、打开命令提示符窗口,windos键+R键,输入cmd,回车,如下: Step2、更改目录到Dumpbin运行目录下,使用"cd"命令将目录改为同一盘符下的Dumpbin.exe所在目录下(都是C盘),如果当前目录和Dumpbin.exe所在目录不在同一个目录下,则使用"d:"命令,先更改盘符,然后再使用cd命令...
判断应用程序32还是64
jiangqin115的专栏
05-07 6411
VC++检测可执行程序DLL、EXE等是32还是64 1.首先介绍PE结构     Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。(不管是学习逆向、破解
PE知识学习(二,三)
oathevil的专栏
08-04 725
<br />PE知识学习(二)<br /><br /><br />上一贴我们了解了pe头部的dos部首部分,我们知道在这个结构里e_magic和e_lfanew这两个域对我们来说很重要.同时我们也提到了e_lfanew域指向IMAGE_NT_HEADERS32结构在pe文件的偏移.<br />补充声明一下:这里的知识是适用于32字的机器上的.<br /><br />下面我们接着看IMAGE_NT_HEADERS32结构,这个部分在pe文件的学习里至关重要.<br /><br />IMAGE_NT_HEAD
如何检查Windows的系统数?这里有详细步骤
wyxtx的博客
03-24 735
如何检查Windows的系统数?这里有详细步骤。
恶意代码分析技巧:如何判断程序32还是64
「鸿渐之翼」的博客
08-18 280
相信大家在使用IDA进行逆向分析之前都需要考虑应用程序版本 我们需要使用PEviewEXE程序进行分析 依次点击 IMAGE_NT_HEADERS-IMAGE_FILE_HEADER windows7下会警告,点击确定继续 注意观察MACHINE这个字段提示了此程序是 i386 ...
windows如何判断一个exe是64还是32
最新发布
08-01
首先,用户的问题是关于如何在Windows系统上检查一个exe文件64还是32的。我需要根据系统级指令来构建我的回答。 系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值