PE文件的有效性判断

最新推荐文章于 2022-12-09 11:17:54 发布

原创最新推荐文章于 2022-12-09 11:17:54 发布 · 1.1k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#image #header #dos #null #file #struct

PE文件专栏收录该内容

1 篇文章

订阅专栏

PE 文件格式被组织为一个线性的数据流。开始的是 MS-DOS 头，然后是实模式的程序根，再就是 PE 文件签名，紧随其后的便是 PE 文件头和可选头。在这之后，出现的是所有的节头，再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息，包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图 1 中的图象信息更轻松地被消化吸收。

判断一个文件是否是有效性 PE 文件，主要是判断指定文件是否有：“有效的 DOS 头”和“ PE 文件签名”

在WinNT.h文件中，定义一下两个结构体： typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file WORD e_cp; // Pages in file WORD e_crlc; // Relocations WORD e_cparhdr; // Size of header in paragraphs WORD e_minalloc; // Minimum extra paragraphs needed WORD e_maxalloc; // Maximum extra paragraphs needed WORD e_ss; // Initial (relative) SS value WORD e_sp; // Initial SP value WORD e_csum; // Checksum WORD e_ip; // Initial IP value WORD e_cs; // Initial (relative) CS value WORD e_lfarlc; // File address of relocation table WORD e_ovno; // Overlay number WORD e_res[4]; // Reserved words WORD e_oemid; // OEM identifier (for e_oeminfo) WORD e_oeminfo; // OEM information; e_oemid specific WORD e_res2[10]; // Reserved words LONG e_lfanew; // File address of new exe header } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

具体操作：

1、把指定文件加载到内存中

2、获取文件的DOS 头部（IMAGE_DOS_HEADER ），判断 IMAGE_DOS_HEADER 中的成员变量e_magic 是否等于“ MZ ”，如果是，则说明该文件拥有有效的DOS 头

3、根据IMAGE_DOS_HEADER 中的成员变量e_lfanew ，获取PE 文件头（IMAGE_NT_HEADERS32 ），判断IMAGE_NT_HEADERS32 中的成员变量Signature 是否等于“ PE00 ”，如果是，则说明该文件是有效的PE 文件

4、从内存中删除载入的文件

// [9/28/2010 zcg] //判断pe文件的有效性 bool CheckPEFile(const wchar_t *lpFilePath) { bool isPEFile = false; HANDLE hFile = NULL; IMAGE_DOS_HEADER stDosHeader; IMAGE_NT_HEADERS32 stNtheader; DWORD dwRet = 0; //判断文件路径的有效性 if (NULL == lpFilePath) { isPEFile = false; goto END; } //第一步，打开要检测的文件 hFile = CreateFile(lpFilePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (NULL == hFile) { isPEFile = false; goto END; } //第二步，检测DOS头部的有效性 ReadFile(hFile, &stDosHeader, sizeof(IMAGE_DOS_HEADER), &dwRet, NULL); if (dwRet == sizeof(IMAGE_DOS_HEADER)) { //有效的DOS头部为“MZ” if(IMAGE_DOS_SIGNATURE == stDosHeader.e_magic) { //第三步，定位image_nt_headers的位置 dwRet = SetFilePointer(hFile, stDosHeader.e_lfanew, NULL, FILE_BEGIN); if (0xFFFFFFFF == dwRet) { isPEFile = false; goto END; } //最后一步，检测是否有有效的PE文件签名 ReadFile(hFile, &stNtheader, sizeof(IMAGE_NT_HEADERS32), &dwRet, NULL); if (IMAGE_NT_SIGNATURE == stNtheader.Signature) { isPEFile =true; } } } END: if (hFile) { CloseHandle(hFile); hFile = NULL; } return isPEFile; }