#include <stdio.h>
#include <windows.h>
int main(int argc,char *argv[])
{
FILE *fp;
char filename[MAX_PATH];
IMAGE_DOS_HEADER DOS_header; //DOS头结构
IMAGE_NT_HEADERS nt_header; //PE头结构
IMAGE_SECTION_HEADER *psection_header; //节表结构指针
printf("请输入文件名:");
gets(filename);
fp=fopen(filename,"rb");
if(fp==NULL)
{
printf("\nError:打开文件出错,请重试!\n");
getchar();
exit(0);
}
system("cls");
printf("\n当前文件:%s\n\n",filename);
//检查前两个字节是否为MZ
char ch;
ch=fgetc(fp);
if(ch != 'M')
{
printf("\n-->->->该文件不是有效的PE文件!\n");
exit(0);
}
else
{
ch=fgetc(fp);
if(ch != 'Z')
{
printf("\n-->->->该文件不是有效的PE文件!\n");
exit(0);
}
else
{
printf("\n-->->->该文件通过第一重有效性检验!\n");
}
}
// 判断是否被感染,因为在一般情况下这个位置都应该不变,为0x00
fseek(fp,0x7f,0);
ch=fgetc(fp);
if(ch!=0x00)
{
printf("\n-->->->该文件已经被感染!\n");
fclose(fp);
exit(0);
}
rewind(fp);
printf("\n------------------文件信息-------------------------\n");
fread(&DOS_header,sizeof(struct _IMAGE_DOS_HEADER),1,fp);
printf("\nPE文件头偏移:%8X h\n",DOS_header.e_lfanew);
fseek(fp,DOS_header.e_lfanew,0);
fread(&nt_header,sizeof(struct _IMAGE_NT_HEADERS),1,fp);
if(nt_header.Signature != 0x00004550)
{
printf("\n-->->->该文件没有通过第二重有效性检验!\n");
fclose(fp);
exit(0);
}
printf("\n-->->->该文件通过第二重有效性检验!\n");
printf("\n包含节的个数:%8X h\n",nt_header.FileHeader.NumberOfSections);
printf("\n程序入口地址:%8X h\n",nt_header.OptionalHeader.AddressOfEntryPoint);
printf("\n优先虚拟地址:%8X h\n",nt_header.OptionalHeader.ImageBase);
printf("\n内存文件映像尺寸:0x%X\n\n\n",nt_header.OptionalHeader.SizeOfImage);
system("pause");
system("cls");
printf("\n------------------各节详尽分析-----------------------\n\n\n");
psection_header = new IMAGE_SECTION_HEADER[nt_header.FileHeader.NumberOfSections];
fread(psection_header,nt_header.FileHeader.NumberOfSections*sizeof(struct _IMAGE_SECTION_HEADER),1,fp);
for(int i=0;i<nt_header.FileHeader.NumberOfSections;i++)
{
printf("\n第 %d 节的节表名称:%s\n",i+1,psection_header[i].Name);
printf("\n第 %d 节的文件偏移:%Xh\n",i+1,psection_header[i].PointerToRawData);
printf("\n第 %d 节的内存偏移:%Xh\n",i+1,psection_header[i].VirtualAddress);
printf("\n第 %d 节的实际大小:%XH\n",i+1,psection_header[i].Misc.VirtualSize);
printf("\n第 %d 节对齐后大小:%XH\n",i+1,psection_header[i].SizeOfRawData);
printf("\n第 %d 节的相关属性:%XH\n\n\n",i+1,psection_header[i].Characteristics);
}
fclose(fp);
getchar();
return 0;
}
c++读取pe格式文件
最新推荐文章于 2024-05-24 16:50:27 发布