PE编程汇总

最新推荐文章于 2022-03-08 16:38:23 发布
最新推荐文章于 2022-03-08 16:38:23 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: Win32 汇编(罗云彬 第3版) 文章标签: 编程 header dos image null file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kisbuddy/article/details/6686069
版权
这篇博客主要汇总了关于PE编程的相关知识,包括如何判断一个文件是否为有效的PE文件,使用C语言进行文件的读写操作,以及通过文件指针对PE文件的处理。内容将涉及RVA转换、输入输出表的获取和文件目录等核心概念。
摘要由CSDN通过智能技术生成

判断是否为有效PE文件:

(c 版读写文件)

//通过判断DOS头标志和PE头标志以及PE头属性值来确定文件是否可执行文件
BOOL IsExeFile(HANDLE hFile)
{
	DWORD nCount;
	BOOL bResult = FALSE;
	IMAGE_DOS_HEADER dosHeader;
	IMAGE_NT_HEADERS ntHeader;

	ReadFile(hFile,&dosHeader,sizeof(dosHeader),&nCount,NULL);
	if (nCount == sizeof(dosHeader))
	{
		//有效的DOS头
		if (IMAGE_DOS_SIGNATURE == dosHeader.e_magic)
		{
			if (SetFilePointer(hFile,dosHeader.e_lfanew,NULL,FILE_BEGIN) != -1)
			{//NT头检查
				ReadFile(hFile,&ntHeader,sizeof(ntHeader),&nCount,NULL);
				if(nCount == sizeof(ntHeader))
					if(IMAGE_NT_SIGNATURE == ntHeader.Signature)
						if(ntHeader.FileHeader.Characteristics & IMAGE_FILE_EXECUTABLE_IMAGE)
						{
							bResult = TRUE;
						}
最低0.47元/天 解锁文章
kisbuddy
关注
专栏目录
《Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
《Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2172
资源枚举     写一个例子,枚举一个PE文件的资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
PE工具的编写(三)
qq_45873163的博客
10-24 436
PEComp的实现 PEComp是PE文件比较器。功能是按照PE文件格式的数据结构按字段对两个指定的PE文件进行比对,以获取两个PE文件结构中不相同的信息。在实际应用中,我们可以通过对比病毒感染前后PE文件在相关字段上发生的变化来判断病毒的感染方式,从而确定清理病毒的方法。 编程思路 步骤1 打开要比较的两个文件,分别进行文件的内存映射,获取内存的起始地址。 步骤2 线性搜索根据文件头部内容确定该文件是否为PE文件,不是则退出。 步骤三 将esi指向要操作的第一个文件的相关字段处,将edi指向第二个要操作的
基于VC++实现PE的修改编程
weixin_30610755的博客
05-11 234
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS...
初识PE结构:编程在任意节空白区添加代码(一)
laobingzai的博客
01-03 1911
我们如果想在任意节空白区添加隐藏代码:首先我们先实验对PE文件进行正确的读写,是要将.exe文件从硬盘中完整地拷贝到内存中,这时我们称这个在内存数据块为FileBuffer,然后我们要将FileBuffer按照操作系统能运行的要求进行拉伸对齐生成内存映像文件ImageBuffer,我们才能得到正确的偏移,之后将ImageBuffer按照文件对齐的形式转成新的文件NewBuffer,最后将NewBu
C语言编程获取PE文件导入函数
一根火柴博客
02-02 916
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageN
生信分析常用编程语言汇总
一台没有感情的知识吸尘器
05-25 1862
0525 Cloudy 说到编程语言,其实大致可以分成两种,一种是计算机编译器语言,比方说C,C++,优点在于基于计算机硬件特点编写,可以使代码有效高速的运行,特别适合大规模复杂的计算。日常用到的程序有很多,比方说其中之一就是大名鼎鼎的BLAST。还有一种是脚本语言,小到中等规模的计算和数据操作时会经常用到,这个时候用C可以说是用牛刀杀鸡。用编译器语言编写的工具绝大多数情况下除了需要参数设置以外都可以直接使用。比起编译器语言,生信分析中给我们带来阻碍更多的是脚本语言。 当然也不是说每一个编程语言都需要用的风
PE程序壳编写学习过程(一)PE文件的读取
l470279614的博客
08-26 1576
参考书籍《加密与解密》第三版 一,头文件的包含。 由于使用WinGw编译,需要包含windef.h。然后为了windows文件的读取,包含winbase.h。又由于提示缺少va_list的声明,包含stdarg.h解决。 待续/
PE知识
12-11
PE知识
PE基础1
weixin_30873847的博客
06-24 247
PE文件概述 文件格式 .png 、.mp4、.gif、.dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握winodws运行秘密 掌握PE文件对逆向,病毒分析,调试,漏洞.....不可替代作 PE文件常见术语 字段:结构体中某个成员 头: 说明书本的目录或者前言 区段:...
PE框架学习
weixin_34242331的博客
02-09 4865
PE开发基础: 开发平台PowerEngine: 开发新功能: 业务逻辑处理: 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 PE交易处理流程: 无论一个交易的发送渠道是HTTP还是TCP,最终针对每一个渠道的Adapter会将请求的Form(HTTP)或报文(TCP)转换成与渠道无关的Context...
逆向编程一,PE结构拉伸内存
cszrydn的专栏
05-20 697
PE的加载从文件到内存有一个拉伸的过程,拉伸的原因是因为PE在文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件和内存对齐字节都是一样的)。文件对齐字节在可选PE头里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1088
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
第八章 PE文件 windows程序设计 王艳平版
pjz969的专栏
08-11 446
/////////////////////////////////////////// // ValidPE.h文件 #include class CMyApp : public CWinApp { public: virtual BOOL InitInstance(); }; /////////////////////////
PE——PE基础结构分析
markey1的博客
03-08 409
PE结构 总体结构 IMAGE_NT_HEADERS包含了标准PEIMAGE_FILE_HEADER和可选PEIMAGE_OPTIONAL_HEADER。 //DOS头 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e_ss; WORD e_sp;
PE学习之-最简单的程序
小发猫
05-24 2904
// _pefirst.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "afxwin.h"#include using std::cout;using std::endl;LPCTSTR lpszFileToOpen = _T("C://windows//notepad
python派森编程_用python进行编程
weixin_39859954的博客
11-24 1586
走进编程对于那些没有学过编程的人来说,第一次接触**编程**是感觉很神秘的。就像你整日都包围在各种电子产品之中,享受着方便带来的好处,却不知道这是那些程序猿一行一行代码敲出来,经过一系列的操作然后才有了好用的程序,提供给大众使用。如何编程那么进行编程开始之前,我们不需要了解编程里面的东西,只需知道,我怎么可以写代码?1. 选择一门容易上手的编程语言;2. 安装工具;3. 了解编程语言的基本语法;选...
CodeWarrior XS128 PE编程入门与工具指南
本教程是关于飞思卡尔智能车XS128PE编程的入门指南,主要使用的是CodeWarrior 5.0开发环境。以下是详细步骤和关键知识点: 1. **开发环境设置**: 首先,打开CodeWarrior 5.0,创建新工程时,用户需要在弹出的选项...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值