C++PE文件格式解析类(轻松制作自己的PE文件解析器)

最新推荐文章于 2024-02-05 14:10:22 发布
置顶 最新推荐文章于 2024-02-05 14:10:22 发布
阅读量8.2k 收藏 22
点赞数 9
分类专栏: C/C++应用与心得 文章标签: PE文件 C++ ReadPeInfo Paschen
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paschen/article/details/50640421
版权

PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。

PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。

最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。

该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。

同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。

最后,错误在所难免,如果大家发现有错误,欢迎大家指正。



以下是该类中接口函数的定义代码(完整代码附于之后下载链接中):


<pre name="code" class="cpp">class CPeFile
{
public:
	CPeFile();
	~CPeFile();

	// 以下函数无特殊说明任何时候均可用
public:
	//将PE文件附加到对象,成功返回IMAGE_DOS_SIGNATURE、IMAGE_OS2_SIGNATURE、IMAGE_OS2_SIGNATURE_LE、IMAGE_NT_SIGNATURE之一;失败返回0UL(未知类型),1UL(文件操作失败),2(其他错误),【仅在没有PE文件附加到类对象时可用】
	DWORD Attach(LPCTSTR lpszFilePath);
	//若已有PE文件附加到类对象则释放关联
	void Detach();
	//获取Attach信息,成功返回IMAGE_DOS_SIGNATURE、IMAGE_OS2_SIGNATURE、IMAGE_OS2_SIGNATURE_LE、IMAGE_NT_SIGNATURE之一;未成功返回0UL
	DWORD GetAttachInfo() const;

	// 以下函数无特殊说明Attach成功后均可用
public:
	//获取文件句柄(注:不应在外部执行CloseHandle等有副作用的操作)
	HANDLE GetFileHandle() const;
	//获取内存映射文件头部地址
	DWORD_PTR GetMappedFileStart() const;
	//获取内存映射文件头部指定偏移位置(不应大于文件大小,否则返回的指针可能引起错误)
	DWORD_PTR GetMappedFileOffset(DWORD dwFoa) const;
	//获取DOS头
	const IMAGE_DOS_HEADER* GetDosHeader() const;
	//获取DOS的入口地址
	DWORD GetDosEntryPoint() const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE
public:
	//获取PE文件头(如果是64位程序,返回的实际是const IMAGE_NT_HEADER64*)【类型为IMAGE_OS2_SIGNATURE、IMAGE_OS2_SIGNATURE_LE时仍可用,但操作需小心】
	const IMAGE_NT_HEADERS32* GetNtHeader() const;
	//返回文件是否为64位(PE32+)
	BOOL Is64Bit() const;
	//获取PE文件头中的加载基地址ImageBase(64位程序返回的是ULONGLONG类型,32位程序可将返回值转换成DWORD类型)
	ULONGLONG GetImageBase() const;
	//获取PE文件头中的DataDirectory
	const IMAGE_DATA_DIRECTORY* GetDataDirectory() const;
	//获取各DataDirectory入口的RVA
	DWORD GetDataDirectoryEntryRva(DWORD dwIndex) const;
	//获取节表(节表的数量可由lpSectionNum传出)
	const IMAGE_SECTION_HEADER* GetSectionHeader(LPWORD lpSectionNum = NULL) const;
	//将RVA转换为FOA(可由lpFoa传出FOA、可由lpSection传出节序号,不在节中节序号为-1)
	BOOL RvaToFoa(DWORD dwRva, LPDWORD lpFoa = NULL, LPWORD lpSection = NULL) const;
	//将FOA转换为RVA(可由lpRva传出RVA、可由lpSection传出节序号,不在节中节序号为-1)
	BOOL FoaToRva(DWORD dwFoa, LPDWORD lpRva = NULL, LPWORD lpSection = NULL) const;
	//将VA转换为RVA(VA应大于ImageBase,函数中不检查)
	DWORD VaToRva(DWORD dwVa) const;
	DWORD VaToRva(ULONGLONG ullVa) const;
	//将RVA转换为VA(64位程序返回的是ULONGLONG类型,32位程序可将返回值转换成DWORD类型)
	ULONGLONG RvaToVa(DWORD dwRva) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE
public:
	//读取PE中导出表
	BOOL ReadExport();
	//读取PE中导入表
	BOOL ReadImport();
	//读取PE中资源表
	BOOL ReadResource();
	//读取PE中异常表
	BOOL ReadException();
	//读取PE中属性证书表
	BOOL ReadSecurity();
	//读取PE中基址重定位表
	BOOL ReadBaseRelocation();
	//读取PE中调试数据
	BOOL ReadDebug();
	//读取PE中线程局部存储表
	BOOL ReadTLS();
	//读取PE中加载配置表
	BOOL ReadLoadConfig();
	//读取PE中绑定导入表
	BOOL ReadBoundImport();
	//读取PE中延迟加载导入表
	BOOL ReadDelayImport();
	//清理PE中导出表
	void ClearExport();
	//清理PE中导入表
	void ClearImport();
	//清理PE中资源表
	void ClearResource();
	//清理PE中异常表
	void ClearException();
	//清理PE中属性证书表
	void ClearSecurity();
	//清理PE中基址重定位表
	void ClearBaseRelocation();
	//清理PE中调试数据
	void ClearDebug();
	//清理PE中线程局部存储表
	void ClearTLS();
	//清理PE中加载配置表
	void ClearLoadConfig();
	//清理PE中绑定导入表
	void ClearBoundImport();
	//清理PE中延迟加载导入表
	void ClearDelayImport();
	//清理所有
	void ClearAll();
	//返回是否读取了PE中导出表
	BOOL IsReadExport() const;
	//返回是否读取了PE中导入表
	BOOL IsReadImport() const;
	//返回是否读取了PE中资源表
	BOOL IsReadResource() const;
	//返回是否读取了PE中异常表
	BOOL IsReadException() const;
	//返回是否读取了PE中属性证书表
	BOOL IsReadSecurity() const;
	//返回是否读取了PE中基址重定位表
	BOOL IsReadBaseRelocation() const;
	//返回是否读取了PE中调试数据
	BOOL IsReadDebug() const;
	//返回是否读取了PE中线程局部存储表
	BOOL IsReadTLS() const;
	//返回是否读取了PE中加载配置表
	BOOL IsReadLoadConfig() const;
	//返回是否读取了PE中绑定导入表
	BOOL IsReadBoundImport() const;
	//返回是否读取了PE中延迟加载导入表
	BOOL IsReadDelayImport() const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadExport成功
public:
	//获取导出表
	const IMAGE_EXPORT_DIRECTORY* GetExportDirectory() const;
	//获取导出表中各导出函数地址数组(数量可由lpFuncNum传出)
	const DWORD* GetExportFunction(LPDWORD lpFuncNum = NULL) const;
	//获取导出表中被定义了名称的各导出函数名称地址数组(数量可由lpNameNum传出)
	const DWORD* GetExportName(LPDWORD lpNameNum = NULL) const;
	//获取导出表中被定义了名称的各导出函数的索引(数量可由lpNameNum传出)
	const WORD* GetExportNameOrdinal(LPDWORD lpNameNum = NULL) const;
	//解析导出函数地址数组中dwIndex项,返回值小于NumberOfNames为按名称导出(数值为序号),返回值等于NumberOfNames则为按序号导出
	DWORD ParseExportFunction(DWORD dwIndex) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadImport成功
public:
	//获取各导入表(导入表数量可由lpImportDescriptorNum传出)
	const IMAGE_IMPORT_DESCRIPTOR* GetImportDescriptor(LPDWORD lpImportDescriptorNum = NULL) const;
	//获取第iImpoert个导入表中的IMAGE_THUNK_DATA32结构(64位程序实际是IMAGE_THUNK_DATA64)(数量可由lpCount传出)
	const IMAGE_THUNK_DATA32* GetImportThunkData(DWORD iImport, LPDWORD lpCount = NULL) const;
	//解析某个IMAGE_THUNK_DATA32结构(64位程序实际是IMAGE_THUNK_DATA64),返回结果:1表示按序号导入(lpParam可传出序号);2表示按名称导入(lpParam可传出对应IMAGE_IMPORT_BY_NAME的FOA);0失败【只需要IMAGE_NT_SIGNATURE即可用】
	int ParseThunkData(const IMAGE_THUNK_DATA32* lpThunk, LPDWORD lpParam = NULL) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadResource成功
public:
	//获取第一层资源的ID,返回1表示第一层是目录,返回2表示第一层是数据,返回0表示无资源
	int GetFirstResourceId(PIDTYPE lpFirstID) const;
	//获取下一层资源的ID,返回1表示下一层是目录,返回2表示下一层是数据,返回0表示无下一层
	int GetNextResourceId(IDTYPE Id, DWORD iRes, PIDTYPE NextID) const;
	//解析Id对应的目录层,lpEntryNum可传出数组数量,lpLevel可传出第几级目录,lpResourceEntry传出本层对应的IMAGE_RESOURCE_DIRECTORY_ENTRY数组
	const IMAGE_RESOURCE_DIRECTORY* ParseResourceDirectory(IDTYPE Id, LPDWORD lpEntryNum = NULL, LPDWORD lpLevel = NULL, IMAGE_RESOURCE_DIRECTORY_ENTRY** lpResourceEntry = NULL) const;
	//解析dwId对应的数据层
	const IMAGE_RESOURCE_DATA_ENTRY* ParseResourceData(IDTYPE Id) const;
	//解析某个IMAGE_RESOURCE_DIRECTORY_ENTRY结构中Name成员,返回结果:1(dwParam为ID);2(dwParam为对应IMAGE_RESOURCE_DIR_STRING_U的FOA)【只需要IMAGE_NT_SIGNATURE即可用】
	int ParseResourceDirectoryEntry(const IMAGE_RESOURCE_DIRECTORY_ENTRY* lpEntry, LPDWORD dwParam) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadException成功
public:
	//获取异常表(数量可由lpRuntimeFunctionNum传出)
	const IMAGE_RUNTIME_FUNCTION_ENTRY* GetRuntimeFunction(LPDWORD lpRuntimeFunctionNum = NULL) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadSecurity成功
public:
	//获取属性证书表(数量可由lpCertificateNum传出)
	const WIN_CERTIFICATE* const* GetCertificate(LPDWORD lpCertificateNum = NULL) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadBaseRelocation成功
public:
	//获取各基址重定位表(数量可由lpBaseRelocationNum传出)
	const IMAGE_BASE_RELOCATION* const* GetBaseRelocation(LPDWORD lpBaseRelocationNum = NULL) const;
	//获得某个基址重定位表中的重定位块(数量可由lpCount传出,包括对齐用的)
	const WORD* GetBaseRelocationBlock(const IMAGE_BASE_RELOCATION* lpBaseRelocation, LPDWORD lpCount = NULL) const;
	//解析某个基址重定位表后的某一项,返回的是高4位的值,低12位的值可由lpParam传出【任何时候均后可用】
	static WORD ParseBaseRelocationBlock(WORD wBaseRelocationBlock, LPWORD lpParam = NULL);

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadDebug成功
public:
	//获取调试数据(数量可由lpDebugDirectoryNum传出)
	const IMAGE_DEBUG_DIRECTORY* GetDebugDirectory(LPDWORD lpDebugDirectoryNum = NULL) const;
	//获取第dwIndex项调试信息起始地址,未获取到返回NULL
	LPCVOID GetDebugInfoStart(DWORD dwIndex);

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadTLS成功
public:
	//获取线程局部存储表(如果是64位程序,返回的实际是const IMAGE_TLS_DIRECTORY64*)
	const IMAGE_TLS_DIRECTORY32* GetTLSDirectory() const;
	//获取线程局部存储表回调函数数组的指针(如果是64位程序,返回的实际是const ULONGLONG*)(数量可由lpCallbackNum传出)
	const DWORD* GetTLSCallback(LPDWORD lpCallbackNum = NULL) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadLoadConfig成功
public:
	//获取加载配置表(如果是64位程序,返回的实际是const IMAGE_LOAD_CONFIG_DIRECTORY64*)
	const IMAGE_LOAD_CONFIG_DIRECTORY32* GetLoadConfigDirectory() const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadBoundImport成功
public:
	//获取绑定导入表(数量可由lpBoundImportNum传出)
	const IMAGE_BOUND_IMPORT_DESCRIPTOR* const* GetBoundImportDescriptor(LPDWORD lpBoundImportNum = NULL) const;
	//获取第iBoundImpoert个绑定导入表(数量可由lpRefNum传出)
	const IMAGE_BOUND_FORWARDER_REF* GetBoundImportForwarderRef(DWORD iBoundImport, LPDWORD lpRefNum = NULL) const;

	// 以下函数无特殊说明仅用于IMAGE_NT_SIGNATURE且ReadDelayImport成功
public:
	//获取延迟加载导入表(数量可由lpDelayImportNum传出)
	const IMAGE_DELAYLOAD_DESCRIPTOR* GetDelayImportDescriptor(LPDWORD lpDelayImportNum = NULL) const;


	/*--------------------------------------------------------------------------------------------------------------------*/
	//其他私有成员略

};


 


 
 


 
 

注释部分已经详细说了各功能,主要操作如下:
 

1、调用Attach成员函数使类对象附加到一个PE文件
 

2、通过ReadXXX 读取需要的目录(包括导入表、导出表、资源表、基址重定位....)
 

3、调用相关处理函数获取相应信息(根据读取内容的不同而不同,具体参看注释)
 

4、将获得的数据做你想要的操作(如显示出来等)
 

5、ClearXXX释放资源(可选,对象析构时会自动调用)
 

6、Detach释放对该文件的关联(可选,对象析构时会自动调用)
 


 
 

目前基本数据目录中的大部分都可以获取,.Net部分(IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR)还未实现,之后会继续完善
 

之后的链接中附有一个Demo演示如何使用该类,如仍有不清楚的朋友可以回复寻问我
 


 
 


 
 

最后发一个自己写的获取PE文件信息的软件,可以Dump出PE文件的各信息,该软件是用该PE解析类实现的,具体代码较多,初看并不易懂,所以在这不提供了国。
 

该软件我会附载之后的下载链接里,可以方便获取PE文件中各信息,由于精力有限,写的是控制台下的,有兴趣的朋友可以自己实现一个GUI版本的~
 

软件中,只需在控制台下输入PE文件路径,或者将文件拖拽进窗口(插入.lnk快捷方式也行),程序会将需要的信息输出来。
 

 

以下附上软件的一部分截图:
 


 
 


 
 


 
 

 


 
 


 
 


 
 


 
 


 
 


 
 


 
 

哈,啰嗦了这么多,接下来就留给各位去体验吧,其实PE文件没想像那么难~
 


 
 

相关资源下载地址:
 

点击打开链接
 
 

(内含PE文件解析类源码文件、简单DEMO、以及自已实现的控制台PE文件查看器)
 


 
 


 
 

参考书籍:
 

《Windows PE权威指南》戚利
 

《加密与解密(第三版)》段钢
 
 

《软件加密技术内幕》看雪学院
 

《Windows环境下32位汇编语言程序设计(典葳版)》罗云彬
 

《加密与解密》吴强
 

《逆向工程核心原理》李承远
 
 


 
 

参考软件:
 

Stud_PE
 
 

LordPE
 
 

StudyPE+
 
 

eXeScope-ha
 
 

CFF Explorer
 
 

Resource Hacker
 
 

PEID
 
 

PEview
 
 

ExeinfoPe
 
 

OllyDbg
 

IDA Pro
 


 
 

参考源码:
 

PEDump
 
 

libpe-master
 
 

The Portable Executable File Format from Top to Bottom
 
 


 
 

PE文件格式官方文档:Microsoft PE and COFF Specification
 


 
 

在线PEDump工具:PEdump - dump your PE!
 


 
 

同时参考了CSDN、看雪学院、吾爱破解上等资料,在此一并感谢!
 


 
 


 

                

        

        

    




    

      

        

            

              
                
                  paschen
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    9
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    22
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  10
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
PE文件解析器的原理(C语言代码)

				
			

			

				

					01-16
				

			

		

		

			
				
用C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架

			
		

	



                

              
                



	

		

			

				
					
PE文件解析工具源代码

				
			

			

				

					01-10
				

			

		

		

			
				
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10

			
		

	



                


  
              

                


	

		

			

				
					
PE文件信息解析(Win32, C++)

					
最新发布

				
			

			

				

					FlameCyclone的博客
				

				

					02-05
					
					470
					
				

			

		

		

			
				
PE文件信息解析助手, 方便地解析PE文件常见信息

			
		

	





	

		

			

				
					
PE文件解析轻松制作自己的PE文件解析器

				
			

			

				

					02-06
				

			

		

		

			
				
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。
最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析。
该对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。
同时该也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。
最后,错误在所难免,如果大家发现有错误,欢迎大家指正。

具体参看:http://blog.csdn.net/paschen/article/details/50640421

			
		

	



		

			
		



	

		

			

				
					
PE文件学习笔记(六):总结与PE解析器PETool)实现

				
			

			

				

					Apollon_krj的博客
				

				

					08-20
					
					2175
					
				

			

		

		

			
				
1、PE文件各部分结构解析:1、PE文件学习笔记(一):DOS头与PE解析  
2、PE文件学习笔记(二):Section Table解析  
3、 PE文件学习笔记(三):导出表(Export Table)解析  
4、PE文件学习笔记(四):重定位表(Relocation Table)解析  
5、PE文件学习笔记(五):导入表、IAT、绑定导入表解析 2、PETool简易实现(32位,非GU

			
		

	





	

		

			

				
					
简单的PE文件解析

				
			

			

				

					m0_46689007的博客
				

				

					05-12
					
					244
					
				

			

		

		

			
				
pe文件结构解析

			
		

	





	

		

			

				
					
VC++PE分析源码

				
			

			

				

					12-27
				

			

		

		

			
				
自己编写的关于PE格式的分析,开发环境为VC++,详细地分析了PE文件各字段的数据,功能似于LoadPE,

			
		

	





	

		

			

				
					
PE文件详解中(C++版)

				
			

			

				

					wanglei2258的专栏
				

				

					01-27
					
					1204
					
				

			

		

		

			
				
PE文件段    PE文件规范由目前为止定义的那些头部以及一个名为“段”的一般对象组成。段包含了文件的内容,包括代码、数据、资源以及其它可执行信息,每个段都有一个头部和一个实体(原始数据)。我将在下面描述段头部的有关信息,但是段实体则缺少一个严格的文件结构。因此,它们几乎可以被链接器按任何的方法组织,只要它的头部填充了足够能够解释数据的信息。 段头部    PE文件格式中,所有的段

			
		

	





	

		

			

				
					
PE文件格式详解(上)

				
			

			

				

					
				

				

					08-04
					
					986
					
				

			

		

		

			
				
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。
   然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个的

			
		

	





	

		

			

				
					
PE文件格式

				
			

			

				

					bairny的专栏
				

				

					05-22
					
					2413
					
				

			

		

		

			
				
PE教程1: PE文件格式一览考虑到早期写的PE教程1是自己所有教程中最糟糕的一篇,此番决心彻底重写一篇以飨读者。PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植

			
		

	





	

		

			

				
					
openssl C++研发之pem格式处理详解

				
			

			

				

					N阶二进制的博客
				

				

					11-21
					
					1172
					
				

			

		

		

			
				
在OpenSSL的头文件中,和系列函数用于将特定型的数据写入文件或BIO(内存缓冲区)中,其中XXXX代表不同的数据型。这些函数的使用方式相似,通常接受一个文件指针(FILE*)或BIO指针(BIO*)作为参数,并将相应型的数据写入到文件或BIO中。请根据需要选择合适的函数,并在使用时确保正确处理错误情况。

			
		

	





	

		

			

				
					
VS2010写的PEinfo(PE文件查看器)源码.rar

				
			

			

				

					07-10
				

			

		

		

			
				
学习了某论坛的解密系列教程,使用Visual Studio 2010写的PEinfo(PE文件信息查看器),实现了启动软件的‘闪屏’功能,就是打开软件时先出一个图片,图片消失后再出程序界面,附全套源码,欢迎一起学习和研究。

			
		

	





	

		

			

				
					
PE文件查看器(MFC实现).zip

				
			

			

				

					07-21
				

			

		

		

			
				
PE文件是windows常见的可执行文件,也是常见的病毒攻击的载体与执行体,所以PE文件的格式解析是非常重要的,该工程的实现似于CFF Explorer的实现,这个代码是基于MFC框架的实现,可以实现文件拖拽等操作,解析PE...

			
		

	





	

		

			

				
					
三个PE解析器代码学习

				
			

			

				

					04-29
				

			

		

		

			
				
三个MFC版本PE解析器源代码,显示DOS头,扩展头,区段表,各个数据目录表,位置计算等功能

			
		

	





	

		

			

				
					
PE文件格式分析源码C++

				
			

			

				

					09-28
				

			

		

		

			
				
使用C++ MFC写的PE文件分析器源码。

			
		

	





	

		

			

				
					
libpe:PE文件解析器

				
			

			

				

					05-09
				

			

		

		

			
				
LibPE是下PE文件格式的简单解析器。 设计原则(可能无法实现) 易于使用 直接获取PE文件的每个部分,而不是RVA或FOA甚至原始数据结构。  使用引用计数来管理对象的生命周期。  支持编译为lib和dll。 与PE32(x86)和...

			
		

	





	

		

			

				
					
DependencyWalker:PE格式图像依赖解析器

				
			

			

				

					04-13
				

			

		

		

			
				
依赖行者 PE格式图像依赖解析器 用法 DependencyWalker.exe [选项...]  -f,--functions启用功能输出-d,--delayed启用延迟导入的解析-h,--help打印帮助

			
		

	





	

		

			

				
					
pe-parse:原理轻巧的CC ++ PE解析器

				
			

			

				

					05-12
				

			

		

		

			
				
 这意味着它应该能够抵抗格式错误或恶意制作PE文件,并且应该支持分析软件会询问可执行程序容器的问题。 例如,列出重定位,描述导入和导出,并支持从虚拟地址读取字节以及文件偏移量。  pe-parse通过提供用于以下...

			
		

	





	

		

			

				
					
PE-Explorer.7z

				
			

			

				

					04-10
				

			

		

		

			
				
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。DLL解析器

			
		

	





	

		

			

				
					
c++如何解析ics格式文件

				
			

			

				

					06-10
				

			

		

		

			
				
ICS格式文件是一种常见的日历文件格式,可以使用C++中的一些库进行解析。其中,libical是一个流行的ICS文件解析库,可以用于读取ICS格式文件并提取事件信息。以下是使用libical库解析ICS格式文件的基本步骤:

1. 安装libical库并包含相关头文件。
2. 创建一个icalparser对象,并使用icalparser_set_gen_data函数设置一个自定义数据指针,以便在解析过程中存储事件信息。
3. 使用icalparser_parse_string函数解析ICS格式字符串,并使用icalparser_get_errors函数检查是否有任何错误。
4. 在解析完成后,使用icalparser_free函数释放解析器对象。
5. 在自定义数据指针中存储的事件信息可以通过访问libical库中的icalcomponent对象来访问。

下面是一个使用libical库解析ICS格式文件的示例代码:

```cpp
#include <libical/ical.h>

int main() {
    const char* ics_string = "BEGIN:VCALENDAR\n"
                             "VERSION:2.0\n"
                             "BEGIN:VEVENT\n"
                             "DTSTART:20220101T000000Z\n"
                             "DTEND:20220102T000000Z\n"
                             "SUMMARY:New Year's Day\n"
                             "END:VEVENT\n"
                             "END:VCALENDAR\n";
                             
    icalparser* parser = icalparser_new();
    icalparser_set_gen_data(parser, nullptr);
    
    icalcomponent* root_component = icalparser_parse_string(ics_string);
    icalcomponent* event_component = icalcomponent_get_first_component(root_component, ICAL_VEVENT_COMPONENT);
    
    const char* summary = icalcomponent_get_summary(event_component);
    icaltimetype dtstart = icalcomponent_get_dtstart(event_component);
    icaltimetype dtend = icalcomponent_get_dtend(event_component);
    
    printf("Event Summary: %s\n", summary);
    printf("Event Start Time: %s\n", icaltime_as_ical_string(dtstart));
    printf("Event End Time: %s\n", icaltime_as_ical_string(dtend));
    
    icalparser_free(parser);
    icalcomponent_free(root_component);
    
    return 0;
}
```

这段代码将打印以下输出:

```
Event Summary: New Year's Day
Event Start Time: 20220101T000000Z
Event End Time: 20220102T000000Z
```

其中,dtstart和dtend是libical库中的icaltimetype结构体,表示事件的开始和结束时间。可以使用icaltime_as_ical_string函数将它们转换为ICS格式字符串。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 10

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值