《Windows核心编程》---检测PE文件有效性

最新推荐文章于 2024-06-01 09:33:17 发布
最新推荐文章于 2024-06-01 09:33:17 发布
阅读量2.3k 收藏 1
点赞数
文章标签: windows 编程 image dos header null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asce1885/article/details/5650568
版权

PE文件是Windows系统中任何可执行模块或者DLL的文件格式。PEPortable Executable,它是Win32环境自身所带的执行文件格式。PE文件是跨Win32平台的,也就是说即使是运行在非intel CPU上的Windows都能够被PE转载器识别和使用该文件格式。

PE文件以64字节的DOS文件头(IMAGE_DOS_HEADER结构)开始,之后是一小段DOS程序,然后是248字节的NT文件头(IMAGE_NT_HEADERS结构)NT文件头的偏移地址由IMAGE_DOS_HEADER结构的e_lfanew成员给出。

所有常见的PE结构定义在winnt.h头文件中。我们谈论两个结构,即IMAGE_DOS_HEADERIMAGE_NT_HEADERS

typedef struct _IMAGE_DOS_HEADER {

         WORD e_magic;   //DOS可执行文件标记,为”MZ”。依此识别DOS头是否有效

         WORD e_cblp;

         WORD e_cp;

         WORD e_crlc;

         WORD e_cparhdr;

         WORD e_minalloc;

         WORD e_maxalloc;

         WORD e_ss;

         WORD e_sp;

         WORD e_csum;

         WORD e_ip;

         WORD e_cs;

         WORD e_lfarlc;

         WORD e_ovno;

         WORD e_res[4];

         WORD e_oemid;

         WORD e_oeminfo;

         WORD e_res2[10];

         LONG e_lfanew;   //IMAGE_NT_HEADERS结构的地址

} IMAGE_DOS_HEADER,*PIMAGE_DOS_HEADER;

 

typedef struct _IMAGE_NT_HEADERS {

         DWORD Signature;       //PE文件标识,为”PE/0/0”。依此识别NT文件头是否有效

         IMAGE_FILE_HEADER FileHeader;

         IMAGE_OPTIONAL_HEADER OptionalHeader;

} IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

 

IMAGE_DOS_HEADER中,e_magicDOS可执行文件标记;e_lfanew是相对实际PE头标的相对偏移量,也就是IMAGE_NT_HEADERS结构的地址。在IMAGE_NT_HEADERS中,我们只使用Signature这个成员,它是PE文件的标识(PE/0/0)

为了方便编程,在winnt.h中位DOS标识和PE标识定义宏:

#define IMAGE_DOS_SIGNATURE 0x5A4D      //MZ

#define IMAGE_NT_SIGNATURE 0x00004550         //PE00

 

检测PE文件有效性程序的步骤:

1)使用CreateFile打开要检测的文件,判断是否是IMAGE_DOS_SIGNATURE来检测是否是有效的DOS头;

2)使用e_lfanew来定位PE头,接着通过判断是否是IMAGE_NT_SIGNATURE来检测文件的有效性;

3)最后使用closeHandle来关闭已打开的文件的句柄。

//定义PE文件中的DOS头和NT

IMAGE_DOS_HEADER dosHeader;

IMAGE_NT_HEADERS ntHeaders;

BOOL bValid = FALSE;

 

//第一步,打开要检测的文件

hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARED_READ, NULL,

                                          OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

//第二步,检测DOS头部的有效性

ReadFile(hFile, &dosHeader, sizeof(dosHeader), &dwRead, NULL);

if(dwRead == sizeof(dosHeader))

{

       if(IMAGE_DOS_SIGNATURE == dosHeader.e_magic)

       {

              //第三步,定位image_nt_headers的位置

              if(SetFilePointer(hFile, dosHeader.e_lfanew, NULL, FILE_BEGIN))

              {

                     ReadFile(hFile, &ntHeaders, sizeof(ntHeaders), &dwRead, NULL);

                     if(dwRead == sizeof(ntHeaders))

                     {

                            //最后一步,检测PE头部的有效性

                            if(IMAGE_NT_SIGNATURE == ntHeaders.Signature)

                            {

                                   bValid = TRUE;

                            }

                     }

              }

       }

}

 

if(bValid)

       MessageBox("该程序是有效PE文件");

else

       MessageBox("该程序不是有效的PE文件");

 

closeHandle(hFile);

 

ACE1985
关注
Windows核心编程》若干知识点实战应用分享
dvlinker的技术专栏
01-21 3万+
Windows核心编程》若干知识点应用实践分享,希望大家能够仔细研读,在提升理论知识水平的同时,也能有效地提高分析解决问题的技能。
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
热门推荐
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PE文件有效性判断
zcgzdhxm的专栏
09-28 1124
  PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
检验PE文件有效性
weixin_34174422的博客
06-28 512
(一)检验PE文件有效性:检验PE中的关键数据结构是否有效。 (二)我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下: IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...
探秘PE iDentifier:强大的PE文件检测工具
最新发布
gitblog_00060的博客
06-01 675
探秘PE iDentifier:强大的PE文件检测工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 PE iDentifier 是一个由snaker、Qwerton、Jibz和xineohP于2008年创建的开源项目,专门用于检测PE(Portable Executable)文件中的打包器、加密器和编译器签名。它能识别超过600种不同的PE文件特征,为安全研究人员和...
判断文件是否是PE文件
sxr__nc的博客
12-13 1439
判断一个文件文件属性是不是PE文件:主要思路就是:比较文件DOS头和NT头的白哦之是不是“MZ”和“PE”,判断文件是不是EXE文件或者DLL文件或者其他的主要思路是:获取文件文件头的Characteristis字段,根据字段值进行判断 下边贴上源码 #include <stdio.h> #include <Windows.h> int main() { print...
PE教程2: 检验PE文件有效性
benny5609的专栏
06-16 953
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
Windows-核心编程-04-进程详解
XueXingYouLeMei的专栏
06-11 1118
什么是进程 今天我讲的是进程. 那么什么是进程呢. QQ.exe打开运行后. 会在系统中创建一个QQ进程. 打开了QQ音乐后. 任务管理器中会多出一个QQMusic.exe. 如下图: 一般将进程定义成一个正在运行的程序的一个实例,它由以下两个组件构成:  ----> 一个内核对象,操作系统用它来管理进程。内核对象也是系统保存进程统计 信息的地 方。  ---->一个
PESecurity-master
08-30
总的来说,PESecurity-master是一个专注于PE文件(主要指Windows上的可执行文件)安全性的工具,通过检查关键的安全特性,帮助开发者和安全专业人员发现并修复潜在的漏洞,提高软件的安全防御能力。在当今网络安全...
Peering Inside the PE - A Tour of the Win32 Portable Executable File Format - MSDN (1994)-计算机科学
04-22
在实际应用中,PE文件格式的知识可以帮助解决软件兼容性问题,优化程序性能,以及加强系统安全防护。 总而言之,MSDN文档《Peering Inside the PE - A Tour of the Win32 Portable Executable File Format》所涵盖...
一个解析PE文件的小工具(可以检测一些可疑的api)
richard1230的博客
01-17 879
文章目录 // 003_解析导入表.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include &lt;windows.h&gt; DWORD RvaToOffset( IMAGE_NT_HEADERS* pNtHdr , DWORD dwRva ) { // 1. 找Rva所在的区段 // 2. 用Rva减去所在区段的首Rva ,再用减...
PE文件的校验和(CheckSum)
qq_39708161的博客
02-18 3190
IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的 校验值的计算很简单: 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉) 以WORD为单位对数据块进行累加,记住要用ad...
PE文件的执行顺序
Vinx Blog
11-18 841
当一个PE文件被执行时,PE装载器首先检查DOS MZ header里的PE header的偏移量。如果找到,则直接跳转到PE header的位置。当PE装载器跳转到PE header后,第二步要做的就是检查PE header是否有效。如果该PE header有效,就跳转到PE header的尾部。紧跟PE header尾部的是节表。PE 装载器执行完第二步后开始读取节表中的节段信息,并采用文件映射
判断是不是PE文件
游刃有余则成的专栏
07-08 3296
#include #include "assert.h" #include #include "TCHAR.H" #ifdef UNICODE #define IsPEFile IsPEFileW #define IsDigiSig IsDigiSigW #else #define IsPEFile IsPEFileA #define IsDigiSig IsDigiSigA #endi
文件头数据判断 PE 文件格式和类型
weixin_30700977的博客
04-11 339
namespace X.Reflection { using System; using System.IO; public static partial class ReflectionX { public static PeType GetPeType(this string filepath) { ...
如何判断一个文件是否是win32可执行文件
phoebeyufish的专栏
04-11 2183
PE格式(Portable Executable)的文件即可移植的执行体,是Win32环境自身所带的执行体文件格式,如exe,dll文件。它的一些特性继承自 Unix 的Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的:即使Windows 运行在非Intel 的CPU 上,任何
PEV - PE文件分析工具
x_xx_xxx_xxxx的博客
04-09 3863
PEV 支持 Linux、Windows、MAC OS X  三种操作平台对PE文件进行分析。下载地址://本人推荐 :github 的代码,因为 这个 readme 更完整。https://github.com/merces/pev.githttps://sourceforge.net/projects/pev/files/官方在线指导:https://libpe.readthedocs.io/...
西门子S7-200SMART PLC库文件详细介绍
西门子S7-200SMART PLC的库文件是一种特殊类型的文件,它使得工程师可以重用预编译的软件组件,从而节省了宝贵的时间和资源,降低了编程错误的风险,同时提高了程序的可靠性和一致性。库文件可以包含各种不同的函数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值