C语言编写控制台下PE分析工具(二)

最新推荐文章于 2021-07-07 10:48:32 发布
最新推荐文章于 2021-07-07 10:48:32 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHkylin/article/details/47989875
版权

五、输出数据目录表信息

由于数据目录数组中包含16个元素,所以循环16次,依次输出每个数据目录表的信息:

void ShowDataDirInfo(PMAP_FILE_STRUCT stMapFile)
{
char strTmp[9] = { 0 };
char data[16][50] = {
"Export Table:",
"Import Table:",
"Resource:    ",
"Exception:   ",
"Security:    ",
"Relocation:  ",
"Debug:       ",
"Copyright:   ",
"Globalptr:   ",
"Tls Table:   ",
"LoadConfig:  ",
"IAT:         ",
"Bound Import:",
"COM:         ",
"Delay Import:",
"No Use:      "
};


PIMAGE_OPTIONAL_HEADER pOH = nullptr;
pOH = GetOptionalHeader(stMapFile->ImageBase);
if (!pOH)
{
return;
}
printf("\n\n[Data Directory]\n");
printf("\t\t\t  RVA\t\t\t  Size\n");
for (int i = 0; i < 16; i++)
{
printf("%s\t\t%08lX\t\t%08lX\n", data[i], pOH->DataDirectory[i].VirtualAddress, pOH->DataDirectory[i].Size);
}
}


结果如下图所示:



六、输出区块表信息

首先获取指向第一个区块表的指针

PIMAGE_SECTION_HEADER  GetFirstSectionHeader(LPVOID ImageBase)
{
if (!ImageBase)
{
return nullptr;
}


PIMAGE_NT_HEADERS pNH = nullptr;
PIMAGE_SECTION_HEADER pSH = nullptr;
pNH = GetNtHeaders(ImageBase);
if (!pNH)
{
return nullptr;
}


pSH = IMAGE_FIRST_SECTION(pNH);
return pSH;
}


然后根据IMAGE_FILE_HEADER中的SizeOfOptionalHeader判断区块表的数目,循环输出每一个区块表:

void ShowSectionHeaderInfo(PMAP_FILE_STRUCT stMapFile)
{
PIMAGE_FILE_HEADER pFH = nullptr;
PIMAGE_SECTION_HEADER pSH = nullptr;


pFH = GetFileHeader(stMapFile->ImageBase);
if (!pFH)
{
return;
}


WORD OptionalLength = pFH->SizeOfOptionalHeader;
PIMAGE_OPTIONAL_HEADER pOH = GetOptionalHeader(stMapFile->ImageBase);
pSH = (PIMAGE_SECTION_HEADER)((DWORD)pOH + OptionalLength);


printf("\n\n[Section Table]\n");
printf(" Name    VAddress   VSize    RAddress   RSize     Flags\n");
for (int i = 0; i < pFH->NumberOfSections; i++)
{
printf("%s\t%08lX  %08lX  %08lX  %08lX  %08lX\n", pSH->Name, pSH->VirtualAddress, pSH->Misc, 
pSH->PointerToRawData, pSH->SizeOfRawData, pSH->Characteristics);
pSH++;
}
}


结果如图所示:



主函数:

MAP_FILE_STRUCT stMapFile = { nullptr, nullptr, nullptr };


int main()
{
LPTSTR filePath = TEXT("D:\\PEInfo_example.exe");
UnLoadFile(&stMapFile);
if (!LoadFile(filePath, &stMapFile))
{
return -1;
}


if (!IsPEFile(stMapFile.ImageBase))
{
UnLoadFile(&stMapFile);
return -1;
}

ShowFileHeaderInfo(&stMapFile);

ShowDataDirInfo(&stMapFile);
ShowSectionHeaderInfo(&stMapFile);

UnLoadFile(&stMapFile);
return 0;
}


卡卡西。。。
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7570
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8336
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
ASP单步调试工具
11-21
AspStudioASPdaimabenditiaoshigongju.exe 是一个ASP单步调试工具 比IIS好多了,能够单步调试,比interdev好多了,内置服务器。小而全。方便实用
概述 - 基础篇01|解密系列
weixin_33755649的博客
02-22 105
概述 - 基础篇01 让编程改变世界 Change the world by program 软件安全是信息安全领域的重要内容,本系列视频教程将涉及到软件相关的加密、解密、逆向分析、漏洞分析、安全编程以及病毒分析防范等。 目前,鉴于国内高校对安全教育重视程度不够,许多知识还是空白。 随着互联网病毒查杀、网游安全、网络安全、个人信息安全等方面人才缺口很大,相关职位待遇高…...
c语言程序分析工具,C语言编写控制台PE分析工具(一)
weixin_39754398的博客
05-18 237
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。typedef struct _MAP_FILE_STRUCT{HANDLE hFile; //文件句柄HANDLE hMapping;//映射文件句柄LPVOID ImageBase;//映像基址} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;一、加载要打开的文件采用内存映射的方式将文件加载到内存...
c语言词法分析器(使用c语言编写
07-08
编译原理c语言词法分析器的实现(使用c语言编写
词法分析器C语言编写(附实验报告)
04-17
通过C语言编写一个词法分析器完成输入是字符串(或源程序文本文件),输出是源程序中各单词的字符串、起止位置、词的类别。附带实验报告。
Linux shell编写C语言词法分析
01-10
使用Linux shell脚本实现的C语言词法分析器,源码有注释,实现所用知识点及使用方法请见文档。可作为大学生在校作业,亦可为编写shell脚本的程序员提供参考。
C语言头文件包含关系分析工具
10-12
c# 简易绘制C语言头文件包含关系图 详细说明可以查看我的blog http://www.cnblogs.com/geeking/ 本工具使用了DotNetBar中的TreeGX控件。下载地址: http://down2.cr173.com/soft1/DotNetBarSetup.zip
一个c语言编写的sock5代理工具.zip
最新发布
06-14
新手学习C语言的绝佳资料
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
DIYPE解析器(做事无痕)
02-05
DIYPE解析器(做事无痕)
VS2010写的PEinfo(PE文件查看器)源码.rar
07-10
学习了某论坛的解密系列教程,使用Visual Studio 2010写的PEinfo(PE文件信息查看器),实现了启动软件的‘闪屏’功能,就是打开软件时先出一个图片,图片消失后再出程序界面,附全套源码,欢迎一起学习和研究。
win32汇编写的一个PeInfo
11-30
利用win 32汇编语言写的一个显示工具,如果源码看透了,PE基本就过关了。很适合脱壳破解的朋友
软件加密技术内幕配套光盘(iso版本)
10-19
光盘: ├─chap01....................................第1章 PE文件格式的深入分析 │ └─PEDump.zip ;Matt Pietrek的PEDUMP程序 │ ├─chap02....................................第2章 PE分析工具编写 │ ├─PEInfo_example ;PE分析工具样例 │ └─Test ;TestSH.exe,这个程序的OptionalHeader的大小为0xD0 │ ├─chap03....................................第3章 Win32 调试API │ ├─内存补丁 │ │ ├─进程间内存共享机制应用.txt │ │ ├─使用Dr X调试寄存器框架程序.txt │ │ └─bpm example code ;yoda的实例,演示利用Ntdll.ntcontinue作为跳板在入口点处中断 │ └─脱壳机 │ ├─Unlock.asm ;脱壳机的源程序 │ ├─unlock.exe ;己编译好的脱壳机程序 │ └─locked.exe ;被tElock 0.98保护的记事本程序 │ ├─chap04....................................第4章 Windows下的异常处理 │ ├─sehRelease │ │ ├─sehdef.inc ;完整的异常代码列表 │ │ ├─s1.asm ;例子1.演示Final型异常处理及参数获取 │ │ ├─s2.asm ;例子2.演示Per_Thread型异常处理 │ │ ├─s3.asm ;例子3.演示Per_Thread型异常处理的嵌套处理 │ │ └─S4.ASM ;例子4.演示异常处理的堆栈展开 │ ├─ring ;例子5.演示Windows9x进特权级Ring0 │ ├─singlestep ;例子6.演示SEH实现单步自跟踪 │ └─veh ;例子7.VEH代码演示 │ ├─chap05....................................第5章 反跟踪技术 │ ├─Anti-Debug ;5.1 反调试技术 │ │ ├─MeltICE ;句柄检测 │ │ ├─Back Door ;SoftICE后门指令 │ │ ├─int 68 ;int68子类型 │ │ ├─ICECream ;ICECream子类型 │ │ ├─NticeService ;判断NTICE服务是否运行 │ │ ├─int1 ;INT 1 检测 │ │ ├─UnhandledExceptionFilter ;利用UnhandledExceptionFilter检测 │ │ └─int41 ;INT 41子类型 │ ├─DetectBreakpoint ;5.2 断点检测技术 │ │ ├─SEHbpx ;利用SEH防范BPX断点 │ │ ├─SEHbpm ;利用SEH防范BPM断点 │ │ └─IsBPX ;检测函数首地址 │ ├─Anti-Loader ;5.3 反加载技术 │ │ ├─TEB ;利用TEB检测 │ │ ├─IsDebuggerPresent ;利用IsDebuggerPresent函数检测 │ │ └─CheckParentProc ;检查父进程 │ ├─Anti-Monitor ;5.4 反监视技术 │ │ ├─AntiProcDump ;窗口方法检测ProcDump │ │ └─Anti-Filemon&Regmon ;句柄检测Filemon和Regmon │ ├─Anti-Disassemble ;5.5 反静态分析技术 │ │ ├─pushre ;扰乱汇编代码 │ │ ├─SMC ;SMC技术实现 │ │ └─花指令 ;花指令样例 │ ├─CRC ;5.7 文件完整性校验 │ │ ├─磁盘文件校验 │ │ │ ├─add2crc32 ;计算文件CRC32的工具,可以将结果写进文件里 │ │ │ └─crc32 ;待校验的程序 │ │ ├─内存映像校验 │ │ │ ├─memcrc32 │ │ │ │ └─src │ │ │ │ ├─add2memcrc32 ;计算PE文件代码区块CRC32的工具,可以将结果写进文件里 │ │ │ │ └─memcrc32 ;需要校验内存代码数据的程序 │ │ │ └─Detect Breakpoint ;校验内存中的片段代码的样例 │ │ └─CRC原理 ;arbin翻译的《CRC原理及其逆向分析方法》 │ └─codeEncrypt ;5.8 代码与数据结合技术 │ ├─codeEncrypt ;代码与数据结合的实例 │ └─tools ;Encrypter.exe工具及其源码 │ ├─Chap06....................................第6章 加壳软件编写 │ ├─prot ;本章实例加壳工具prot v0.46及其源码 │ ├─aPLib引擎 ;aPLib压缩引擎 │ └─TestUseVC ;Spring的加壳程序综合运用的实例 │ ├─Chap07....................................第7章 如何让壳与程序融为一体 │ ├─7.1 欺骗检查壳的工具 │ │ ├─aspack212压缩 │ │ ├─aspack212压缩后更改入口代码 │ │ ├─aspack压缩后再修改过的壳加壳 │ │ ├─aspack压缩后再自己加壳 │ │ ├─实例(没加壳) │ │ ├─自己加的壳 │ │ ├─自己的加壳工具 │ │ │ ├─原版壳的程序 │ │ │ └─更改后的壳的程序程序 │ │ └─tools │ │ ├─fi ;测试用的FileInfo工具 │ │ └─aspack212 ;测试用的Aspack加壳工具 │ ├─7.2判断自己是否给脱壳 │ │ ├─7.2.1 判断文件尺寸 │ │ ├─7.2.4 使用存储映像文件检查标记 │ │ ├─7.2.2 使用同步对象检查标记 │ │ ├─7.2.3 使用原子(ATOM)检查标记 │ │ ├─7.2.5 使用线程优先权检查标记 │ │ ├─7.2.6 使用外部文件检查标记 │ │ └─7.2.8 注入一个定时器 │ └─7.3 使用SDK把程序和壳溶为一体 │ ├─test ;实例 │ └─sdk壳的程序 │ ├─chap08....................................第8章 Visual Basic 6 逆向工程 │ ├─example1 ;演示虚函数表的概念 │ ├─example2 ;如何处理事件的虚函数表 │ ├─example3 ;利用SEH反加载 │ ├─example4 ;演示如何更改程序结构 │ ├─example5 ;本例简单说明了如何直接修改vb6程序的控件属性值 │ ├─example6 ;一个VB6 P-code Crackme分析实例 │ └─example7 ;VB“自锁”功能实现的实例 │ ├─附录A.....................................附录A 在Visual C++中使用内联汇编 │ ├─InlineASM ;内联汇编实例 │ └─SeparateASM ;VC 中调用 MASM 独立汇编实例 │ └─附录B.....................................附录B 在Visual Basic中使用汇编 ├─TweakVB ;TweakVB 控件(http://www.tweakvb.com/) ├─VBInlineAsm ;VBInlineAsm控件 └─Compile Controller ;Compile Controller控件 ;(http://www.fawcette.com/archives/premier/mgznarch/vbpj/1999/11nov99/jc1199/jc1199.asp)
打印PE文件导入表(C语言代码)
lygl35的博客
07-07 382
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 976
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
C语言编程获取PE文件导出表内容
一根火柴博客
02-02 1869
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageNT
WindowsPE权威指南 第二章 小工具 PEInfo代码的C语言实现
weixin_30785593的博客
11-26 483
主程序代码 PEInfo.c 1 #include <Windows.h> 2 #include<Richedit.h> 3 #include "resource.h" 4 5 6 HINSTANCE hInstance; 7 HWND hWinEdit; 8 9 10 11 12 /* ...
c语言编写矢量网络分析
08-20
矢量网络分析是一种用于分析和解决电路中矢量量的问题的方法。在C语言编写矢量网络分析程序可以通过以下步骤来实现: 1. 定义矢量的数据结构:使用结构体或数组等数据结构来表示矢量。每个矢量包含实部和虚部两个分量,可以使用浮点数或双精度数来表示。 2. 实现矢量的基本运算:通过重载运算符或自定义函数来实现矢量的加法、减法、乘法和除法等基本运算。这些运算可以基于实部和虚部的计算进行。 3. 编写网络拓扑结构表示:使用数据结构来表示电路的网络拓扑结构,包括电阻、电感和电容等元件的连接关系。可以使用邻接表、邻接矩阵或其他数据结构来表示电路网络。 4. 矢量网络分析算法的实现:根据电路的网络拓扑结构,利用矢量的基本运算,实现矢量网络分析算法,如节点分析法或支路分析法等。这些算法可以用于计算电流、电压和功率等参数。 5. 输出结果:将计算得到的结果输出到屏幕或文件中,以便进行后续的分析和处理。 总之,通过使用C语言编写矢量网络分析程序,我们可以实现一个能够计算和分析电路中矢量量的程序,为电路设计和分析提供有力的工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值