C语言编写控制台下PE分析工具(三)

最新推荐文章于 2024-04-22 09:40:41 发布
最新推荐文章于 2024-04-22 09:40:41 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHkylin/article/details/48011281
版权

七、获取输出表信息

1、获取数据目录中元素的入口
LPVOID GetDirectoryEntryToData(LPVOID ImageBase, USHORT DirectoryEntry)
{
DWORD dwDataStartRVA;
PIMAGE_NT_HEADERS pNtH = nullptr;
PIMAGE_OPTIONAL_HEADER pOH = nullptr;
LPVOID pData = nullptr;
pNtH = GetNtHeaders(ImageBase);
if (!pNtH)
{
return nullptr;
}

pOH = GetOptionalHeader(ImageBase);
if (!pOH)
{
return nullptr;
}

dwDataStartRVA = pOH->DataDirectory[DirectoryEntry].VirtualAddress;
pData = ImageRvaToVa(pNtH, ImageBase, dwDataStartRVA, NULL);    
if (!pData)
{
return nullptr;
}
return pData;
}

其中,  ImageRvaToVa()用于从相对虚拟地址向磁盘地址的转换,返回一个指向磁盘地址的指针。这个函数定义在imagehlp.h中,使用时需要手动引用imagehlp.lib:

#include <imagehlp.h>
#pragma comment ( lib, "imagehlp.lib" ) 


2、获取输出表在磁盘文件中的位置

PIMAGE_EXPORT_DIRECTORY GetExportDirectory(LPVOID ImageBase)
{
if (!ImageBase)
{
return nullptr;
}

PIMAGE_EXPORT_DIRECTORY pED = (PIMAGE_EXPORT_DIRECTORY)GetDirectoryEntryToData(ImageBase, IMAGE_DIRECTORY_ENTRY_EXPORT);
if (!pED)
{
return nullptr;
}


return pED;
}


3、获取输出表信息

void ShowExportDirectory(PMAP_FILE_STRUCT stMapFile)
{
char data[9][48] = {
"Characteristics:            ",
"TimeDateStamp:              ",
"Name:                       ",
"Base:                       ",
"NumberOfFunctions:          ",
"NumberOfNames:              ",
"AddressOfFunctions:         ",
"AddressOfNames:             ",
"AddressOfNameOrdinals:      "
};

PIMAGE_EXPORT_DIRECTORY pED = GetExportDirectory(stMapFile->ImageBase);
if (!pED)
{
printf("Can't get Export Table\n");
return;
}
char *szName = nullptr;
szName = (char *)ImageRvaToVa(GetNtHeaders(stMapFile->ImageBase), stMapFile->ImageBase, pED->Name, NULL);

//时间转换
time_t t = pED->TimeDateStamp;
char strTime[26] = { 0 };
tm* ptmBegin = localtime(&t);
strftime(strTime, 26, "%Y/%m/%d %H:%M:%S", ptmBegin);

printf("\n\n[Export Table]\n");
printf("%s %08lX\n", data[0], pED->Characteristics);
printf("%s %08lX (%s)\n", data[1], pED->TimeDateStamp, strTime);
printf("%s %08lX (%s)\n", data[2], pED->Name, szName);
printf("%s %08lX\n", data[3], pED->Base);
printf("%s %08lX\n", data[4], pED->NumberOfFunctions);
printf("%s %08lX\n", data[5], pED->NumberOfNames);
printf("%s %08lX\n", data[6], pED->AddressOfFunctions);
printf("%s %08lX\n", data[7], pED->AddressOfNames);
printf("%s %08lX\n", data[8], pED->AddressOfNameOrdinals);
}

结果如图所示:



4、获取输出函数:

void  ShowExportFuncsInfo(LPVOID ImageBase)
{
if (!ImageBase)
{
return;
}
UINT iNumOfName = 0;
PDWORD pdwFuncs = nullptr;
PDWORD pdwNames = nullptr;
PWORD  pwOrds = nullptr;
bool bIsByName = false;
PIMAGE_NT_HEADERS pNtH = nullptr;
PIMAGE_EXPORT_DIRECTORY pED = nullptr;
char cBuff[10] = { 0 };
char *szFuncName = nullptr;
pNtH = GetNtHeaders(ImageBase);
if (!pNtH)
{
return;
}


pED = GetExportDirectory(ImageBase);
if (!pED)
{
return;
}


iNumOfName = pED->NumberOfNames;
pwOrds = (PWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfNameOrdinals, NULL);
pdwFuncs = (PDWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfFunctions, NULL);


pdwNames = (PDWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfNames, NULL);
if (!pdwFuncs)
{
return;
}



printf("\n\nOrdinal     RVA          Function Name\n");

for (UINT i = 0; i < pED->NumberOfFunctions; i++)
{
if (pdwFuncs[i])
{
for (UINT j = 0; j < iNumOfName; j++)
{
if (i == pwOrds[j])
{
bIsByName = true;
szFuncName = (char *)ImageRvaToVa(pNtH, ImageBase, pdwNames[i], NULL);
break;
}
bIsByName = false;
}
printf("%04lX       %08lX      %s\n", (UINT)(pED->Base + i), pdwFuncs[i], szFuncName);
}
}
}


结果如图所示:


卡卡西。。。
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
简易的学生成绩录入程序(完整版)
zjw_python的博客
04-30 7908
从开始学习C语言开始,不知不觉已经接近一个月了。通过一步一步的写小程序,自己也渐渐掌握了C语言的一些基础语法。最后以这个简易的学生成绩录入小程序来巩固一下这段时间的学习成果,就当做是一次期末测验吧。 该程序总体上包括两个模块,分为是登录模块(log.c)和处理模块(system.c),登录模块包含注册账号密码和验证账号密码功能,只有成功登录,才能进入处理模块进行学生信息的录入。处理模块包含录入新
C语言调试技巧与工具介绍
m0_75198698的博客
05-16 726
**LLDB**:LLVM调试器(LLVM Debugger),是一个开源的命令行调试器,用于C、C++和Objective-C。当进行C语言开发时,调试是一个非常重要的步骤,可以帮助我们定位和解决代码中的错误和问题。- **Coverity**:Coverity是一种商业静态代码分析工具,可以检测C、C++和其他语言中的各种错误和安全漏洞。使用printf语句进行调试的优点是简单易用,但缺点是可能需要在代码中添加大量的打印语句,且输出的信息可能较为杂乱。// 输出变量x的值。
c语言程序分析工具,C语言编写控制台PE分析工具(一)
weixin_39754398的博客
05-18 268
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。typedef struct _MAP_FILE_STRUCT{HANDLE hFile; //文件句柄HANDLE hMapping;//映射文件句柄LPVOID ImageBase;//映像基址} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;一、加载要打开的文件采用内存映射的方式将文件加载到内存...
推荐一款C++代码的静态代码分析工具:Cppcheck
最新发布
xzji001的博客
04-22 608
是一款用于 C 语言和 C++ 代码的静态代码分析工具。它可以帮助您检查代码中的潜在错误和缺陷,提高代码质量。
C语言编写控制台PE分析工具(二)
CHkylin的博客
08-26 1135
C语言编写PE格式分析工具
词法分析C语言编写(附实验报告)
04-17
C语言编写词法分析器,我们需要对C语言的语法特性有深入理解,例如知道哪些字符组合可以构成合法的标识符,哪些是关键字,哪些是运算符,以及如何处理数字、字符串等常量。此外,我们还需要了解正则表达式或者...
Linux shell编写C语言词法分析
01-10
Linux shell编写C语言词法分析器是一个有趣且实用的项目,它将shell脚本的灵活性与C语言的解析能力相结合,用于分析C语言源代码的结构。以下是对这个项目的详细说明,以及涉及到的关键知识点。 首先,词法分析是...
PID:用C语言编写的PID控制器实现
04-14
用C编写的PID控制器实现 关于“测量导数”的注释:由于有效地进入微分器的“误差信号”不取决于设定点:e [n] = 0-测量,因此(e [n]-e [n-1 ])=(0-测量)-(0-prevMeasurement)= -Kd *(测量-prevMeasurement)...
使用C语言编写游戏子棋
02-25
使用C语言编写游戏子棋
C语言头文件包含关系分析工具
10-12
c# 简易绘制C语言头文件包含关系图 详细说明可以查看我的blog http://www.cnblogs.com/geeking/ 本工具使用了DotNetBar中的TreeGX控件。下载地址: http://down2.cr173.com/soft1/DotNetBarSetup.zip
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
打印PE文件导入表(C语言代码)
lygl35的博客
07-07 392
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 1000
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
C语言编程获取PE文件导出表内容
一根火柴博客
02-02 1875
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageNT
WindowsPE权威指南 第二章 小工具 PEInfo代码的C语言实现
weixin_30785593的博客
11-26 493
主程序代码 PEInfo.c 1 #include <Windows.h> 2 #include<Richedit.h> 3 #include "resource.h" 4 5 6 HINSTANCE hInstance; 7 HWND hWinEdit; 8 9 10 11 12 /* ...
c语言的重构、清理与代码分析图形化浏览工具: CScout
dielucui7698的博客
09-01 607
网址: https://www.spinellis.gr/cscout/ https://www2.dmst.aueb.gr/dds/cscout/index.html https://github.com/dspinellis/cscout 还有一个工具叫Xrefactory,它可以分析c++程序。 cscout只能分析c程序。具体如下: A tool ado...
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7654
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
静态分析C语言生成函数调用关系的利器——cflow
热门推荐
方亮的专栏
07-20 2万+
除了《静态分析C语言生成函数调用关系的利器——calltree》一文中介绍的calltree,我们还可以借助cflow辅助我们阅读理解代码。(转载请指明出于breaksoftware的csdn博客)cflow的说明和安装 cflow是一款静态分析C语言代码的工具,通过它可以生成函数的调用关系。和calltree不一样,cflow有独立的网页介绍它(https://ww...
编写PE文件解析器(一)
当我在写代码的时候我在写什么
10-26 1903
第一篇先写一个PE格式解析器,学了那么久了写出来防止自己忘记,顺便练练手。PE格式解析是比较基础的内容,后面再越写越深。我写这个不是介绍pe格式,而是说编写解析代码,解释定义什么的网上一堆就不粘了,重要的定义我尽量简洁的描述清楚就行,如果想知道每一个定义或者字段是用来干嘛的,在pecoff文档里写的很清楚。业余时间写的,时间不充裕写得很慢,写错请斧正,转载请注明,高手轻批。 解析前需要弄
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值