C语言编写控制台下PE分析工具(三)

最新推荐文章于 2021-05-20 08:12:21 发布
最新推荐文章于 2021-05-20 08:12:21 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHkylin/article/details/48011281
版权

七、获取输出表信息

1、获取数据目录中元素的入口
LPVOID GetDirectoryEntryToData(LPVOID ImageBase, USHORT DirectoryEntry)
{
DWORD dwDataStartRVA;
PIMAGE_NT_HEADERS pNtH = nullptr;
PIMAGE_OPTIONAL_HEADER pOH = nullptr;
LPVOID pData = nullptr;
pNtH = GetNtHeaders(ImageBase);
if (!pNtH)
{
return nullptr;
}

pOH = GetOptionalHeader(ImageBase);
if (!pOH)
{
return nullptr;
}

dwDataStartRVA = pOH->DataDirectory[DirectoryEntry].VirtualAddress;
pData = ImageRvaToVa(pNtH, ImageBase, dwDataStartRVA, NULL);    
if (!pData)
{
return nullptr;
}
return pData;
}

其中,  ImageRvaToVa()用于从相对虚拟地址向磁盘地址的转换,返回一个指向磁盘地址的指针。这个函数定义在imagehlp.h中,使用时需要手动引用imagehlp.lib:

#include <imagehlp.h>
#pragma comment ( lib, "imagehlp.lib" ) 


2、获取输出表在磁盘文件中的位置

PIMAGE_EXPORT_DIRECTORY GetExportDirectory(LPVOID ImageBase)
{
if (!ImageBase)
{
return nullptr;
}

PIMAGE_EXPORT_DIRECTORY pED = (PIMAGE_EXPORT_DIRECTORY)GetDirectoryEntryToData(ImageBase, IMAGE_DIRECTORY_ENTRY_EXPORT);
if (!pED)
{
return nullptr;
}


return pED;
}


3、获取输出表信息

void ShowExportDirectory(PMAP_FILE_STRUCT stMapFile)
{
char data[9][48] = {
"Characteristics:            ",
"TimeDateStamp:              ",
"Name:                       ",
"Base:                       ",
"NumberOfFunctions:          ",
"NumberOfNames:              ",
"AddressOfFunctions:         ",
"AddressOfNames:             ",
"AddressOfNameOrdinals:      "
};

PIMAGE_EXPORT_DIRECTORY pED = GetExportDirectory(stMapFile->ImageBase);
if (!pED)
{
printf("Can't get Export Table\n");
return;
}
char *szName = nullptr;
szName = (char *)ImageRvaToVa(GetNtHeaders(stMapFile->ImageBase), stMapFile->ImageBase, pED->Name, NULL);

//时间转换
time_t t = pED->TimeDateStamp;
char strTime[26] = { 0 };
tm* ptmBegin = localtime(&t);
strftime(strTime, 26, "%Y/%m/%d %H:%M:%S", ptmBegin);

printf("\n\n[Export Table]\n");
printf("%s %08lX\n", data[0], pED->Characteristics);
printf("%s %08lX (%s)\n", data[1], pED->TimeDateStamp, strTime);
printf("%s %08lX (%s)\n", data[2], pED->Name, szName);
printf("%s %08lX\n", data[3], pED->Base);
printf("%s %08lX\n", data[4], pED->NumberOfFunctions);
printf("%s %08lX\n", data[5], pED->NumberOfNames);
printf("%s %08lX\n", data[6], pED->AddressOfFunctions);
printf("%s %08lX\n", data[7], pED->AddressOfNames);
printf("%s %08lX\n", data[8], pED->AddressOfNameOrdinals);
}

结果如图所示:



4、获取输出函数:

void  ShowExportFuncsInfo(LPVOID ImageBase)
{
if (!ImageBase)
{
return;
}
UINT iNumOfName = 0;
PDWORD pdwFuncs = nullptr;
PDWORD pdwNames = nullptr;
PWORD  pwOrds = nullptr;
bool bIsByName = false;
PIMAGE_NT_HEADERS pNtH = nullptr;
PIMAGE_EXPORT_DIRECTORY pED = nullptr;
char cBuff[10] = { 0 };
char *szFuncName = nullptr;
pNtH = GetNtHeaders(ImageBase);
if (!pNtH)
{
return;
}


pED = GetExportDirectory(ImageBase);
if (!pED)
{
return;
}


iNumOfName = pED->NumberOfNames;
pwOrds = (PWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfNameOrdinals, NULL);
pdwFuncs = (PDWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfFunctions, NULL);


pdwNames = (PDWORD)ImageRvaToVa(pNtH, ImageBase, pED->AddressOfNames, NULL);
if (!pdwFuncs)
{
return;
}



printf("\n\nOrdinal     RVA          Function Name\n");

for (UINT i = 0; i < pED->NumberOfFunctions; i++)
{
if (pdwFuncs[i])
{
for (UINT j = 0; j < iNumOfName; j++)
{
if (i == pwOrds[j])
{
bIsByName = true;
szFuncName = (char *)ImageRvaToVa(pNtH, ImageBase, pdwNames[i], NULL);
break;
}
bIsByName = false;
}
printf("%04lX       %08lX      %s\n", (UINT)(pED->Base + i), pdwFuncs[i], szFuncName);
}
}
}


结果如图所示:


C语言多媒体开源框架GStreamer详解
dvlinker的技术专栏
07-26 194
全面解析C语言多媒体开源框架GStreamer
C/C++学习路线总结与分享
dvlinker的技术专栏
10-07 9万+
C/C++学习路线总结与分享
PE文件解析器的原理(C语言代码)
01-16
C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架
PE文件分析工具编写练习
王二娃的生活的博客
10-01 4787
一、PE文件简介 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)(百度百科) PE文件对于底层研究的重要性不言而喻,这里只做简单记录,以供自己学习之用,后面提供了一个山寨版本的PE文件解析器,话不多说,上图: 二、PE文件重
C语言分析
07-28
这是一个C语言源代码分析器, 将源代码中的各种标识符分析出来, 实现快速查看, 以便更有效的对C源代码进行分析与阅读!
PE分析工具
08-19
PE分析工具, 这个PE分析工具功能挺全的.
c语言函数分析工具,C语言工具函数
weixin_42361635的博客
05-20 236
---恢复内容开始---根据步长切割字符串:strsplit1 /*************************************************2 *函数功能:使用newstr替换oldstr,若newstr为空,则表示删除3 *参数str:待处理的字符串4 *参数oldstr:旧字符串5 *参数newstr:新字符串(可传NULL)6 *返回值:返回处理得到的字符串...
C语言编写控制台PE分析工具(一)
CHkylin的博客
08-25 3682
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。 typedef struct _MAP_FILE_STRUCT { HANDLE hFile; //文件句柄 HANDLE hMapping; //映射文件句柄 LPVOID ImageBase; //映像基址 } MAP_FILE_STRUCT, *PMAP_FILE_STRUCT; 一、加
C语言编写控制台PE分析工具(二)
CHkylin的博客
08-26 1174
C语言编写PE格式分析工具
C语言编写控制台PE分析工具(四)
CHkylin的博客
09-02 1251
八、获取输入表信息 1、获取输入表地址 PIMAGE_IMPORT_DESCRIPTOR  GetFirstImportDesc(LPVOID ImageBase) { if (!ImageBase) { return nullptr; } PIMAGE_IMPORT_DESCRIPTOR pID = (PIMAGE_IMPORT_DESCRIPTOR)GetDirectoryEn
c语言程序解析工具(CReverseAnalysis)V1.30官方最新绿色版
07-26
c语言程序解析工具(CReverseAnalysis)是一款针对C语言程序的分析工具,支持很多程序的解析,自动化操作,并支持几种格式作为输出介质,对于一些刚刚接触C语言的程序员来说,这款软件可以帮助他们快速找出程序中的BUG,非常实用,需要的朋友欢迎前来下载使用! 主要功能 (1)函数列表输出 (2)变量列表输出(输出) (3)html文档制作结果 (4)函数调用树的输出 (5)函数步
C语言性能分析工具_valgrind的安装_配置_使用方法
03-16
C语言性能分析工具
PE文件分析工具
11-24
能够分析PE文件的sectionheader imageheader,dosheader datadirection 并有importtable exporttable
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
VC++实现PE文件分析工具
12-15
VC++实现PE文件分析工具
c语言静态分析工具,c语言静态分析工具最新版
weixin_34052529的博客
05-19 624
c语言静态分析工具最新版是一款非常不错的静态分析工具,它可以帮户用户对c文件进行静态分析,主要分析内容包括控制流分析、数据流分析、基本度量指标的计算、违反代码规则的检查等,方便用户查证并改进问题,高效的改正问题以提高代码质量,快来下载吧。功能介绍:雨田静态分析系统可以对.c文件进行静态分析。具体包括控制流分析、基本指标分析、数据流分析、复杂度分析、循环分析以及代码质量分析。代码质量分析以 MISR...
c语言程序分析工具,C语言编写控制台PE分析工具(一)
weixin_39754398的博客
05-18 297
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。typedef struct _MAP_FILE_STRUCT{HANDLE hFile; //文件句柄HANDLE hMapping;//映射文件句柄LPVOID ImageBase;//映像基址} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;一、加载要打开的文件采用内存映射的方式将文件加载到内存...
纯手工编写PE可执行程序
ll2323001的专栏
04-08 1166
【文章标题】: 纯手工编写PE可执行程序 【文章作者】: Kinney 【作者邮箱】: mohen_ng@sina.cn 【下载地址】: 自己搜索下载 【使用工具】: C32 【操作平台】: win 7 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -----------------------------------------
C实现PE结构解析
weixin_44644249的博客
12-11 628
C实现PE结构解析 其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。 这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节表,可选头的结构还没写完,先放着,写完了再更新。 代码: #include <stdio.h> #include<stdlib.h> #define _CRT_SECURE_NO_WARNINGS char filepath[] = "D:\\if_else.exe"; typedef char byte; ty
实现C语言编写的词法分析
C语言编写一个词法分析器,可以帮助开发者更好地理解编译原理,以及C语言的词法规则和编译过程中的词法处理机制。本文将详细介绍如何使用C语言编写一个简单的词法分析器,包括其工作原理、设计思路和实现过程。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值