滴水三期:day28.2-编写程序读取.exe文件的头字段

已于 2023-04-22 03:30:43 修改
阅读量935 收藏 3
点赞数 3
分类专栏: 逆向 文章标签: c++ 堆栈 反汇编 安全 内存结构
于 2022-05-02 13:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Edimade/article/details/124540092
版权

一、作业

1.编写程序读取一个.exe文件,输出所有的PE头信息

#include "stdafx.h"
#include <stdlib.h>

typedef unsigned short WORD;
typedef unsigned int DWORD;
typedef unsigned char BYTE;

//宏定义MZ标记和PE标记,方便后面判断
#define MZ 0x5A4D
#define PE 0x4550

//DOS头
struct _IMAGE_DOS_HEADER {
	WORD e_magic;  //MZ标记
	WORD e_cblp;
	WORD e_cp;
	WORD e_crlc;
	WORD e_cparhdr;
	WORD e_minalloc;
	WORD e_maxalloc;
	WORD e_ss;
	WORD e_sp;
	WORD e_csum;
	WORD e_ip;
	WORD e_cs;
	WORD e_lfarlc;
	WORD e_ovno;
	WORD e_res[4];
	WORD e_oemid;
	WORD e_oeminfo;
	WORD e_res2[10];
	DWORD e_lfanew;  //PE文件真正开始的偏移地址
};

//标准PE头
struct _IMAGE_FILE_HEADER {
	WORD Machine;  //文件运行平台
	WORD NumberOfSections;  //节数量
	DWORD TimeDateStamp;  //时间戳
	DWORD PointerToSymbolTable;
	DWORD NumberOfSymbols;
	WORD SizeOfOptionalHeader;  //可选PE头大小
	WORD Characteristics;  //特征值
};

//可选PE头
struct _IMAGE_OPTIONAL_HEADER {
	WORD Magic;  //文件类型
	BYTE MajorLinkerVersion;
	BYTE MinorLinkerVersion;
	DWORD SizeOfCode;   //代码节文件对齐后的大小
	DWORD SizeOfInitializedData;  //初始化数据文件对齐后的大小
	DWORD SizeOfUninitializedData;  //未初始化数据文件对齐后大小
	DWORD AddressOfEntryPoint;  //程序入口点(偏移量)
	DWORD BaseOfCode;  //代码基址
	DWORD BaseOfData;  //数据基址
	DWORD ImageBase;   //内存镜像基址
	DWORD SectionAlignment;  //内存对齐粒度
	DWORD FileAlignment;  //文件对齐粒度
	WORD MajorOperatingSystemVersion;
	WORD MinorOperatingSystemVersion;
	WORD MajorImageVersion;
	WORD MinorImageVersion;
	WORD MajorSubsystemVersion;
	WORD MinorSubsystemVersion;
	DWORD Win32VersionValue;
	DWORD SizeOfImage;  //文件装入虚拟内存后大小
	DWORD SizeOfHeaders;  //DOS、NT头和节表大小
	DWORD CheckSum;  //校验和
	WORD Subsystem;
	WORD DllCharacteristics;
	DWORD SizeOfStackReserve;  //预留堆栈大小
	DWORD SizeOfStackCommit;  //实际分配堆栈大小
	DWORD SizeOfHeapReserve;  //预留堆大小
	DWORD SizeOfHeapCommit;  //实际分配堆大小
	DWORD LoaderFlags;
	DWORD NumberOfRvaAndSizes;  //目录项数目
	//_IMAGE_DATA_DIRECTORY DataDirectory[16];  //这个先不管
};

//NT头
struct _IMAGE_NT_HEADERS {
	DWORD Signature;  //PE签名
	_IMAGE_FILE_HEADER FileHeader;
	_IMAGE_OPTIONAL_HEADER OptionalHeader;
};

//将文件读入FileBuffer函数
char* to_FileBuffer(char* filePath){
    FILE* fp = fopen(filePath,"rb");
    if(!fp){
		printf("打开文件失败");
		exit(0);
	}
    fseek(fp,0,2);
	int size = ftell(fp); //计算文件大小
	fseek(fp,0,0);
    
	char* mp = (char*)malloc(sizeof(char) * size);  //分配内存空间
    if(!mp){
        printf("分配空间失败");
        fclose(fp);
        exit(0);
    }
    
    int isSucceed = fread(mp,size,1,fp);
    if(!isSucceed){
        printf("读取数据失败");
        free(mp);
        fclose(fp);
        exit(0);
    }
    
    fclose(fp);
    return mp;
}

//打印PE头各字段函数
void PE_header_print(char* filePath){
    
    char* mp = to_FileBuffer(filePath);  //将文件读入内存并返回FileBuffer首地址
    //定义各个结构结构体指针,方便查找数据
    _IMAGE_DOS_HEADER* _image_dos_header = NULL;
	_IMAGE_FILE_HEADER* _image_file_header = NULL;
	_IMAGE_OPTIONAL_HEADER* _image_optional_header = NULL;
	_IMAGE_NT_HEADERS* _image_nt_header = NULL;
    
    //打印DOS头
	_image_dos_header = (_IMAGE_DOS_HEADER*)mp;
	printf("************DOS头*************\n");
    if(_image_dos_header->e_magic != MZ){
        printf("此文件不满足MZ标记,不再继续分析");
        exit(0);
    }
	printf("e_magic:%04X\n",_image_dos_header->e_magic);  //%04X表示输出格式为宽度为4不够用0补的十六进制
	printf("e_lfanew:%08X\n",_image_dos_header->e_lfanew);

    //打印PE签名
	_image_nt_header = (_IMAGE_NT_HEADERS*)((char*)mp + _image_dos_header->e_lfanew);
	printf("\n\n************PE签名*************\n");
    if(_image_nt_header->Signature != PE){
		printf("不是有效的PE标记");
        exit(0);
    }
	printf("Signature:%08X\n",_image_nt_header->Signature);
    
    //打印标准PE头
	_image_file_header = (_IMAGE_FILE_HEADER*)((char*)_image_nt_header + 4);
	printf("\n\n************标准PE头*************\n");
	printf("Machine:%04X\n",_image_file_header->Machine);
	printf("NumberOfSections:%04X\n",_image_file_header-> NumberOfSections);
	printf("TimeDateStamp:%08X\n",_image_file_header->TimeDateStamp);
	printf("SizeOfOptionalHeader:%04X\n",_image_file_header->SizeOfOptionalHeader);
	printf("Characteristics:%04X\n",_image_file_header-> Characteristics);
	
    //打印可选PE头
	_image_optional_header = (_IMAGE_OPTIONAL_HEADER*)((char*)_image_nt_header + 24);
	printf("\n\n************可选PE头*************\n");
	printf("Magic:%04X\n",_image_optional_header->Magic);
	printf("SizeOfCode:%08X\n",_image_optional_header->SizeOfCode);
	printf("SizeOfInitializedData:%08X\n",_image_optional_header-> SizeOfInitializedData);
	printf("SizeOfUninitializedData:%08X\n",_image_optional_header->SizeOfUninitializedData);
	printf("AddressOfEntryPoint:%08X\n",_image_optional_header->AddressOfEntryPoint);
	printf("BaseOfCode:%08X\n",_image_optional_header-> BaseOfCode);
	printf("BaseOfData:%08X\n",_image_optional_header->BaseOfData);
	printf("ImageBase:%08X\n",_image_optional_header-> ImageBase);
	printf("SectionAlignment:%08X\n",_image_optional_header->SectionAlignment);
	printf("FileAlignment:%08X\n",_image_optional_header->FileAlignment);
	printf("SizeOfImage:%08X\n",_image_optional_header->SizeOfImage);
	printf("SizeOfHeaders:%08X\n",_image_optional_header-> SizeOfHeaders);
	printf("CheckSum:%08X\n",_image_optional_header->CheckSum);
	printf("SizeOfStackReserve:%08X\n",_image_optional_header->SizeOfStackReserve);
	printf("SizeOfStackCommit:%08X\n",_image_optional_header->SizeOfStackCommit);
	printf("SizeOfHeapReserve:%08X\n",_image_optional_header->SizeOfHeapReserve);
	printf("SizeOfHeapCommit:%08X\n",_image_optional_header->SizeOfHeapCommit);
    
    //别忘了释放分配的内存mp
    free(mp);
}
	
int main(int argc,char* argv[]){
    char* filePath = "D:/C-language/file/notepad.exe";  //你要打开的PE文件绝对路径
	PE_header_print(filePath);
    return 0;
}

2.使用第三方的PE工具,对比如下信息,看是否一致

  • 验证如下:

    image-20230322033632921

EdimadeZhou
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
Burpsuite+Proxifier抓取exe数据
潇湘信安的博客
06-19 1438
前几天在群里看到有师傅在问如何用Burpsuite抓取exe数据包的问题?所以想着写篇文章简单记录一下Burpsuite+Proxifier抓取exe数据包的方法。
delphi 文件操作(信息获取)
dkopg24406的专栏
08-13 997
delphi获取Exe文件版本信息的函数 Type TFileVersionInfo = Record FixedInfo:TVSFixedFileInfo; {版本信息} CompanyName:String; {公司名称} FileDescription:String; {说明} FileVersion:String; {文件版本} InternalName...
C#实现从exe中抽取嵌入的资源文件
yingaizhu的博客
03-16 1万+
前提条件新建一个C#项目需要内嵌的资源文件嵌入资源的配置将文件拷贝到项目目录下,如下图,在项目目录下的路径为“Application/MainApplication.exe”单击文件(如果属性栏隐藏了,通过右键》属性打开),在属性栏中,将”生成操作“一栏改为”嵌入的资源“,这样配置,当生成项目的时候,资源就会打包到exe内部。从嵌入的资源中读取文件,是通过Assembly.GetExecuting...
python如何触发exe程序_在Python环境中如何调用可执行exe文件
weixin_39556064的博客
11-25 2655
在我们平常工作中,经常涉及到用代码启动一个可执行文件的情况。那么,在Python环境中,启动一个可执行文件的方式有哪些呢?一:system方式os.system() 会保存可执行程序中的打印值和主函数的返回值,且会将执行过程中要打印的内容打印出来import osmain = "project1.exe"r_v = os.system(main)print (r_v )二:getstatusout...
关于exe文件
qq_66592922的博客
02-21 5731
一、EXE文件结构 EXE文件分为两个部分: EXE文件程序本体。exe文件比较复杂,属于一种多段的结构,是DOS最成功和复杂的设计之一。每个exe文件包含一个文件和一个可重定位程序的映像。文件包含MS-DOS用于加载程序的信息,例如程序的大小和寄存器的初始值。文件还指向一个重定位表,该表包含指向程序映像中可重定位段地址的指针链表。MS-DOS通过把该映像直接从文件复制到内存加载exe程序,然后调整定位表中说明的可重定位段地址。定位表是一个重定位指针数组,每个指向程序映像中的可重定位段地址。
【记录查看 .exe文件的学习过程】
lt012345的博客
06-16 2049
(1)记录今天的历程主要是为了在以后的学习中可以解决掉怎么从 GitHub 上下载软件的安装包问题。写下来可以知道自己是哪里出了问题,时间久了害怕遗忘。(2)收获有:① 深入理解了程序其内容都是数值的罗列,每个数值要么是指令,要么是数据。学会使用文本编辑器(Notepad++)查看 .exe 的可执行程序文件(使用 HEX-Editor 插件处理.exe文件乱码问题)。② 找到在 访问 GitHub 的加速问题上有了新的解决方法—— FastGithub。
c语言怎么得到.exe程序,在c语言中,怎么将exe文件的内容读出
weixin_34452086的博客
05-17 329
#include #include #include #define CATALOG "D:\\mydata.txt" //这个是文件的目录int main(void){ FILE *fp; int num[100], test[100]; srand((unsigned int )time(NULL)); for (int i = 0; i < 100; ++i) num[i] = r...
C# 调用EXE文件 实现传参和获取返回结果
^@^lemon tea^@^
01-05 7384
C# 调用EXE文件 实现传参和获取返回结果
python读取文件信息脚本可执行文件.exe
12-31
filename_read:这个是把这个文件直接放到那个目录下,就会读出所有文件文件夹 filename_read2:这个版本是,你需要输入,你要查找的文件夹路径,然后就会显示
TortoiseSVN-1.12.2.28653-x64-svn-1.12.2.zip
10-07
svn客户端,与idea整合教程详见 https://blog.csdn.net/qq_41638825/article/details/102305130
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出...
滴水三期完整版(96课时)
04-20
第35讲:2015-03-12(PE字段说明) 第36讲:2015-03-13(PE节表) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:...
org.noo:mybatis-paging-0.1.jar
04-30
jar包,maven中已经无法找到。下面曾经的引用: <groupId>org.noo <artifactId>mybatis-paging <version>0.1 </dependency>
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
unity 读取外部exe程序控制台信息
a554671102的博客
05-17 698
由于需要获取显卡信息,但是unity的自带函数,只能输出1个显卡 c#倒是可以但是引用了一个下载的dll System.Management.dll 这个dll放到unity用不了,因为mono不支持 所以先用vs写个外部exe程序 using System; using System.Management; public class Sample { ...
EXE文件结构读取方法
热门推荐
晓风残月xj
07-11 1万+
一、EXE文件概念      EXE File英文全名executable file ,译作可执行文件,可移植可执行 (PE) 文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行,是可在操作系统存储空间中浮动定位的可执行程序。如记事本程序notepad.exe ,可以用来编辑文档,如:测试.txt双击打开notepad.exe记事本程序来进行编辑处理。 二、EXE文件结构
windows使用命令行使.exe读入文件的方法
洛 水
12-06 1014
前记: 第一次制造很长的输入数据,因为粘贴板存不下数据,导致制造的输出数据出现了问题,上传到oj之后交自己的代码发现WA了,找了半天找不到问题所在,最后在浩爷帮助下才发现原来是粘贴板存不下导致的错误。 因此吸取教训,以后一定要使用本地读入文件来造输出数据。在cmd上读入感觉比在编译器里使用命令读入方便一些,因此此篇用于记录windows使用命令行使.exe读入文件的方法。 1.用cd进入编译器Debug出来的.exe所在目录 cd C:\... 2.使用左括号将数据文件读入.exe //格式 XXX.e
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值