PE文件信息获取(Win32, C++)

已于 2024-03-01 22:00:18 修改
阅读量270 收藏
点赞数 1
分类专栏: Win32 C++ Windows 文章标签: C++ Win32 Windows PE信息
于 2024-02-28 17:03:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Flame_Cyclone/article/details/136350778
版权
Win32 同时被 3 个专栏收录
57 篇文章 1 订阅
订阅专栏
C++
47 篇文章 0 订阅
订阅专栏
Windows
27 篇文章 0 订阅
订阅专栏

CPEHeaderUtils.h

#pragma once
#include <wtypesbase.h>
#include <string>

#ifdef _UNICODE
using _tstring = std::wstring;
#else
using _tstring = std::string;
#endif

class CPEHeader
{
public:

    CPEHeader();
    ~CPEHeader();
    CPEHeader& operator = (const CPEHeader& r) = delete;

    // 从文件加载PE文件头信息
    bool Load(const _tstring strFile);

    // 是否为有效PE信息
    bool IsValidPEHeader() const;

    // 获取计算机的体系结构类型
    WORD GetMachine() const;

    // 获取映像文件特征
    WORD GetCharacteristics() const;

    // 获取运行映像所需的子系统
    WORD GetSubSystem() const;

    // 获取Dll特征
    WORD GetDllCharacteristics() const;

    // 获取校验和
    DWORD GetCheckSum() const;

    // 计算机的体系结构类型检查
    bool IsX86() const;                       //是否为 X86 平台
    bool IsX64() const;                       //是否为 X64 平台
    bool IsARM64() const;                     //是否为 ARM64 平台
    bool IsIA64() const;                      //是否为 英特尔的安腾(Intel Itanium) 平台

    // 文件特征检查
    bool IsDllFile() const;                   //映像是否为一个 DLL 文件
    bool IsExecutable() const;                //映像是否为一个 可执行文件
    bool IsSystemFile() const;                //映像是否为一个 系统文件
    bool IsLargeAddressAware() const;         //映像是否 可以处理大于 2 GB 的地址

    // 子系统检查
    bool IsWindowsGUI() const;                //是否运行于windows 图形用户界面 (GUI) 子系统
    bool IsWindowsCUI() const;                //是否运行于Windows 字符模式用户界面 (CUI) 子系统
    bool IsWindowsBootApplication() const;    //是否为启动应用程序

private:

    void Clear();

private:

    //基础PE信息
    IMAGE_DOS_HEADER    m_DosHeader;            //Dos头
    IMAGE_NT_HEADERS32  m_NtHeaders32;          //NT头(32位)
    IMAGE_NT_HEADERS64  m_NtHeaders64;          //NT头(64位)
    IMAGE_ROM_HEADERS   m_RomHeaders;           //ROM头
    WORD                m_NtHeadersMagic;       //NT头魔数
};

CPEHeaderUtils.cpp

#include "CPEHeaderUtils.h"

CPEHeader::CPEHeader()
{
    Clear();
}

CPEHeader::~CPEHeader()
{

}

void CPEHeader::Clear()
{
    memset(&m_DosHeader, 0, sizeof(m_DosHeader));
    memset(&m_NtHeaders32, 0, sizeof(m_NtHeaders32));
    memset(&m_NtHeaders64, 0, sizeof(m_NtHeaders64));
    memset(&m_RomHeaders, 0, sizeof(m_RomHeaders));
    m_NtHeadersMagic = 0;
}

bool CPEHeader::Load(const _tstring strFile)
{
    HMODULE hModule = NULL;
    bool fResult = false;
    LPVOID OldValue = NULL;
    BOOL isDisableWow64Fs = ::Wow64DisableWow64FsRedirection(&OldValue);

    Clear();

    do
    {
        hModule = ::LoadLibraryEx(strFile.c_str(), 0, LOAD_LIBRARY_AS_DATAFILE | LOAD_LIBRARY_AS_IMAGE_RESOURCE);
        if (NULL == hModule)
        {
            break;
        }

        LPBYTE pHeader = (BYTE*)hModule;
        BYTE* pImageData = (BYTE*)((ULONG_PTR)pHeader & ~((ULONG_PTR)0x03));
        PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageData;
        if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
        {
            break;
        }

        m_DosHeader = *pDosHeader;

        PIMAGE_NT_HEADERS pNtHeader = (IMAGE_NT_HEADERS*)((BYTE*)(pDosHeader)+(DWORD)(pDosHeader->e_lfanew));
        if (IMAGE_NT_SIGNATURE != pNtHeader->Signature)
        {
            break;
        }

        // 检查 是否为 32位程序可选头
        if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == pNtHeader->OptionalHeader.Magic)
        {
            m_NtHeaders32 = *((PIMAGE_NT_HEADERS32)pNtHeader);
        }
        // 检查 是否为 64位程序可选头
        else if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == pNtHeader->OptionalHeader.Magic)
        {
            m_NtHeaders64 = *((PIMAGE_NT_HEADERS64)pNtHeader);
        }
        // ROM可选头
        else if (IMAGE_ROM_OPTIONAL_HDR_MAGIC == pNtHeader->OptionalHeader.Magic)
        {
            m_RomHeaders = *((PIMAGE_ROM_HEADERS)pNtHeader);
        }
        else
        {
            break;
        }

        m_NtHeadersMagic = pNtHeader->OptionalHeader.Magic;
        fResult = true;

    } while (false);

    if (isDisableWow64Fs)
    {
        ::Wow64RevertWow64FsRedirection(OldValue);
    }

    if (!fResult)
    {
        Clear();
    }

    if (NULL != hModule)
    {
        ::FreeLibrary(hModule);
    }

    return fResult;
}

bool CPEHeader::IsValidPEHeader() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic || 
        IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return true;
    }

    return false;
}

WORD CPEHeader::GetMachine() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders32.FileHeader.Machine;
    }

    if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders64.FileHeader.Machine;
    }

    return 0;
}

WORD CPEHeader::GetCharacteristics() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders32.FileHeader.Characteristics;
    }

    if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders64.FileHeader.Characteristics;
    }

    return 0;
}

WORD CPEHeader::GetSubSystem() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders32.OptionalHeader.Subsystem;
    }

    if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders64.OptionalHeader.Subsystem;
    }

    return 0;
}

WORD CPEHeader::GetDllCharacteristics() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders32.OptionalHeader.DllCharacteristics;
    }

    if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders64.OptionalHeader.DllCharacteristics;
    }

    return 0;
}

DWORD CPEHeader::GetCheckSum() const
{
    if (IMAGE_NT_OPTIONAL_HDR32_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders32.OptionalHeader.CheckSum;
    }

    if (IMAGE_NT_OPTIONAL_HDR64_MAGIC == m_NtHeadersMagic)
    {
        return m_NtHeaders64.OptionalHeader.CheckSum;
    }

    return 0;
}

bool CPEHeader::IsX86() const
{
    return IMAGE_FILE_MACHINE_I386 == GetMachine();
}

bool CPEHeader::IsX64() const
{
    return IMAGE_FILE_MACHINE_AMD64 == GetMachine();
}

bool CPEHeader::IsARM64() const
{
    return IMAGE_FILE_MACHINE_ARM64 == GetMachine();
}

bool CPEHeader::IsIA64() const
{
    return IMAGE_FILE_MACHINE_IA64 == GetMachine();
}

bool CPEHeader::IsDllFile() const
{
    return IMAGE_FILE_DLL & GetCharacteristics();
}

bool CPEHeader::IsExecutable() const
{
    return IMAGE_FILE_EXECUTABLE_IMAGE & GetCharacteristics();
}

bool CPEHeader::IsSystemFile() const
{
    return IMAGE_FILE_SYSTEM & GetCharacteristics();
}

bool CPEHeader::IsLargeAddressAware() const
{
    return IMAGE_FILE_LARGE_ADDRESS_AWARE & GetCharacteristics();
}

bool CPEHeader::IsWindowsGUI() const
{
    return IMAGE_SUBSYSTEM_WINDOWS_GUI == GetSubSystem();
}

bool CPEHeader::IsWindowsCUI() const
{
    return IMAGE_SUBSYSTEM_WINDOWS_CUI == GetSubSystem();
}

bool CPEHeader::IsWindowsBootApplication() const
{
    return IMAGE_SUBSYSTEM_WINDOWS_BOOT_APPLICATION == GetSubSystem();
}

main.cpp

#include <locale.h>
#include <tchar.h>
#include "Win32Utils/CPEHeaderUtils.h"

int _tmain(int argc, LPCTSTR argv[])
{
    ::setlocale(LC_ALL, "");

    CPEHeader obj;
    obj.Load(_T(R"(kernel32.dll)"));

    _tprintf(_T("IsDllFile: %d\n"), obj.IsDllFile());
    _tprintf(_T("IsExecutable: %d\n"), obj.IsExecutable());
    _tprintf(_T("IsARM64: %d\n"), obj.IsARM64());
    _tprintf(_T("IsIA64: %d\n"), obj.IsIA64());
    _tprintf(_T("IsX64: %d\n"), obj.IsX64());
    _tprintf(_T("IsX86: %d\n"), obj.IsX86());
    _tprintf(_T("IsLargeAddressAware: %d\n"), obj.IsLargeAddressAware());
    _tprintf(_T("IsSystemFile: %d\n"), obj.IsSystemFile());
    _tprintf(_T("IsWindowsBootApplication: %d\n"), obj.IsWindowsBootApplication());
    _tprintf(_T("IsWindowsCUI: %d\n"), obj.IsWindowsCUI());
    _tprintf(_T("IsWindowsGUI: %d\n"), obj.IsWindowsGUI());

    return 0;
}

 

 

 

Flame_Cyclone
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Visual C++开发经验技巧宝典(第9章)—1
09-07
0526 获取磁盘空间信息 342 9.2 磁盘操作 343 0527 格式化磁盘 343 0528 关闭磁盘共享 343 0529 设置磁盘卷标 343 0530 磁盘碎片整理 344 0531 从FAT32转换为NTFS 344 0532 隐藏磁盘分区 345 0533 ...
获取PE文件版本信息(Win32, C++)
FlameCyclone的博客
02-18 299
获取EXE/DLL文件版本信息
PE文件信息解析(Win32, C++)
FlameCyclone的博客
02-05 478
PE文件信息解析助手类, 方便地解析PE文件常见信息
获取PE文件导入的dll列表(Win32, C++)
FlameCyclone的博客
11-17 245
最近需=编写检查某个PE文件(exe或者dll)依赖的dll有哪些, 于是查找资料尝试编写了这段代码, 经测试, 在x64或者x86环境下均可获取x64和x86的PE文件的dll列表.
进程操作(Win32, C++)
FlameCyclone的博客
02-29 360
Win32 进程操作, 进程信息获取
Visual C++开发经验技巧宝典(第9章)
09-07
0526 获取磁盘空间信息 342 9.2 磁盘操作 343 0527 格式化磁盘 343 0528 关闭磁盘共享 343 0529 设置磁盘卷标 343 0530 磁盘碎片整理 344 0531 从FAT32转换为NTFS 344 0532 隐藏磁盘分区 345 0533 ...
软件加密技术内幕配套光盘(iso版本)
10-19
计算PE文件代码区块CRC32的工具,可以将结果写进文件里 │ │ │ │ └─memcrc32 ;需要校验内存代码数据的程序 │ │ │ └─Detect Breakpoint ;校验内存中的片段代码的样例 │ │ └─CRC原理 ;arbin翻译的《CRC...
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
05-04
基于matlab实现实现了基于项目的协同过滤代码,MATLAB实现.rar
各地区年末城镇登记失业人员及失业率.xls
最新发布
05-05
数据来源:中国劳动统计NJ-2023版
企业固定资产信息管理系统设计与实现.doc
05-04
企业固定资产信息管理系统设计与实现.doc
node-v11.14.0-darwin-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v8.9.1-sunos-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v12.10.0-linux-armv7l.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于VB实现的学生成绩管理系统(源代码+系统+开题报告+答辩PPT).zip
05-04
【作品名称】:基于VB实现的学生成绩管理系统(源代码+系统+开题报告+答辩PPT) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
银行信贷管理系统设计与实现-(毕业设计)1.docx
05-04
银行信贷管理系统设计与实现-(毕业设计)1.docx
基于VB实现的银行代扣代发工资系统(源代码+系统+开题报告).zip
05-04
【作品名称】:基于VB实现的银行代扣代发工资系统(源代码+系统+开题报告) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
win32 获取文件大小
06-02
Win32 API 中,可以使用 GetFileSize 函数来获取文件的大小。 该函数的原型如下: ``` DWORD GetFileSize( HANDLE hFile, LPDWORD lpFileSizeHigh ); ``` 其中,参数含义如下: - hFile:文件句柄。 - lpFileSizeHigh:指向一个 DWORD 变量的指针,用于存储文件大小的高 32 位。如果文件大小小于等于 4GB,则该参数为 NULL。 如果函数执行成功,返回文件的大小,单位为字节。如果函数执行失败,返回 INVALID_FILE_SIZE。 示例代码如下: ```c++ #include <Windows.h> #include <iostream> int main() { HANDLE hFile = CreateFile( "filename.txt", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); if (hFile == INVALID_HANDLE_VALUE) { std::cerr << "Failed to open file!" << std::endl; return -1; } DWORD fileSize = GetFileSize(hFile, NULL); if (fileSize == INVALID_FILE_SIZE) { std::cerr << "Failed to get file size!" << std::endl; } else { std::cout << "File size is " << fileSize << " bytes." << std::endl; } CloseHandle(hFile); return 0; } ``` 在这个例子中,我们打开了一个名为 filename.txt 的文件,并获取了它的大小。如果获取成功,我们将输出文件的大小;否则,我们将输出错误信息。注意,最后要关闭文件句柄。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值