pe(32位)导入表解析代码

最新推荐文章于 2024-05-09 15:18:38 发布
最新推荐文章于 2024-05-09 15:18:38 发布
阅读量127 收藏
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JTB_xia/article/details/117855437
版权 
#include <iostream>
#include <Windows.h>
#include <fstream>
#include "ku.h"

using namespace std;

int main(int argc, char** argv)
{
    char pepath[MAX_PATH]={0};

    cout<<"输入要解析的pe文件:<<endl;
    cin>>pepath;
    UINT l;

    cout.setf(ios::hex, ios_base::showbase);
    fstream file;
    
    file.open(pepath, ios::in | ios::binary);//打开pe文件
    if (!file)
    {
        return 3;
    }
    file.clear();
    file.seekg(0);
    IMAGE_DOS_HEADER dos = { 0 };
    file.read((char*)(void*)&dos, sizeof(IMAGE_DOS_HEADER));
    //cout <<"0x" << hex << dos.e_lfanew << '\n';//定位pe头

    if (dos.e_magic != 0x5A4D)
    {
        file.close();
        return 4;
    }
    file.clear();
    file.seekg(dos.e_lfanew);
    file.read((char*)(void*)&l, sizeof(l));
    if (l != 0x4550)
    {
        return 5;
    }

    file.clear();
    l = dos.e_lfanew + (LONG)sizeof(LONG);
    file.seekg(l);
  
    IMAGE_FILE_HEADER ntfile32 = { 0 };

    file.read((char*)(void*) & ntfile32, sizeof(IMAGE_FILE_HEADER));//读nt file头 
    void* vpntop = new BYTE[ntfile32.SizeOfOptionalHeader];

    file.read((char*)vpntop, ntfile32.SizeOfOptionalHeader);//读可选头

    cout << "0x" << hex << ntfile32.SizeOfOptionalHeader << '\n'; sizeof(WORD);

    PIMAGE_OPTIONAL_HEADER32 pntop = (PIMAGE_OPTIONAL_HEADER32)vpntop;
    if (pntop->Magic != IMAGE_NT_OPTIONAL_HDR32_MAGIC)
    {
        return 6;
    }
    cout << "0x" << hex<<pntop->ImageBase << endl;//输出基地址

    cout << "0x" << hex << pntop->DataDirectory[0].VirtualAddress << endl;
    cout << "0x" << hex << pntop->DataDirectory[0].Size << endl;

    file.clear();
    l = dos.e_lfanew + sizeof(LONG) + sizeof(IMAGE_FILE_HEADER) + ntfile32.SizeOfOptionalHeader;//定位到第一个节区
    file.seekg(l);

    PIMAGE_SECTION_HEADER psech = new IMAGE_SECTION_HEADER[ntfile32.NumberOfSections+1];

    l = sizeof(IMAGE_SECTION_HEADER) * ntfile32.NumberOfSections;
    file.read((char*)(void*)psech, l);

    for (int i = 0; i < ntfile32.NumberOfSections; i++)
    {
        cout << psech[i].Name << endl;//输出节区名字
    }

    importanalysis(&file, &ntfile32, pntop, psech);

    delete[] psech;
    psech = nullptr;

    delete[] vpntop;
    vpntop = nullptr;
    pntop = nullptr;

    file.close();

    system("pause");
    return 0;
}

 

#include"ku.h"
#include<iostream>

DWORD RvaToFov(ULONG rva,PIMAGE_FILE_HEADER pntfile32,PIMAGE_OPTIONAL_HEADER32 pntop ,PIMAGE_SECTION_HEADER psech)
{
	WORD secnum=pntfile32->NumberOfSections;

	int i = 0;
	for (; i < secnum; i++)
	{
		if (i == secnum - 1)
		{
			break;
		}
		if(rva>=psech[i].VirtualAddress&&rva<psech[i+1].VirtualAddress)
		{
			break;
		}
	}
	return rva - psech[i].VirtualAddress + psech[i].PointerToRawData;
}

void importanalysis(fstream* hfile, PIMAGE_FILE_HEADER pntfile32, PIMAGE_OPTIONAL_HEADER32 pntop, PIMAGE_SECTION_HEADER psech)
{
    using std::iostream;
    using std::cout;
    using std::endl;
    using std::hex;

    ULONG l = 0;
    //导入表解析
    cout << "0x" << hex << pntop->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress << endl;

    DWORD imfov = RvaToFov(pntop->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress, pntfile32, pntop, psech);
    cout << "imfov:" << "0x" << hex << imfov << endl;

    hfile->clear();
    hfile->seekg(imfov);//定位到第一个导入表
    IMAGE_IMPORT_DESCRIPTOR imdata = { 0 };

    WORD imnum = 0;
    while (true)//统计导入表个数
    {
        hfile->read((char*)(void*)&imdata, sizeof(IMAGE_IMPORT_DESCRIPTOR));
        if (imdata.Characteristics == 0 &&
            imdata.ForwarderChain == 0 &&
            imdata.Name == 0 &&
            imdata.FirstThunk == 0 &&
            imdata.TimeDateStamp == 0)//判断导入表是否结束
        {
            break;
        }
        imnum++;
    }

    PIMAGE_IMPORT_DESCRIPTOR pim = nullptr;//将导入表读入内存
    pim = new IMAGE_IMPORT_DESCRIPTOR[imnum + 1];
    hfile->clear();
    hfile->seekg(imfov);
    for (int i = 0; i < imnum; i++)
    {
        hfile->read((char*)(void*)&pim[i], sizeof(IMAGE_IMPORT_DESCRIPTOR));
    }
    for (int i = 0; i < imnum; i++)
    {
        char dllname[MAX_PATH] = { 0 };//输出dll名称
        DWORD fovdllname = 0;
        fovdllname = RvaToFov(pim[i].Name, pntfile32, pntop, psech);

        hfile->clear();
        hfile->seekg(fovdllname);

        for (int i = 0; i < MAX_PATH; i++)
        {
            hfile->read(&dllname[i], sizeof(char));
            if (dllname[i] == 0)
            {
                break;
            }
        }
        cout << "dllname:" << dllname << endl;

        if (pim[i].OriginalFirstThunk == 0)
        {
            cout << "FirstThunk:" << "0x" << hex << pim[i].FirstThunk << endl;
        }
        else
        {
            //cout << "Characteristics:" << "0x" << hex << pim[i].Characteristics << endl;
            DWORD fovthfirst = RvaToFov(pim[i].Characteristics, pntfile32, pntop, psech);//定位到第一个导入函数表

            DWORD signthunk = 0;
            WORD thnum = 0;
            PIMAGE_THUNK_DATA32 pthunk = nullptr;
            IMAGE_THUNK_DATA32 thunk = { 0 };

            hfile->clear();
            hfile->seekg(fovthfirst);

            for (;; thnum++)//遍历导入函数表
            {
                hfile->read((char*)(void*)&thunk, sizeof(IMAGE_THUNK_DATA32));
                if (thunk.u1.AddressOfData == 0)
                {
                    break;
                }
            }
            pthunk = new IMAGE_THUNK_DATA32[thnum + 1];

            hfile->clear();
            hfile->seekg(fovthfirst);

            for (int i = 0; i < thnum; i++)//将导入函数表写入内存
            {
                hfile->read((char*)(void*)&pthunk[i], sizeof(IMAGE_THUNK_DATA32));
            }

            DWORD thunksign = 0;
            DWORD funfov = 0;
            IMAGE_IMPORT_BY_NAME funbyname = { 0 };
            for (int i = 0; i < thnum; i++)//输出dll的导入函数名称
            {
                thunksign = 0;
                thunksign = pthunk[i].u1.AddressOfData >> 31;//判断是否以字符串为导入方式
                if (!thunksign)
                {
                    funfov = RvaToFov(pthunk[i].u1.AddressOfData, pntfile32, pntop, psech);
                    hfile->clear();
                    hfile->read((char*)(void*)&funbyname, sizeof(IMAGE_IMPORT_BY_NAME));//读函数名表

                    hfile->clear();
                    l = funfov + sizeof(funbyname.Hint);//定位到函数名
                    hfile->seekg(l);
                    char funname[MAX_PATH] = { 0 };
                    for (int i = 0; i < MAX_PATH; i++)//统计函数名大小
                    {
                        hfile->read(&funname[i], sizeof(char));
                        if (funname[i] == 0)
                        {
                            break;
                        }
                    }
                    cout << funname << endl;
                }
                else
                {
                    DWORD funimno = 0;
                    funimno = (pthunk[i].u1.Ordinal << 1) >> 1;
                    cout << "0x" << hex << funimno << endl;
                }
            }
            delete[] pthunk;
            pthunk = nullptr;
        }
        cout << endl;
    }

    delete[] pim;
    pim = nullptr;
}

 

#pragma once
#include<Windows.h>
#include<fstream>

using std::fstream;
using std::ios;

DWORD RvaToFov(ULONG rva, PIMAGE_FILE_HEADER pntfile32, PIMAGE_OPTIONAL_HEADER32 pntop, PIMAGE_SECTION_HEADER psech);

void importanalysis(fstream* hfile, PIMAGE_FILE_HEADER pntfile32, PIMAGE_OPTIONAL_HEADER32 pntop, PIMAGE_SECTION_HEADER psech);

 

dydyfyf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手动解析PE文件(含打印PE文件信息的C练习代码
lygl35的博客
06-17 1000
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
PE文件导入解析C++
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入。 总结来说,解析PE文件的导入是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
解析PE文件代码
qq_43445167的博客
07-03 630
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 头文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
PE文件结构—导入解析
最新发布
weixin_48257887的博客
05-09 211
代码PE文件结构—导入解析
PE解析导出--代码
跃然实验室
06-10 469
//导出信息 typedef struct _EXPORT_INFO { char cDllName[256]; //用于保存DLL库名 pFuncInfo pFunctionInfo; //指向FUNC_INFO结构体数组,用于保存若干个函数信息 long lFuncNum...
解析PE头(上课代码
weixin_30443731的博客
03-28 203
// 02 解析PE头.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" bool IsPeFile(TCHAR* szPath) { BOOL bSuccess = TRUE; //1 将PE文件读取到内存 HANDLE hFile = CreateFile( ...
基于C++实现32位PE解析工具
06-06
本项目以C++编程语言为基础,旨在实现一个32位PE文件的解析工具,帮助开发者和安全研究人员深入理解PE文件的内部结构。 首先,我们需要了解PE文件的基本结构。PE文件由多个部分组成,包括DOS头、PE头、节、数据...
VC 解析PE导出 导入
01-16
本篇文章将详细解析VC(Visual C++)如何处理PE文件的导出导入。 **导出**是PE文件中一个关键的组成部分,它包含了该文件对外提供的函数或资源的清单。当其他程序需要调用某个DLL中的函数时,会通过导出...
64位系统环境下解析32位和64位PE文件
04-12
《64位系统环境下解析32位和64位PE文件》 在现代计算机系统中,64位操作系统已经成为主流,它可以支持更大的内存空间和更高效的处理能力。然而,我们仍然会遇到大量的32位应用程序,这些程序在64位系统下运行时,其...
修复PE 文件导入
09-02
它包含了代码、数据、资源等信息,而导入则是PE文件的重要组成部分,用于指示程序在运行时如何调用其他动态链接库(DLL)中的函数。 导入记录了程序所需的外部函数和它们所在的库。每个函数都有一个导入地址...
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
三个PE解析代码学习
04-29
标题 "三个PE解析代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
易语言导入导出PE源码
06-03
通常,这样的代码会包括读取PE文件结构、解析项、写入新数据以及保存修改后的文件等内容。 学习易语言导入导出PE的源码,有助于深入理解Windows程序的工作原理,提升逆向工程和程序调试技能。同时,这对于开发...
PE文件解析器的原理(C语言代码
01-16
在本话题中,我们将探讨如何使用C语言来编写一个PE文件解析器,仅依赖于几个Win32 API函数,并且着重构建解析器的基本框架。 首先,了解PE文件结构至关重要。PE文件的头部由DOS头和NT头组成。DOS头是一个小型的DOS...
易语言导入导出PE源码.rar
07-04
1. **PE文件结构**:源码会详细解析PE文件的各个部分,包括DOS头、NT头、节区导入、导出等。通过阅读源码,我们可以深入了解这些结构的布局和含义。 2. **文件读写操作**:易语言提供了丰富的文件操作接口...
PE文件导出解析代码实现
做一个快乐学习者
05-01 511
PE文件导出结构 typedef struct _IMAGE_EXPORT_DIRECTORY { //保留。恒为0x00000000 DWORD Characteristics; //导出的创建时间(GMT) DWORD TimeDateStamp; //导出的主版本号 WORD MajorVersion; //导出的子版本号 WORD Mi...
WinPE基础知识之代码解析
weixin_30604651的博客
05-13 153
void CMyPE::OnClickedButton1() { // TODO: 在此添加控件通知处理程序代码 // 打开一个文件夹选择对话框 CFileDialog dlg(TRUE); dlg.DoModal(); // 将文件路径显示到编辑框 CString path = dlg.GetFolderPath(); CString path1...
手工解析PE(文件注入)
GNAIXGNAHZ的博客
06-05 1042
手工解析PE(文件注入)
Win32平台下的PE文件格式深度解析
7. **区段**(Section Table):PE文件被划分为多个区段,每个区段包含了代码或数据,如.text(代码)、.data(已初始化数据)、.bss(未初始化数据)、.rdata(只读数据)、.idata(导入数据)等。 8. **导出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值