PE课后作业参考代码(含测试代码)

最新推荐文章于 2022-07-11 07:36:00 发布
VIP文章 最新推荐文章于 2022-07-11 07:36:00 发布
阅读量1.7k 收藏 20
点赞数 9
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/106234264
版权

2020年5月28日 00:12:46

PEToolkit.cpp

#include "headers.h"

// 读取PE文件到内存中,返回读取的字节数;读取失败返回0
DWORD ReadPEFile(LPCSTR lpszFile, LPVOID *pFileBuffer)
{
   
	FILE *pFile = NULL;
	DWORD dwFileSize = 0;
	pFile = fopen(lpszFile, "rb");
	if (pFile == NULL) 
	{
   
		printf("打开文件失败\n");
		return 0;
	}
	fseek(pFile, 0, SEEK_END);
	dwFileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);
	*pFileBuffer = malloc(dwFileSize);
	if (*pFileBuffer == NULL)
	{
   
		printf("分配内存失败\n");
		fclose(pFile);
		return 0;
	}	
	DWORD dwRead = fread(*pFileBuffer, 1, dwFileSize, pFile);
	fclose(pFile);
	if (dwRead != dwFileSize)
	{
   
		printf("文件大小 = %d\t实际写入内存字节 = %d\t写入失败\n", dwFileSize, dwRead);
		return 0;
	}
	if (!IsPEFile(*pFileBuffer, dwRead))
	{
   
		printf("不是有效的PE文件\n");
		return 0;
	}
	return dwRead;
}

// 验证是否PE文件
BOOL IsPEFile(LPVOID pFileBuffer, DWORD dwSize)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	if (*((PWORD)pDosHeader) != IMAGE_DOS_SIGNATURE)
	{
   
		printf("不是有效的MZ标志\n");
		return FALSE;
	}
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
	{
   
		printf("不是有效的PE标记\n");
		return FALSE;
	}

	return TRUE;
}

// 打印PE头信息
VOID PrintNTHeaders(LPCSTR lpszFile)
{
   
	LPVOID pFileBuffer = NULL;
	DWORD dwFileSize = ReadPEFile(lpszFile, &pFileBuffer);
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
		
	if (dwFileSize == 0)
	{
   
		printf("读取文件失败\n");
		return;
	}

	//打印DOS头
	puts("----DOS HEADER----");
	printf("e_magic = %x\n", pDosHeader->e_magic);
	printf("e_lfanew = %x\n", pDosHeader->e_lfanew);	
	//打印NT头	
	printf("----标准PE头----\n");
	printf("Machine = %x\n", pPEHeader->Machine);
	printf("NumberOfSections = %x\n", pPEHeader->NumberOfSections);
	printf("TimeDateStamp = %x\n", pPEHeader->TimeDateStamp);
	printf("PointerToSymbolTable = %x\n", pPEHeader->PointerToSymbolTable);
	printf("NumberOfSymbols = %x\n", pPEHeader->NumberOfSymbols);
	printf("SizeOfOptionalHeader = %x\n", pPEHeader->SizeOfOptionalHeader);
	printf("Characteristics = %x\n", pPEHeader->Characteristics);
	//可选PE头	
	printf("----可选PE头----\n");
	printf("Magic = %x\n", pOptionHeader->Magic);
	printf("MajorLinkerVersion = %x\n", pOptionHeader->MajorLinkerVersion);
	printf("MinorLinkerVersion = %x\n", pOptionHeader->MinorLinkerVersion);
	printf("SizeOfCode = %x\n", pOptionHeader->SizeOfCode);
	printf("SizeOfInitializedData = %x\n", pOptionHeader->SizeOfInitializedData);
	printf("SizeOfUninitializedData = %x\n", pOptionHeader->SizeOfUninitializedData);
	printf("AddressOfEntryPoint = %x\n", pOptionHeader->AddressOfEntryPoint);
	printf("BaseOfCode = %x\n", pOptionHeader->BaseOfCode);
	printf("BaseOfData = %x\n", pOptionHeader->BaseOfData);
	printf("ImageBase = %x\n", pOptionHeader->ImageBase);
	printf("SectionAlignment = %x\n", pOptionHeader->SectionAlignment);
	printf("FileAlignment = %x\n", pOptionHeader->FileAlignment);
	printf("MajorOperatingSystemVersion = %x\n", pOptionHeader->MajorOperatingSystemVersion);
	printf("MinorOperatingSystemVersion = %x\n", pOptionHeader->MinorOperatingSystemVersion);
	printf("MajorImageVersion = %x\n", pOptionHeader->MajorImageVersion);
	printf("MinorImageVersion = %x\n", pOptionHeader->MinorImageVersion);
	printf("MajorSubsystemVersion = %x\n", pOptionHeader->MajorSubsystemVersion);
	printf("MinorSubsystemVersion = %x\n", pOptionHeader->MinorSubsystemVersion);
	printf("Win32VersionValue = %x\n", pOptionHeader->Win32VersionValue);
	printf("SizeOfImage = %x\n", pOptionHeader->SizeOfImage);
	printf("SizeOfHeaders = %x\n", pOptionHeader->SizeOfHeaders);
	printf("CheckSum = %x\n", pOptionHeader->CheckSum);
	printf("Subsystem = %x\n", pOptionHeader->Subsystem);
	printf("DllCharacteristics = %x\n", pOptionHeader->DllCharacteristics);
	printf("SizeOfStackReserve = %x\n", pOptionHeader->SizeOfStackReserve);
	printf("SizeOfStackCommit = %x\n", pOptionHeader->SizeOfStackCommit);
	printf("SizeOfHeapReserve = %x\n", pOptionHeader->SizeOfHeapReserve);
	printf("SizeOfHeapCommit = %x\n", pOptionHeader->SizeOfHeapCommit);
	printf("LoaderFlags = %x\n", pOptionHeader->LoaderFlags);
	printf("NumberOfRvaAndSizes = %x\n", pOptionHeader->NumberOfRvaAndSizes);
	//打印节表	
	char sectionName[9];
	for (int i = 0; i < pPEHeader->NumberOfSections; i++)
	{
   
		memset(sectionName, 0, 9);
		memcpy(sectionName, pSectionHeader->Name, 8);
		printf("----节表: [%s]----\n", sectionName);
		printf("VirtualSize = %x\n", pSectionHeader->Misc.VirtualSize);
		printf("VirtualAddress = %x\n", pSectionHeader->VirtualAddress);
		printf("SizeOfRawData = %x\n", pSectionHeader->SizeOfRawData);
		printf("PointerToRawData = %x\n", pSectionHeader->PointerToRawData);
		printf("Characteristics = %x\n", pSectionHeader->Characteristics);
		pSectionHeader++;
	}
	//释放内存
	free(pFileBuffer);
}

// 将 FileBuffer 拉伸成 ImageBuffer 并写入到新的缓冲区
// 返回 ImageBuffer 的大小;失败返回0
DWORD CopyFileBufferToImageBuffer(LPVOID pFileBuffer, LPVOID *pImageBuffer)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	*pImageBuffer = malloc(pOptionHeader->SizeOfImage);
	if (*pImageBuffer == NULL)
	{
   
		printf("分配内存失败\n");
		return 0;
	}
	memset(*pImageBuffer, 0, pOptionHeader->SizeOfImage);
	// 复制DOS头+PE头+可选PE头+节表+文件对齐
	memcpy(*pImageBuffer, pFileBuffer, pOptionHeader->SizeOfHeaders);
	// 遍历节表,复制所有节	
	for (int i = 0; i < pPEHeader->NumberOfSections; i++)
	{
   
		memcpy((LPVOID)((DWORD)(*pImageBuffer) + pSectionHeader[i].VirtualAddress), \
			(LPVOID)((DWORD)pFileBuffer + pSectionHeader[i].PointerToRawData), \
			pSectionHeader[i].SizeOfRawData);
	}
	return pOptionHeader->SizeOfImage;
}

// 将 ImageBuffer 变成文件对齐的 FileBuffer 写入新的缓冲区
// 返回复制的大小,失败返回0
DWORD CopyImageBufferToFileBuffer(LPVOID pImageBuffer, LPVOID *pNewBuffer)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4);
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + sizeof(IMAGE_FILE_HEADER));
	PIMAGE_SECTION_HEADER pSectionHeader = \
		(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	
	// 最后一个节表
	PIMAGE_SECTION_HEADER pLastSectionHeader = pSectionHeader + pPEHeader->NumberOfSections - 1;
	// 计算要复制的字节
	// 这一步有BUG,当最后一个节后面还有数据时(多见于控制台程序),丢失数据
	DWORD dwFileBufferSize = pLastSectionHeader->PointerToRawData + pLastSectionHeader->SizeOfRawData;
	*pNewBuffer = malloc(dwFileBufferSize);	
	if (*pNewBuffer == NULL)
	{
   
		printf("分配内存失败\n");
		return 0;
	}
	memset(*pNewBuffer, 0, dwFileBufferSize);
	// 复制DOS头+PE头+可选PE头+节表+文件对齐
	memcpy(*pNewBuffer, pImageBuffer, pOptionHeader->SizeOfHeaders);
	// 遍历节表,复制文件对齐后的节	
	for (int i = 0; i < pPEHeader->NumberOfSections; i++)
	{
   
		memcpy((LPVOID)((DWORD)(*pNewBuffer) + pSectionHeader[i].PointerToRawData), \
			(LPVOID)((DWORD)pImageBuffer + pSectionHeader[i].VirtualAddress), \
			pSectionHeader[i].SizeOfRawData);
	}
	return dwFileBufferSize;
}

// 内存数据写入文件
BOOL MemoryToFile(LPVOID pMemBuffer, DWORD dwSize, LPCSTR lpszFile)
{
   
	FILE *fp = NULL;
	fp = fopen(lpszFile, "wb+");
	if (fp == NULL)
	{
   
		printf("打开文件失败\n");
		return FALSE;
	}
	DWORD dwWritten = fwrite(pMemBuffer, 1, dwSize, fp);
	if (dwWritten != dwSize)
	{
   
		printf("写入了 %d 字节,不等于 %d\n", dwWritten, dwSize);
		fclose(fp);
		return FALSE;
	}
	fclose(fp);
	return TRUE;
}

// 向代码节添加MessageBox代码
// 向代码节添加代码不需要担心内存对齐后大小发生变化
// 默认第一个节是代码节,但是这样判断不一定准确,应该遍历节表,根据属性找代码节
BOOL AddCodeToCodeSec(LPCSTR lpszFile, LPCSTR lpszOutFile)
{
   
	BYTE shellcode[] =
	{
   
		0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, // push 0 push 0 push 0 push 0
		0xE8, 0x00, 0x00, 0x00, 0x00,					// call MessageBoxA
		0xE9, 0x00, 0x00, 0x00, 0x00					// jmp OEP
	};
	DWORD dwShellCodeSize = 18;
	DWORD dwCodeRva = 0; // 插入的位置RVA
	LPVOID pFileBuffer = NULL;
	LPVOID pImageBuffer = NULL;
	LPVOID pNewBuffer = NULL;
	
	DWORD dwFileBufferSize = 0;
	DWORD dwImageBufferSize = 0;
	DWORD dwNewBufferSize = 0;
	// 读取PE到内存中
	if ((dwFileBufferSize = ReadPEFile(lpszFile, &pFileBuffer)) == 0)
	{
   
		printf("读取失败\n");
		return FALSE;
	}
// 拉伸成内存映像
dwImageBufferSize = CopyFileBufferToImageBuffer(pFileBuffer, &pImageBuffer);
if (0 == dwImageBufferSize)
{
   
	free(pFileBuffer);
	return FALSE;
}
PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
PIMAGE_FILE_HEADER pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pDosHeader + pDosHeader->e_lfanew + 4
最低0.47元/天 解锁文章
hambaga
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE网上源代码
04-26
PE是一个很久的工具源码
滴水逆向——filebuffer->imagebuffer->newbuffer->存盘
sunr.
04-07 1622
实现功能: 代码如下: #include<stdio.h> #include<stdlib.h> #include<windows.h> LPVOID ToLeaderPE(IN LPSTR lpszFile); LPVOID ReadPEFile(IN LPVOID pFileBuffer); LPVOID CopyFileBufferToImag...
小甲鱼 OllyDbg 教程系列 (二) :从一个简单的实例来了解PE文件
墨鱼菜鸡
07-11 1555
小甲鱼视频讲解:https://www.bilibili.com/video/av6889190?p=6https://www.bilibili.com/video/av6889190?p=7 从一个简单的实例来了解PE文件:https://www.freebuf.com/articles/system/86596.htmlhttps://blog.c...
PE结构-Nt头部
小喇叭儿滴滴的吹
02-11 363
首先,我们需要知道如何定位到Nt头部,这个在上篇博客中Dos头部的e_lfanew字段中,该字段可定位到Nt头部 先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件头 IMA...
PE头解析
qq_41129854的博客
03-16 592
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
PE基本操作代码
weixin_51061902的博客
01-30 492
最近在学习PE,今天最后一节课做完了,代码很丑,很粗糙,有很多需要改的地方 下面是所有代码,全部经过编译 #include <stdio.h> #include <stdlib.h> #include "string.h" #include <windows.h> #define path "D:\\xx\\xx.exe" #define path1 "D:\\xx\\xx.exe" #define path2 "D:\\xx\\xx.exe" #define CodeL
操作系统导论课后作业代码
04-28
操作系统导论课后作业代码
数据库原理与应用课后作业参考答案.doc
11-19
数据库原理与应用课后作业参考答案.doc
例题 课后作业代码
09-19
例题 课后作业代码
PE文件格式(一)
AlienEowynWan的博客
04-24 3002
简介 PE文件是Windows操作系统下使用的可执行文件格式 PE文件指的是32位的可执行文件,也称作PE32;64位的可执行文件称作PE+或PE32+(注意不是PE64),这是PE文件的一种扩展形式。 PE文件种类 可执行系列:EXE、SCR 驱动程序系列:SYS、VXD 库系列:DLL、OCX、CPL、DRV 对象文件系列:OBJ 除了OBJ之外的文件都是可执行的,有些虽然不能直接在Shell(Explorer.exe)中运行,但是可以使用调试器等来运行。不过,根据PE文件规范,OBJ也是做是PE文件
HDFS Java API实操&HDFS文件操作代码
m0_45899013的博客
08-17 211
1、创建maven quickstart项目 (1)配置maven环境 1)settings.xml 2)idea中的配置 (2)pom文件中添加依赖 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <maven.compiler.source>1.7</maven.compiler.source> <maven.comp
PE文件相关代码
无题
11-08 741
;WIN32汇编无输入表调用API .386 .model flat,stdcall option casemap:none ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ; Include 文件定义 ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4.PE文件之扩展PE头(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5399
可选/扩展PE头IMAGE_OPTIONAL_HEADER,它有着比标准PE头(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
手动解析PE文件(打印PE文件信息的C练习代码
lygl35的博客
06-17 967
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
Python学习(五)类,文件,异常,代码测试
越今朝的博客
05-22 307
文章目录Python学习(五)类(用法和Java基本相同)创建类根据类来创建实例给属性指定默认值修改属性的值直接通过实例修改属性的值通过方法修改属性的值通过方法对属性的值进行递增继承给子类定义属性和方法重写父类方法将实例用作属性导入类导入单个类在一个模块中导入多个类导入整个模块Python标准库类编码风格文件和异常从文件中读取数据读取整个文件修改文件路径逐行读取创建一个包文件各行内容的列表写入文件写入空文件写入多行附加到文件异常`ZeroDivisionError`异常else代码块`FileNotFou
java操作HDFS (API) 常用操作亲测代码
啊哈程序
05-03 572
package com.yxc.hdfs; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.*; import org.apache.hadoop.io.IOUtils; import org.junit.After; import org.junit.Before; import org.juni...
打造自己的MyGetProcAddress和MyLoadLibrary
qq_31553911的博客
10-13 315
刚看到一篇打造自己的MyGetProcAddress没有看见~MyLoadLibrary 这次索性都贴出来好了~ MyGetProcAddress是利用函数名称的Crc32数值搜索出来的 既然MyGetProcAddress好打造了那MyLoadLibrary也很好作大了~ 利用用PEB获取地址kernel32.dll基址然后再用GetProcAddress搜出函数指针 代码: UNIT AP...
逆向工程核心原理之UPack PE文件头
wangtiankuo的博客
07-02 761
0x0 两个文件对比正常的notepad.exe使用Upack压缩后的notepad.exe,可以看到无法正常读取PE文件头。  0x1  重叠文件头IMAGE_NT_HEADER的起始位置是可变的 0x2  修改SizeOfOptionalHeader的值SizeOfOptionalHeader的值被修改成了0x0148(原来定义的是32位是E0,64位是F0)。IMAGE_OPTION_HEA...
非参数统计王星课后习题r代码
最新发布
11-17
王星老师的课后习题r代码主要包括Data的输入、描述统计、非参数检验等内容。 首先,Data的输入通过读取数据文件或直接赋值给变量,例如: ```R data (25, 30, 22, 28, 20, 35, 24, 29, 27, 31) ``` 其次,描述统计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值