PE工具函数(新)

最新推荐文章于 2024-04-15 17:21:44 发布
最新推荐文章于 2024-04-15 17:21:44 发布
阅读量813 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/107335488
版权
这篇博客介绍了关于PE文件的一些常见操作,包括在32位多字节字符集环境下的编译细节。
摘要由CSDN通过智能技术生成

说明

一些常见的PE操作。。

2021年3月7日

#ifndef _CRT_SECURE_NO_WARNINGS
#define _CRT_SECURE_NO_WARNINGS
#endif // !_CRT_SECURE_NO_WARNINGS


#include "PE.h"
#include <stdio.h>
#include <WINDOWS.H>
#include <STRING.h>
#include <MALLOC.H>
#include "DebugTool.h"
#include "Win32API.h"






// 读取文件到内存中,返回读取的字节数;读取失败返回0
DWORD FileToMemory(LPCSTR lpszFile, LPVOID *pFileBuffer)
{
   
	// 打开文件,权限是读共享
	HANDLE hFile = pCreateFileA(lpszFile, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (INVALID_HANDLE_VALUE == hFile)
	{
   
		PrintDebugInfo("打开文件失败\n");
		return 0;
	}

	// 判断文件大小
	LARGE_INTEGER nFileSize = {
    0 };
	pGetFileSizeEx(hFile, &nFileSize);
	if (nFileSize.QuadPart >= 0xFFFFFFFFull)
	{
   
		PrintDebugInfo("源文件过大,无法处理(%lld)\n", nFileSize.QuadPart);
		pCloseHandle(hFile);
		return 0;
	}
	pSetFilePointer(hFile, 0, NULL, FILE_BEGIN);
	//PrintDebugInfo("文件大小:%d 字节\n", nFileSize.LowPart);

	LPVOID pFile = pVirtualAlloc(NULL, nFileSize.LowPart, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (pFile == NULL)
	{
   
		PrintDebugInfo("申请内存失败\n");
		pCloseHandle(hFile);
		return 0;
	}

	memset(pFile, 0, nFileSize.LowPart);

	// 读文件
	DWORD dwRead = 0;
	BOOL bRet = FALSE;
	bRet = pReadFile(hFile, pFile, nFileSize.LowPart, &dwRead, NULL);
	if (bRet == FALSE)
	{
   
		PrintDebugInfo("读取文件错误:%d\n", GetLastError());
		pVirtualFree(pFile, 0, MEM_RELEASE);
		pCloseHandle(hFile);
		return 0;
	}

	if (dwRead != nFileSize.LowPart)
	{
   
		PrintDebugInfo("期望读取:%d,实际读取:%d\n", nFileSize.LowPart, dwRead);
		pVirtualFree(pFile, 0, MEM_RELEASE);
		pCloseHandle(hFile);
		return 0;
	}

	pCloseHandle(hFile);
	*pFileBuffer = pFile;
	return nFileSize.LowPart;
}

// 验证是否是合法的32位PE文件
BOOL Is32PEFile(LPVOID pFileBuffer, DWORD dwSize)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
	{
   
		PrintDebugInfo("不是有效的MZ标志 %x != %x", pDosHeader->e_magic, IMAGE_DOS_SIGNATURE);
		return FALSE;
	}
	if (pNtHeader->Signature != IMAGE_NT_SIGNATURE)
	{
   
		PrintDebugInfo("不是有效的PE标记");
		return FALSE;
	}
	if (pNtHeader->FileHeader.Machine != IMAGE_FILE_MACHINE_I386)
	{
   
		PrintDebugInfo("不是32位PE程序");
		return FALSE;
	}
	return TRUE;
}

// 将 FileBuffer 拉伸成 ImageBuffer 并写入到新的缓冲区
// 返回 ImageBuffer 的大小;失败返回0
DWORD FileBufferToImageBuffer(LPVOID pFileBuffer, LPVOID *pImageBuffer, DWORD flProtect)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)(
		(DWORD)pNtHeader +
		sizeof(pNtHeader->Signature) +
		sizeof(pNtHeader->FileHeader) +
		pNtHeader->FileHeader.SizeOfOptionalHeader);

	*pImageBuffer = pVirtualAlloc(NULL, pNtHeader->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, flProtect);
	if (*pImageBuffer == NULL)
	{
   
		PrintDebugInfo("分配内存失败\n");
		return 0;
	}
	memset(*pImageBuffer, 0, pNtHeader->OptionalHeader.SizeOfImage);

	// 复制所有头(DOS头,PE头,可选PE头)和节表
	memcpy(*pImageBuffer, pFileBuffer, pNtHeader->OptionalHeader.SizeOfHeaders);

	// 遍历节表,复制所有节	
	for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++)
	{
   
		memcpy((PBYTE)(*pImageBuffer) + pSectionHeader[i].VirtualAddress,
			(PBYTE)pFileBuffer + pSectionHeader[i].PointerToRawData,
			pSectionHeader[i].SizeOfRawData);
	}
	return pNtHeader->OptionalHeader.SizeOfImage;
}

// 将 ImageBuffer 变成文件对齐的 FileBuffer 写入新的缓冲区
// 返回复制的大小,失败返回0
DWORD ImageBufferToFileBuffer(LPVOID pImageBuffer, LPVOID *pFileBuffer)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pImageBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)(
		(DWORD)pNtHeader +
		sizeof(pNtHeader->Signature) +
		sizeof(pNtHeader->FileHeader) +
		pNtHeader->FileHeader.SizeOfOptionalHeader);

	// 最后一个节表
	PIMAGE_SECTION_HEADER pLastSectionHeader = pSectionHeader + pNtHeader->FileHeader.NumberOfSections - 1;

	// 计算要复制的字节
	// 这一步有BUG,当最后一个节后面还有数据时,这些数据会丢失
	DWORD dwFileBufferSize = pLastSectionHeader->PointerToRawData + pLastSectionHeader->SizeOfRawData;

	*pFileBuffer = pVirtualAlloc(NULL, dwFileBufferSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	if (*pFileBuffer == NULL)
	{
   
		PrintDebugInfo("分配内存失败\n");
		return 0;
	}
	memset(*pFileBuffer, 0, dwFileBufferSize);

	// 复制所有头(DOS头,PE头,可选PE头)和节表
	memcpy(*pFileBuffer, pImageBuffer, pNtHeader->OptionalHeader.SizeOfHeaders);

	// 遍历节表,复制所有节	
	for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++)
	{
   
		memcpy((PBYTE)(*pFileBuffer) + pSectionHeader[i].PointerToRawData,
			(PBYTE)pImageBuffer + pSectionHeader[i].VirtualAddress,
			pSectionHeader[i].SizeOfRawData);
	}

	return dwFileBufferSize;
}

// 内存数据写入文件
BOOL MemoryToFile(LPVOID pMemBuffer, DWORD dwSize, LPCSTR lpszFile)
{
   
	// 打开文件,权限是独占写
	HANDLE hFile = pCreateFileA(lpszFile, GENERIC_READ | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
	if (INVALID_HANDLE_VALUE == hFile)
	{
   
		PrintDebugInfo("打开文件失败\n");
		return FALSE;
	}
	BOOL bRet = FALSE;
	DWORD dwWritten = 0;
	bRet = pWriteFile(hFile, pMemBuffer, dwSize, &dwWritten, NULL);
	if (!bRet)
	{
   
		PrintDebugInfo("写文件错误:%d\n", GetLastError());
		pCloseHandle(hFile);
		return FALSE;
	}
	pCloseHandle(hFile);
	return TRUE;
}

// 计算对齐的函数,如偏移为900,对齐为1000h,返回1000h
DWORD Align(DWORD dwOffset, DWORD dwAlign)
{
   
	// 如果偏移小于对齐,向上取整
	if (dwOffset <= dwAlign) return dwAlign;
	// 如果偏移大于对齐且不能除尽,向上取整
	if (dwOffset % dwAlign)
	{
   
		return (dwOffset / dwAlign + 1) * dwAlign;
	}
	// 如果能除尽,直接返回offset
	return dwOffset;
}

// RVA 转 FOA
DWORD RvaToFoa(LPVOID pFileBuffer, DWORD dwRva)
{
   
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)(
		(DWORD)pNtHeader +
		sizeof(pNtHeader->Signature) +
		sizeof(pNtHeader->FileHeader) +
		pNtHeader->FileHeader.SizeOfOptionalHeader);

	if (dwRva < pNtHeader->OptionalHeader.SizeOfHeaders)
	{
   
		return dwRva;
	}

	// 遍历节表,确定偏移属于哪一个节	
	for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++)
	{
   
		if (dwRva >= pSectionHeader[i].VirtualAddress && \
			dwRva < pSectionHeader[i].VirtualAddress + pSectionHeader[i].Misc.VirtualSize)
		{
最低0.47元/天 解锁文章
hambaga
关注
一些PE文件操作的函数集合DLL库
无题
11-15 1052
把前面一些程序中用到的PE相关函数集合在一个DLL中方便使用 #ifndef PE32_K_H #define PE32_K_H #ifdef __cplusplus #define EXPORT extern "C" __declspec (dllexport) #else #define EXPORT __declspec (dllexport) #endif //指定
matlab pe函数,Matlab怎么定义函数
weixin_30183847的博客
03-19 417
1、首先建立M文件或直接点击(File/New/Function)建立函数文件,其中函数文件的格式是:function [输出变量]= 函数名称(输入变量)% 注释% 函数体2、如下所示,是编写的一个求1到n之和的求和函数eg_sum,按照上述格式,编写代码如下并保存文件,注意文件命名时不能以数字开头:function [s]= eg_sum( n )% calculate the sum of ...
PE——栈(c语言函数调用过程)
CSDN-ych
03-22 413
栈: 在32位系统中一个进程可以分到4gb的虚拟内存空间 但是这4gb不是真实存在的 而是可用空间大小 但是这些内存空间物理上也不一定是连续的 而是一种逻辑上的连续 如上图:我们可以看到一个程序的基本结构,代码区存放硬编码,数据区存放需要的数据,BSS存放全局变量,堆存放自主分配的内存,缓冲区为了防止堆栈的覆盖,栈区存放的就是函数调用留下的信息。 对于函数的调用:父函数调用子函数,当子函数完成后,cpu将返回到父函数的下一行继续执行,这和栈的先入后出的结构是非常相似的,所以在c语言中使用了栈的结构来辅助函
改造PE中的函数为导出函数
SmileMoon's Home
10-19 386
1、前言:为什么要这么做     很多时候,我们发现一个PE(EXE或DLL)中非常有用且功能独立的函数(call xxxxxxxx),并且已经知道了这个函数的各个入口参数的类型和具体含义,我们想在其他的软件中使用这个函数。于是,我想到了将这个PE中的函数改成一个导出函数,这样,我们就可以在任何软件中通过“LoadLibrary("ThisPE.EXE")”等API来使用这个函数了。 2、技术基础...
PE文件添加函数教程
最新发布
m0_62574258的博客
04-15 1080
修改HelloPE.exe,添加user32.dll的另一个函数MessageBoxExA,并测试。如何构造HelloPE.exe可以看我上次发的博客主要思路:添加一个user32.dll的MessageBoxExA函数,运行程序后会先后弹出两个窗口,首先需要明白需要修改哪些部分1、.text需要修改,因为要添加函数,就要加添加push和参数2、.rdata段需要重修改导入表和导入函数地址,是最难的部分3、.data段需要为加的弹出窗口设置标题和内容。
PE_排列熵_适应度函数_pe熵_
09-30
在IT领域,尤其是在数据分析、机器学习以及算法优化中,"PE_排列熵_适应度函数_pe熵_"这一主题涉及到一些核心概念和技术。排列熵(Permutation Entropy, PE)是一种衡量序列复杂性和有序程度的统计量,常用于信号...
二进制文件/PE文件对比工具非常好用
07-28
3. **导出和导入函数**:对于DLL,工具会比较其导出和导入的函数,看看是否有增删或修改。 4. **资源和字符串对比**:检查资源(如图标、字符串表)是否相同,这可以帮助发现界面或消息的改动。 5. **数字签名和...
pe工具X64-易语言
06-11
PE工具X64-易语言:探索64位Windows程序结构与编程实践》 在IT行业中,了解并掌握PE(Portable Executable)文件格式对于Windows平台的软件开发者至关重要。PE格式是Microsoft Windows操作系统用于执行文件的标准...
经典的pe工具
01-27
标题中的“经典的pe工具”指的是一个专门用于查看和分析PE(Portable Executable)格式文件的软件工具。在Windows操作系统中,几乎所有的可执行文件都采用PE格式,包括.exe和.dll等。这类工具对于程序员、逆向工程师...
PE格式解析-区段表及导入表结构详解
走在成长的路上
12-21 1万+
PE格式区段表与导入表的结构详解
Windows PE文件导入函数查看器(C++/C)
ez scope
09-07 1553
本文记录了此工具的实现原理和源代码
解决_CRT_SECURE_NO_WARNINGS 警告
热门推荐
IeSneaker的专栏
04-16 11万+
<br />问题:我们在程序中使用fopen等CRT函数,就会出现一些警告信息,很烦人,如下:<br /> <br />1>e:/project/htt/ishow/functions.cpp(156) : warning C4996: 'fopen': This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. Se
VS中设置#define _CRT_SECURE_NO_WARNINGS的两种方式
weixin_30920853的博客
12-13 3045
1.我们在编译老的用C语言的开源项目如lua源包的时候,可能因为一些老的.c文件使用了strcpy,scanf等不安全的函数,而报警告和错误,而导致无法编译通过。 2.此时我们有两种解决方案: a.在指定的源文件的开头定义:#define _CRT_SECURE_NO_WARNINGS (只会在该文件里起作用) b.在项目属性里设置,这会在整个项目里生效,依次选择:属性->配置属性-...
顺序表的基本算法
编程鸟
08-22 3024
#define _CRT_SECURE_NO_WARNINGS 1 #ifndef __SEQLIST_H__ #define __SEQLIST_H__ #include<stdio.h> #include<stdlib.h> #include<assert.h> #include<string.h> #define MAX 100 typedef int DataType
10820
CSND12333的博客
06-01 224
就是欧拉函数的应用,求2-n的每个数的欧拉函数的2倍+1,用了三种方法,前两种是一个一个求,第一种卡着时间过的,第二种预处理之后就很快了, 第三种用的求连续的1-n内的每个数的欧拉函数的模版求的,非常快 //============================================================================ // Name...
Windows PE文件各个节(Section)分析
fw72fw72的博客
03-30 3789
PE(Portable Executable),即可移植的执行体。PE文件通常包括以下节(Section).textbss/BSS,text/CODE,.rdata,.data,.idata,.edata,.rsrc,.reloc
PE Explorer工具介绍:深入了解PE文件操作
资源摘要信息:"PE工具 PE Explorer" PE工具PE Explorer是一种用于处理PE文件的软件工具PE文件(Portable Executable,可移植执行文件)是Windows操作系统中用于32位和64位可执行文件、动态链接库(DLLs)和驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值