静态PE文件导入表、导出表分析程序

最新推荐文章于 2022-04-06 02:51:21 发布
最新推荐文章于 2022-04-06 02:51:21 发布
阅读量1.3k 收藏
点赞数
分类专栏: 反汇编识别 文章标签: image header descriptor import dos delete
其实这个程序是在刚开始接触PE文件时写的了,当时只是想加深对PE文件的认识。也在去年放到这里来了,后来在整理页面时,被删了。今天把它再渡搬上来,只是想把它跟后面的几个文章形成一个系列。

    以下代码是以控制台程序方式写的,主要是取出PE文件中的各节的基本信息、导入表信息和导出表信息,对于资源和重定位信息不具有提取能力。

    注:这里说的静态PE文件是指通过内存映射这类形式加载到内存中的磁盘文件。

   测试程序:

  CFile cfile;
  if(!cfile.Open("d://DATAVIEW.DLL", CFile::modeRead))
  {
   printf("open the file error!/n");
  }
  
  long lFileLen = cfile.GetLength();
  unsigned char * pBuff = new unsigned char[lFileLen];
  
  if(lFileLen != cfile.Read(pBuff, lFileLen))
  {
   printf("Read file error!/n");
  }
  
  cfile.Close();
  
  PEClass pe(pBuff, lFileLen);
  
  if(!pe.IsPEFile())
  {
   printf("The file is not a PE file!/n");
  }
  else
  {
   pe.ParseBaseData();
   pe.ShowPESectionInfo();
   pe.ShowPEImportInfo();
   pe.ShowPEExportInfo();
  }
  
  delete []pBuff;

 

 

PE文件分析类程序:

class PEClass
{
public:
 PEClass(unsigned char * ucpBuff, long lFileLen)
 {
  m_ucpFileBuffer = new unsigned char[lFileLen];
  memcpy(m_ucpFileBuffer, ucpBuff, lFileLen);
  m_lFileLen = lFileLen;
 }
 
 
 virtual ~PEClass()
 {
  if(m_ucpFileBuffer != NULL)
  {
   delete []m_ucpFileBuffer;
   m_ucpFileBuffer = NULL;
  }
 }
 
 //PE文件检测
 bool IsPEFile()
 {
  //检测MZ标志
  if(((IMAGE_DOS_HEADER*)m_ucpFileBuffer)->e_magic != IMAGE_DOS_SIGNATURE)
  {
   return false;
  }
  //检测PE标志
  IMAGE_NT_HEADERS * pPEHeader = (IMAGE_NT_HEADERS *)((char *)m_ucpFileBuffer /
   + ((IMAGE_DOS_HEADER*)m_ucpFileBuffer)->e_lfanew);
  if(pPEHeader->Signature != IMAGE_NT_SIGNATURE)
  {
   return false;
  }
  return true;
 }
 
 //解析PE文件中的主要数据
 void ParseBaseData()
 {
  //获得PE文件头位置
  m_pPEHeader = (IMAGE_NT_HEADERS *)(m_ucpFileBuffer + ((IMAGE_DOS_HEADER*)m_ucpFileBuffer)->e_lfanew);
  
  //获得PE文件中含有节的数量
  m_nSectionNo = m_pPEHeader->FileHeader.NumberOfSections;
  
  //获得PE文件的PE头长度
  m_nSizeOfPEHeader = sizeof IMAGE_NT_HEADERS;
  
  //获得PE文件的节表位置
  m_pPESection = (IMAGE_SECTION_HEADER *)((char *)m_pPEHeader + m_nSizeOfPEHeader);
 }
 
 
 //显示PE文件中节的基本信息
 void ShowPESectionInfo();
 
 //显示导入表的信息
 void ShowPEImportInfo();
 
 //显示导出表的信息
 void ShowPEExportInfo();
 
 
private:
 //将RVA转换成文件偏移
 long GetOffsetOfRVA(long lRVA);
 
 //获得RVA所在节的名称地址
 void * GetSectionNameOfRVA(long lRVA);
 
private:
 //PE文件在内存中的位置和大小
 unsigned char * m_ucpFileBuffer;
 long m_lFileLen;
 
 //PE文件头的位置
 IMAGE_NT_HEADERS * m_pPEHeader;
 
 //PE文件头的大小
 int m_nSizeOfPEHeader;
 
 //节的数量
 int m_nSectionNo;
 
 //节的开始地址
 IMAGE_SECTION_HEADER * m_pPESection;
};

   //将RVA转换成文件偏移
long PEClass::GetOffsetOfRVA(long lRVA)
{
 IMAGE_SECTION_HEADER * pPESection = m_pPESection;

 //扫描每个节表
 for(int i = 0; i < m_nSectionNo; i++, pPESection++)
 {
  //计算该节的RVA
  long lSectionPos = pPESection->VirtualAddress;
  //判断是否在该节里面
  if(lRVA >= lSectionPos && lRVA < lSectionPos + pPESection->SizeOfRawData)
  {
   //在该节里面, 计算其对文件的偏移
   return pPESection->PointerToRawData + (lRVA - lSectionPos);
  }
 }

 //在节中不存在该RVA
 return -1;
}


//获得RVA所在节的名称地址
void * PEClass::GetSectionNameOfRVA(long lRVA)
{
 IMAGE_SECTION_HEADER * pPESection = m_pPESection
  ;
 for(int i = 0; i < m_nSectionNo; i++, pPESection++)
 {
  //计算该节的RVA
  long lSectionPos = pPESection->VirtualAddress;
  //判断是否在该节里面
  if(lRVA >= lSectionPos && lRVA < lSectionPos + pPESection->SizeOfRawData)
  {
   //在该节里面
   return (void *)pPESection;
  }
 }

 //在节中不存在该RVA
 return NULL;
}

 

void PEClass::ShowPESectionInfo()
{
 IMAGE_SECTION_HEADER * pPESection = m_pPESection;

 printf("-----------------------------------------------------------------------------/n");
 printf("节的名称  加载后节的地址  加载后节的大小  节在文件中的地址  节在文件中的大小/n");
 printf("-----------------------------------------------------------------------------/n");

 //扫描每个节
 char *cpSectionName = new char[9];
 for(int i = 0; i < m_nSectionNo; i++, pPESection++)
 {
  memset(cpSectionName, 0, 9);

  //得到节的名称
  char *p = (char *)pPESection->Name;
  for(int i = 0; i < 8; i++, p++)
  {
   if(*p == '/0')
   {
    cpSectionName[i] = ' ';
   }
   else
   {
    cpSectionName[i] = *p;
   }
  }

  printf("%-10s%-16X%-16X%-18X%-X/n", cpSectionName, pPESection->VirtualAddress, /
   pPESection->Misc.VirtualSize, pPESection->PointerToRawData, /
   pPESection->SizeOfRawData);
 }
 delete []cpSectionName;
 printf("/n/n");
}


void PEClass::ShowPEImportInfo()
{
 //获得导入表的RVA
 long lImportRVA = m_pPEHeader->OptionalHeader.DataDirectory[8].VirtualAddress;

 //判断该PE文件中是否含有导入表
 if(lImportRVA == 0)
 {
  printf("the PE file does not contain the Import Table!/n");
  printf("/n/n");
  return ;
 }

 long lImportOffset = GetOffsetOfRVA(lImportRVA);

 IMAGE_IMPORT_DESCRIPTOR * pImportDescriptor = (IMAGE_IMPORT_DESCRIPTOR *)
  ((char *)m_ucpFileBuffer + lImportOffset);

 for(; ; pImportDescriptor++)
 {
  //判断导入描述符是否结束
  if(pImportDescriptor->OriginalFirstThunk == 0 && pImportDescriptor->TimeDateStamp == 0 /
   && pImportDescriptor->ForwarderChain == 0 && pImportDescriptor->Name == 0 && /
   pImportDescriptor->FirstThunk == 0)
  {
   break;
  }

  //获得DLL文件的名称
  long lDllName = pImportDescriptor->Name;
  char *cpDllName = (char *)m_ucpFileBuffer + GetOffsetOfRVA(lDllName);
  printf("This program import the function in %s/n", cpDllName);

  long lThunkData = pImportDescriptor->OriginalFirstThunk;
  if(lThunkData == 0)
  {
   lThunkData = pImportDescriptor->FirstThunk;
  }

  IMAGE_THUNK_DATA * lpThunkData = (IMAGE_THUNK_DATA *)((char *)m_ucpFileBuffer + GetOffsetOfRVA(lThunkData));
  
  //显示信息
  printf("--------------------------------------------------------------------/n");
  printf("导入函数ID  导入函数名/n");
  printf("--------------------------------------------------------------------/n");

  for(long lImageThunkData = lpThunkData->u1.Ordinal; lImageThunkData != 0; lImageThunkData = (++lpThunkData)->u1.Ordinal)
  {
   long lSecrialFuncion;
   unsigned char * cpFunName;
   if(lImageThunkData & IMAGE_ORDINAL_FLAG32)
   {
    //该函数是以序号导入的
    lSecrialFuncion = lImageThunkData & 0x7fffffff;
   }
   else
   {
    //该函数是以函数名导入的
    IMAGE_IMPORT_BY_NAME importByName = *(IMAGE_IMPORT_BY_NAME*)((char*)m_ucpFileBuffer +/
     GetOffsetOfRVA(lpThunkData->u1.Ordinal));
    lSecrialFuncion = importByName.Hint;
    cpFunName = &importByName.Name[0];
   }

   printf("%-12d%s/n", lSecrialFuncion, cpFunName);
  }
  printf("/n/n");
 }
 printf("/n/n");
}


void PEClass::ShowPEExportInfo()
{
 //获得导出表的RVA
 long lExportRVA = m_pPEHeader->OptionalHeader.DataDirectory[0].VirtualAddress;

 
 //判断该PE文件中是否含有导出表
 if(lExportRVA == 0)
 {
  printf("the PE file does not contain the Export Table!/n");
  printf("/n/n");
  return ;
 }

 long lExportOffset = GetOffsetOfRVA(lExportRVA);

 IMAGE_EXPORT_DIRECTORY exportDirectory = *(IMAGE_EXPORT_DIRECTORY*)((char*)m_ucpFileBuffer + lExportOffset);

 //解析基本信息
 unsigned char *cpName = (unsigned char *)m_ucpFileBuffer + GetOffsetOfRVA(exportDirectory.Name);
 int nBase = exportDirectory.Base;
 int nFunCount = exportDirectory.NumberOfFunctions;
 int nNameCount = exportDirectory.NumberOfNames;

 long lAddOfFun = GetOffsetOfRVA(exportDirectory.AddressOfFunctions);
 long lAddOfNames = GetOffsetOfRVA(exportDirectory.AddressOfNames);
 long lAddOfNameOrdinals = GetOffsetOfRVA(exportDirectory.AddressOfNameOrdinals);

 unsigned short * uspAddOfNameOrdinals = (unsigned short *)((unsigned char *)m_ucpFileBuffer + lAddOfNameOrdinals);
 long * lpAddOfNames = (long *)((unsigned char *)m_ucpFileBuffer + lAddOfNames);
 long * lpAddOfFun = (long*)((unsigned char *)m_ucpFileBuffer + lAddOfFun);

 //显示信息
 printf("the DLL/EXE name : %s/n", cpName);
 printf("--------------------------------------------------------------------/n");
 printf("导出函数ID  导出函数地址RVA  导出函数名/n");
 printf("--------------------------------------------------------------------/n");


 //按ID查找导出函数的入口地址, 有函数名的取出函数名
 int nIndex = 0;
 for(int nID = nBase; nID < nBase + nFunCount; nID++, nIndex++)
 {
  unsigned char * ucpFunName = NULL;
  long lEnterAddRVA;

  //扫描看是否有函数名
  unsigned short * usp = uspAddOfNameOrdinals;
  for(int i = 0; i < nNameCount; i++)
  {
   if(*usp == nIndex)
   {
    break;
   }
   usp++;
  }

  //判断是否找到该ID的函数名
  if(i < nNameCount)
  {
   //找到
   long lNameRVA = *(lpAddOfNames + nIndex);
   ucpFunName = (unsigned char*)m_ucpFileBuffer + GetOffsetOfRVA(lNameRVA);
  }

  //获得导出函数的入口RVA
  lEnterAddRVA = *(lpAddOfFun + nID);

  //显示信息
  if(ucpFunName != NULL)
  {
   printf("%-12d%-16ld%-s/n", nID, lEnterAddRVA, ucpFunName);
  }
  else
  {
   printf("%-12d%-16ld/n", nID, lEnterAddRVA);
  }
 }
 printf("/n/n");
}

ThomasLiu83
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解(三)PE导出
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
改写PE文件导入加载DLL
03-18
通过对PE文件导入进行静态或动态分析,我们可以发现异常的DLL加载行为,从而找出可能存在的恶意代码。 需要注意的是,直接修改PE文件导入是一项精细的工作,需要对PE文件结构有深入的理解,否则可能导致...
PE手工分析-导入导入函数地址分析
happylife1527的专栏
10-15 778
http://www.cnblogs.com/SkyMouse/archive/2012/05/10/2493775.html 在上篇:PE手工分析-PE头 中我们了解了PE文件头内容,在此基础上我们来分析一下导入导入函数地址的内容. 还是使用上篇使用的PE文件分析,上一篇中我们基本上已经定位出PE头的位置以及相应内容. 在PE扩展头中包含 IMAGE_DATA_DIRECTORY
java中的静态导入
panther的专栏
11-15 568
package com.panther.sta; /** * 知识点详解: * import static静态导入是JDK1.5中的新特性。 * 一般我们导入一个类都用 import com.....ClassName; * 而静态导入是这样:import static com.....ClassName.*; * 这里的多了个static,还有就是类名ClassName后面多了个 .
RVA to RAW?汇编程序输出PE文件导入/导出
m0_52196359的博客
11-16 2037
汇编程序输出PE导入导出
PE文件——导入&导出&函数覆盖
Woolemon的博客
04-06 6031
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
PE-导出
megaparsec
12-19 886
导出 导出描述了导出所在PE文件向其他程序提供的可供调用的函数的情况。 一般情况下,PE中的导出存在于动态链接库文件里。导出的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用。 3.1导出作用 代码重用机制提供了重用代码的动态链接库,它会向调用者说明库里的哪些函数是可以被别人使用的,这些用来说明的信息便组成了导出。 通常情况下,导出存在于动态链接库文件里。 导出的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数,但如果没有函数使用说明,开发者
逆向——PE导出分析及应用
young的博客
03-22 1533
逆向——PE导出分析及应用 文章目录逆向——PE导出分析及应用前言一、利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。二、pedtior打开本机的kernel32.DLL三、实现两种方式的导出函数覆盖-1四、实现两种方式的导出函数覆盖-2总结 前言 本次实验的目的主要是分析PE文件导出结构,分析导出函数VA的获取过程,得出导出结构;研究导出的利用技术,尝试对DLL文件进行修改,即应用导出函数覆盖技术达到需求。 本次用到的实验工具有:OllyDBG、Ped
静态PE文件导入导出分析程序[z]
01-26 1585
其实这个程序是在刚开始接触PE文件时写的了,当时只是想加深对PE文件的认识。也在去年放到这里来了,后来在整理页面时,被删了。今天把它再渡搬上来,只是想把它跟后面的几个文章形成一个系列。    以下代码是以控制台程序方式写的,主要是取出PE文件中的各节的基本信息、导入信息和导出信息,对于资源和重定位信息不具有提取能力。    注:这里说的静态PE文件是指通过内存映射这类形式加载到内存中的磁盘文件
PE格式解析-区段导入结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段导入的结构详解
pe 文件编程:清除文件头中的重定位.rar_pe_清楚重定位
09-21
在编程时,我们可以通过修改PE文件导出导入、资源等来实现特定功能,而清除重定位可能会影响到程序的动态链接和加载过程。 清除重定位通常有以下几种情况: 1. **静态链接**:如果一个PE文件已经...
PE文件静态分析工具源码
06-29
5. **导入导出**:PE文件导入记录了依赖的外部函数,导出则列出可供其他模块使用的函数。 6. **资源**:包含了PE文件中的图标、字符串、位图等资源信息。 7. **重定位**:当PE文件被加载到内存中时...
PE文件分析软件 附 源代码
01-05
3. **导入导出解析**:分析程序的依赖库和函数,以及对外提供的接口。 4. **资源提取**:查看和提取PE文件中的图标、字符串、版本信息等资源。 5. **符号解析**:解析调试信息,展示函数和变量的名称。 6. **...
PE文件格式
07-09
PE文件还涉及到重定位和导入/导出。重定位允许程序在不同的内存地址下正确执行,因为PE文件在磁盘上和内存中的布局可能不同。导入记录了程序依赖的其他动态链接库(DLL)及其函数,而导出则是DLL提供给其他...
DataFrame iloc练习.ipynb
最新发布
07-02
DataFrame iloc练习.ipynb
水箱加热系统的PLC温度控制课程设计.doc
07-02
plc
制造企业数字化中台(技术中台、数据中台、业务中台)建设方案.pptx
07-02
制造企业数字化中台(技术中台、数据中台、业务中台)建设方案.pptx
实验二 预习报告.docx
07-02
实验二 预习报告.docx
软件安全实验2报告1
08-04
3) 使用工具对选取的PE文件进行静态分析,提取出文件的基本信息,如文件头、节导入导出等。 4) 对分析结果进行记录和整理,进行进一步的数据分析和提取。 5) 分析和解释分析结果,得出有关PE文件的结论...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值