C++打印PE文件头信息Demo

最新推荐文章于 2020-05-31 23:47:25 发布
最新推荐文章于 2020-05-31 23:47:25 发布
阅读量209 收藏 3
点赞数
文章标签: c/c++ 操作系统
原文链接:http://www.cnblogs.com/oyjj/archive/2011/06/09/2132855.html
版权

PE文件格式被组织为一个线性的数据流,它由一个MS-DOS头部开始,接着是一个是模式的程序残余以及一个PE文件标志,这之后紧接着PE文件头和可选头部。这些之后是所有的段头部,段头部之后跟随着所有的段实体。文件的结束处是一些其它的区域,其中是一些混杂的信息,包括重分配信息、符号表信息、行号信息以及字串表数据。

PE文件主要信息按顺序

IMAGE_DOS_HEADER MS-DOS MZ头部

DOS STUB MS-DOS 实模式残余程序

NTSIGNATURE PE文件标识

IMAGE_FILE_HEADER PE文件头

IMAGE_OPTIONAL_HEADER PE可选头

IMAGE_SECTION_HEADER 多个段

包括.text .bss .rdata等

更详细的信息请参考:http://www.vckbase.com/document/viewdoc/?id=1334

下面给出将头文件打印出来的源码:

PE.h

#ifndef _X_PE_H_
#define _X_PE_H_
//获取PE头基地址
#define SIZE_OF_NT_SIGNATURE sizeof(DWORD)
#define NTSIGNATURE(a) ((LPVOID)((BYTE *)a + ((PIMAGE_DOS_HEADER)a)->e_lfanew - 1))
#define PEFHDROFFSET(a) ((LPVOID)((BYTE *)a + ((PIMAGE_DOS_HEADER)a)->e_lfanew - 1 + SIZE_OF_NT_SIGNATURE))
#define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + ((PIMAGE_DOS_HEADER)a)->e_lfanew - 1 + SIZE_OF_NT_SIGNATURE + sizeof(IMAGE_FILE_HEADER)))
DWORD WINAPI ImageFileType (LPVOID lpFile);
#endif

  

PE.cpp

#include <windows.h>
#include <stdio.h>
#include <iostream>
#include "pe.h"
using namespace std;
//PE文件类型判断
DWORD WINAPI ImageFileType (LPVOID lpFile)
{
/* 首先出现的是DOS文件标志 */
if (*(USHORT *)lpFile == IMAGE_DOS_SIGNATURE)
    {
/* 由DOS头部决定PE文件头部的位置 */
if (LOWORD (*(DWORD *)NTSIGNATURE (lpFile)) ==
            IMAGE_OS2_SIGNATURE ||
            LOWORD (*(DWORD *)NTSIGNATURE (lpFile)) ==
            IMAGE_OS2_SIGNATURE_LE)
return (DWORD)LOWORD(*(DWORD *)NTSIGNATURE (lpFile));
else if (*(DWORD *)NTSIGNATURE (lpFile) ==
            IMAGE_NT_SIGNATURE)
return IMAGE_NT_SIGNATURE;
else
return IMAGE_DOS_SIGNATURE;
    }
else
/* 不明文件种类 */
return 0;
}
int main()
{
//业务信息参考
//http://www.vckbase.com/document/viewdoc/?id=1334
    
    CHAR szBuf[2048];
    FILE* pFile=fopen("E://task//Win32//Debug//win32.exe","r");//这里加载一个PE文件
    int iRead=fread(szBuf,1,2048,pFile);

//MZ-DOS头
    IMAGE_DOS_HEADER* dos;
    dos=(IMAGE_DOS_HEADER*)szBuf;
    cout.setf(ios::hex,ios::basefield);//设置十六进制显示数值
    cout.setf(ios::showbase|ios::uppercase);//设置0x头和大写
    cout<<"dos->e_magic="<<dos->e_magic<<endl;
    cout<<"dos->e_lfanew="<<dos->e_lfanew<<endl;
    cout<<"NTSIGNATURE="<<*(DWORD *)NTSIGNATURE(szBuf)<<endl;
    cout<<"ImageFileType="<<ImageFileType(szBuf)<<" is ";
switch(ImageFileType(szBuf))
    {
case IMAGE_DOS_SIGNATURE://MZ
        cout<<"IMAGE_DOS_SIGNATURE"<<endl;
break;
case IMAGE_OS2_SIGNATURE://NE
        cout<<"IMAGE_OS2_SIGNATURE"<<endl;
break;
case IMAGE_OS2_SIGNATURE_LE:
        cout<<"IMAGE_OS2_SIGNATURE_LE"<<endl;
break;
case IMAGE_NT_SIGNATURE:
        cout<<"IMAGE_NT_SIGNATURE"<<endl;
    }

    cout<<"PEFHDROFFSET="<<PEFHDROFFSET(szBuf)<<endl;
//PE必选头
    PIMAGE_FILE_HEADER header =(PIMAGE_FILE_HEADER)PEFHDROFFSET(szBuf);
    cout<<"Machine="<<header->Machine<<endl;
    cout<<"区段数NumberOfSections="<<header->NumberOfSections<<endl;
    cout<<"建立时间TimeDateStamp="<<header->TimeDateStamp<<endl;
    cout<<"PointerToSymbolTable="<<header->PointerToSymbolTable<<endl;
    cout<<"可选头部大小SizeOfOptionalHeader="<<header->SizeOfOptionalHeader<<endl;
    cout<<"特征Characteristics="<<header->Characteristics<<endl;

//PE可选头
    PIMAGE_OPTIONAL_HEADER opHeader=(PIMAGE_OPTIONAL_HEADER)OPTHDROFFSET(szBuf);
    cout<<"魔术字Magic="<<opHeader->Magic<<endl;//0x010B为.EXE,0x0107为ROM映像
    cout<<"连接器主版本MajorLinkerVersion="<<(short)opHeader->MajorLinkerVersion<<endl;
    cout<<"连接器副版本MinorLinkerVersion="<<(short)opHeader->MinorLinkerVersion<<endl;
    cout<<"可执行代码大小SizeOfCode="<<opHeader->SizeOfCode<<endl;
    cout<<"已初始化的数据大小SizeOfInitializedData="<<opHeader->SizeOfInitializedData<<endl;
    cout<<"未初始化的数据大小SizeOfUninitializedData="<<opHeader->SizeOfUninitializedData<<endl;
    cout<<"入口点AddressOfEntryPoint="<<opHeader->AddressOfEntryPoint<<endl;
    cout<<"代码基址(.text段)BaseOfCode="<<opHeader->BaseOfCode<<endl;
    cout<<"数据基址(.bss段)BaseOfData="<<opHeader->BaseOfData<<endl;
    cout<<"映像基址ImageBase"<<opHeader->ImageBase<<endl;//进程映像地址空间中的首选基地址,Windows NT的Microsoft Win32 SDK链接器将这个值默认设为0x00400000,但是你可以使用-BASE:linker开关改变这个值。 
    cout<<"区段对齐SectionAlignment="<<opHeader->SectionAlignment<<endl;
    cout<<"FileAlignment="<<opHeader->FileAlignment<<endl;
    cout<<"NT主版本号MajorOperatingSystemVersion="<<opHeader->MajorOperatingSystemVersion<<endl;
    cout<<"NT副版本号MinorOperatingSystemVersion="<<opHeader->MinorOperatingSystemVersion<<endl;
    cout<<"应用程序主版本号MajorImageVersion="<<opHeader->MajorImageVersion<<endl;
    cout<<"应用程序副版本号MinorImageVersion="<<opHeader->MinorImageVersion<<endl;
    cout<<"Win32子系统主版本号MajorSubsystemVersion="<<opHeader->MajorSubsystemVersion<<endl;
    cout<<"Win32子系统副版本号MinorSubsystemVersion="<<opHeader->MinorSubsystemVersion<<endl;
    cout<<"SizeOfImage="<<opHeader->SizeOfImage<<endl;
    cout<<"头大小SizeOfHeaders="<<opHeader->SizeOfHeaders<<endl;
    cout<<"校验和CheckSum="<<opHeader->CheckSum<<endl;//私有算法
    cout<<"子系统Subsystem="<<opHeader->Subsystem<<endl;
    cout<<"DllCharacteristics="<<opHeader->DllCharacteristics<<endl;
    cout<<"SizeOfStackReserve="<<opHeader->SizeOfStackReserve<<endl;
    cout<<"SizeOfStackCommit="<<opHeader->SizeOfStackCommit<<endl;
    cout<<"SizeOfHeapReserve="<<opHeader->SizeOfHeapReserve<<endl;
    cout<<"SizeOfHeapCommit="<<opHeader->SizeOfHeapCommit<<endl;
    cout<<"LoaderFlags="<<opHeader->LoaderFlags<<endl;
    cout<<"NumberOfRvaAndSizes="<<opHeader->NumberOfRvaAndSizes<<endl;
    cout<<"导出表RVA:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress<<endl;
    cout<<"导出表大小:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size<<endl;
    cout<<"导入表RVA:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress<<endl;
    cout<<"导入表大小:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size<<endl;
    cout<<"资源RVA:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress<<endl;
    cout<<"资源大小:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].Size<<endl;
    cout<<"TLSRVA:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].VirtualAddress<<endl;
    cout<<"TLS大小:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].Size<<endl;
    cout<<"调试RVA:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].VirtualAddress<<endl;
    cout<<"调试:"<<opHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].Size<<endl;

    cout<<sizeof(IMAGE_OPTIONAL_HEADER)<<endl;
    PIMAGE_SECTION_HEADER ps=(PIMAGE_SECTION_HEADER)((BYTE*)opHeader+sizeof(IMAGE_OPTIONAL_HEADER));

//打印所有的段信息
    for (int i=0;i<header->NumberOfSections;i++)
    {
        cout<<endl;
        cout<<"Name="<<ps[i].Name<<endl;
        cout<<"PhysicalAddress="<<ps[i].Misc.PhysicalAddress<<endl;
        cout<<"VirtualSize="<<ps[i].Misc.VirtualSize<<endl;
        cout<<"VirtualAddress="<<ps[i].VirtualAddress<<endl;
        cout<<"SizeOfRawData="<<ps[i].SizeOfRawData<<endl;
        cout<<"PointerToRawData="<<ps[i].PointerToRawData<<endl;
        cout<<"PointerToRelocations="<<ps[i].PointerToRelocations<<endl;
        cout<<"PointerToLinenumbers="<<ps[i].PointerToLinenumbers<<endl;
        cout<<"NumberOfRelocations="<<ps[i].NumberOfRelocations<<endl;
        cout<<"NumberOfLinenumbers="<<ps[i].NumberOfLinenumbers<<endl;
        cout<<"Characteristics="<<ps[i].Characteristics<<endl;
    }

return 0;
}

  

转载于:https://www.cnblogs.com/oyjj/archive/2011/06/09/2132855.html

ahch8077
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件结构分析程序(C++)
jzz5072的博客
01-18 764
该程序用与对PE文件文件以及数据目录表进行分析,并输出各个数据目录表以及文件的关键字段 运行环境 Microsoft Visual Studio Professional 2017 Windows10 项目格式 文件 Entry.h #pragma once #include <stdio.h> #include <Windows.h> //计算数据目录表起始位置到文件的偏移 DWORD RvaToOffset(DWORD dwRva, char *buffer);
C++ 读取PE文件并十六进制打印输出
duhaomin的专栏
02-16 3871
分析PE结构的时候,想自己把里边的结构理解后打印LoadPE分析的东西,在此先把读取PE 结构的C++代码贴出来: #include #include #include #include #define MAX 16*10000 using namespace std; int value[MAX]; DWORD FileSize() { TCHAR szFileName[MAX_P
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 6833
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
C++获取PE文件的入口点
杨航的专栏
03-12 2107
2009-10-07 10:17 C++获取PE文件的入口点 源码: #include "stdafx.h" #include #include using namespace std; int main(int argc, char* argv[]) { char *FileName = argv[1]; HANDLE hFile = CreateFile(Fi
PE 学习 打印pe格式
h1028962069的专栏
08-26 947
// petool.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <stdlib.h> #include <windows.h> FILE *fp; IMAGE_DOS_HEADER myDosHeader; IMAGE_FILE_HEADER myFileHead
C++判断pe文件实例
12-26
本文实例讲述了C++判断pe文件的方法。分享给大家供大家参考。 具体实现方法如下: #include 是为了使用CFileDialog main.h如下: 代码如下:#include     class CMyApp:public CWinApp  {   BOOL InitInstance...
c++获取windows文件版本信息
12-07
c++实现windwos环境获取文件版本信息,两个方法,一个是winapi,一个是解析PE文件获取,主要解决部分windows系统由于兼容引起的通过api接口获取版本信息有问题
c++ 修改ini的文件demo
09-04
c++通过软件修改ini文件里面的值,附加源码,可以自行修改 更新信息:用duilib写的软件用来修改ini文件里面的值,附加源码,可以自行修改
C++的PE文件操作类
08-01
C++的PE文件操作类,读取PE文件信息,导入表,导出表,可以写出iatHook
PE文件复看:打印PE信息
KKMI的博客
05-31 791
PE文件解析打印信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
C#并口打印机指令打印Demo
10-09
再csdn上花49积分下载的【C#并口打印机指令打印Demo】原模原样上传
c读取wav文件信息(更新)
04-18
读取wav文件信息,默认为PCM编码格式的wav文件。用C写的,在vc6.0,windowsXP下调试可以的
判断几种图片文件的c++代码
11-02
用二进制方式读取文件,与gif,bmp,jpg的文件比较,从而判断文件类型
C++打印实例
03-23
自己根据网上的代码写的C++打印程序
文件读取到内存、打印pe结构
aod83029的博客
06-16 167
#include <stdio.h> #include <malloc.h> #include <stdlib.h> #include <string.h> #define STREAMBUFFER 1024 #define FILEPATHSIZE 256 /** 将一个文件读到内存 return ...
打印PE目录数据信息
weixin_33878457的博客
03-14 125
printf("数据目录信息:\n"); PIMAGE_DATA_DIRECTORY MyDataDir; MyDataDir = PIMAGE_DATA_DIRECTORY((&MyOptionalHeader->NumberOfRvaAndSizes + 1));//定位目录位置 for (int i = 0; i < 16;i++) { ...
C++中读取文件ifstream、ofstream
糯诺诺米团
07-11 9627
现在,我想对一个utf-8的json文件进行读写操作。在此过程中,遇到了一些问题。 文件的添加: #include <iostream> #include <cstring> #include <fstream> #include <sstream> (一)ifstream读取文件 A:使用char*的方式读取 ifstream r...
c++ 如何打印pdf文件
最新发布
06-06
在 C++ 中打印 PDF 文件,可以使用 Windows API 中的 GDI+(Graphics Device Interface)库来实现。具体步骤如下: 1. 使用 GDI+ 中的 `Image` 类,将 PDF 文件加载为 GDI+ 图像对象。这可以通过调用 `Image::FromFile()` 或 `Image::FromStream()` 方法来实现,具体取决于 PDF 文件的来源。 ```c++ #include <gdiplus.h> using namespace Gdiplus; Image* image = Image::FromFile(L"file.pdf"); ``` 2. 创建打印文档对象,并将 GDI+ 图像对象添加到打印文档的页面列表中。 ```c++ #include <winspool.h> // 获取默认打印机 wchar_t printerName[MAX_PATH]; GetDefaultPrinter(printerName, &size); // 创建打印文档对象 HDC hdcPrinter = CreateDC(NULL, printerName, NULL, NULL); DOCINFO di = { sizeof(DOCINFO), L"My Document", NULL }; StartDoc(hdcPrinter, &di); StartPage(hdcPrinter); // 在打印页面上绘制图像 Graphics graphics(hdcPrinter); graphics.DrawImage(image, 0, 0); EndPage(hdcPrinter); EndDoc(hdcPrinter); DeleteDC(hdcPrinter); ``` 在上面的示例代码中,我们首先使用 `GetDefaultPrinter()` 函数获取默认打印机名称,然后使用 `CreateDC()` 函数创建打印设备上下文(HDC)。接下来,我们通过调用 `StartDoc()` 和 `StartPage()` 函数开始打印文档并开始打印页面。 然后,我们使用 `Graphics` 类在打印页面上绘制 PDF 图像。最后,我们通过调用 `EndPage()` 和 `EndDoc()` 函数结束打印页面和打印文档,并使用 `DeleteDC()` 函数删除打印设备上下文。 需要注意的是,GDI+ 不支持所有 PDF 文件格式,因此在加载 PDF 文件时可能会出现问题。此外,打印 PDF 文件时,可能会出现字体和页面排版的问题,这取决于打印机和打印驱动程序的支持程度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值