使用程序判断一个文件是否是有效的PE文件

于 2021-03-20 19:56:11 发布
阅读量1k 收藏 1
点赞数
分类专栏: VC++ 安全编程 文章标签: e_magic Signature DOS头 NT头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/115033476
版权
VC++ 同时被 2 个专栏收录
592 篇文章 7 订阅 ¥99.90 ¥299.90
订阅专栏
安全编程
105 篇文章 2 订阅
订阅专栏

判断一个文件是否为有效的PE文件,判断2个字段:

    DOS头的e_magic字段是否为0x5A4D;

    NT头的Signature字段是否为0x00004550;

若都是的话则是一个有效的PE文件;

VC6,单文档工程;

void CIspeView::OnDraw(CDC* pDC)
{
	CIspeDoc* pDoc = GetDocument();
	ASSERT_VALID(pDoc);
	// TODO: add draw code for native data here
	//HANDLE hFile = CreateFile(TEXT("test.png"), GENERIC_ALL, NULL, NULL,OPEN_EXISTING,NULL,NULL);
	HANDLE hFile = CreateFile(TEXT("notepad.exe"), GENERIC_ALL, NULL, NULL,OPEN_EXISTING,NULL,NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        //std::cout << "打开文件失败!" << std::endl;
		pDC->TextOut(20,20,"打开文件失败!");
        CloseHandle(hFile);
        exit(EXIT_SUCCESS);
    }
    // 获取文件的大小
    DWORD dwFileSize = GetFileSize(hFile, NULL);
    // 申请内存空间,用于存放文件数据
    BYTE * FileBuffer = new BYTE[dwFileSize];
    // 读取文件内容
了解本专栏 订阅专栏 解锁全文
bcbobo21cn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
PEiD检测 不是有效PE文件
哼哼唧唧
12-09 4857
在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效PE文件,在此记录一下原因。,如果显示不是有效PE文件,说明你的可执行文件为64位,不能用PEiD检测。下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版。下载后想使用,从右侧按钮的设置中,选择语言为中即可。直接把64位可执行文件拖入即可查看信息,这里显示。,即没有加壳,就可以直接用IDA进行调试分析啦~附Exeinfo PE下载地址。
确定PE文件有效
gzfqh的专栏 →底层代码研究
04-16 2038
1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ
PE教程2: 检验PE文件有效
benny5609的专栏
06-16 917
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
PE文件内名存实亡的对齐
xuenixiang.com
07-21 1582
章是我在看雪转载的,感觉非常有用,让我明白了一个核心道理:PE格式只是一个参考 PE文件内名存实亡的对齐大家知道PE文件中IMAGE_NT_HEADERS的IMAGE_OPTIONAL_HEADER32里有两个对其因子SectionAlignment和FileAlignment分别表示内存中块的对齐和文件中块的对齐。我同时翻阅了Visual Studio, Microsoft Portabl...
使用程序判断一个文件是否是有效PE文件.pdf
最新发布
12-24
这篇档讨论的是如何编写一个简单的C++程序判断一个文件是否为有效PE文件。这个过程涉及到对PE文件结构的理解以及文件I/O操作。 首先,程序使用`CreateFile`函数打开指定的文件,如`notepad.exe`,并获取文件...
C++判断pe文件实例
09-04
将详细介绍如何使用C++来判断一个文件是否为PE文件,以及涉及到的相关知识。 首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS(IMAGE_DOS_HEADER)和NT(IMAGE_NT_HEADERS)。DOS通常包含...
商业编程-源码-判断你的文件是否为合法的PE文件和应用类型.zip
06-23
本资源"商业编程-源码-判断你的文件是否为合法的PE文件和应用类型.zip"提供了一段源代码,用于检测一个文件是否符合PE文件格式,并识别其应用类型。下面将深入探讨PE文件结构以及如何通过编程来检查它的合法性与类型...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
本压缩包包含的资源是关于使用VC++(Visual C++)编写的源码,用于判断一个文件是否符合PE文件格式。这个功能在软件开发、系统分析以及安全领域有着广泛的应用。 首先,我们需要了解PE文件的基本结构。PE文件由多个...
判断你的文件是否为合法的PE文件和应用类型VC源代码
03-15
能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用...如下这段代码所示,这是一个判断是否为合法PE文件的API。 关键字:pe,api,win32
判断一个文件是否是合法的PE文件
03-09
判断一个文件是否是合法的PE文件 IsValidPEFile.cpp
JVM指令集及各指令的详细使用说明
cooldatabase
03-29 159
指令码 助记符 说明 0x00 nop 什么都不做 0x01 aconst_null 将null推送至栈顶 0x02 iconst_m1 将int型-1推送至栈顶 0x03 iconst_0 将int型0推送至栈顶 0x04 iconst_1 将int型1推送至栈顶 0x05 iconst_2 将int型2推送至栈顶 0x06 iconst_3 将int型3推送至栈...
OD教程(去除NAG窗口--PE文件结构)
u012640985的专栏
05-11 1356
nag本意是烦人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。 软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。   一、PE文件结构   为什么需要了解PE文件结构? 大家想象一下,某天在班上,小甲鱼突然想知道黑夜童鞋今天穿什么颜色的裤子,要怎么办呢?点名让黑夜童鞋站起来?不行,因为苍老师在上课呢。那小甲鱼就只好掏出班级里的座位
逆向之1PE文件通过逆向工具(IDA和OD)寻找main和winmain
ISNS的博客
03-20 2648
这学期逆向这门课的第一个小组作业是:PE文件通过逆向工具(IDA和OD)寻找main和winmain。 完整的实验报告见组长的博客: https://www.cnblogs.com/-mo-/p/12524691.html 因为我在小组分工里完成的是寻找winmain的过程(其实就是按照组长的博客复现了一遍、录了视频摆了),所以这里也只记录了关于winmain的一些知识点。 1.定义 WinMa...
Windows PE 第一章 熟悉OD(顺便破解一个小工具)
墨鱼菜鸡
12-18 287
熟悉OD(顺便破解一个小工具) 上一节了解了OD的简单使用,这次就练习下,目标是破解一款小软件(入门练手用的,没有壳什么的)。 首先我们来看一下这个小软件: 我们的目的是输入任何字符串都可以成功注册,达到破解的目的。 这个东西破解方式很多,而且也不是唯一,逆向这东西很多地方...
PE文件格式详解(下)
08-04 986
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用
判断是不是PE文件
游刃有余则成的专栏
07-08 3260
#include #include "assert.h" #include #include "TCHAR.H" #ifdef UNICODE #define IsPEFile IsPEFileW #define IsDigiSig IsDigiSigW #else #define IsPEFile IsPEFileA #define IsDigiSig IsDigiSigA #endi
IDF实验室之简单的PE文件逆向
forbidd3n,keep going
10-09 3099
原题链接:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=38 因为是个pe文件,我们现在PC上运行以下,如下图: 也就是说要输对flag,内部大概是字符串的对比 直接上IDA ,一路F5,于是在函数sub_4113A0中找到判断代码 前面一大串定义了一些int常量、一个char数组,一些字符 直
PE文件格式
bairny的专栏
05-22 2426
PE教程1: PE文件格式一览考虑到早期写的PE教程1是自己所有教程中最糟糕的一篇,此番决心彻底重写一篇以飨读者。PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值