PE文件格式分析之一

最新推荐文章于 2024-01-22 21:25:06 发布
最新推荐文章于 2024-01-22 21:25:06 发布
阅读量1.4k 收藏
点赞数
分类专栏: 内存管理 文章标签: descriptor image import header null iostream
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bxhj3014/article/details/1682955
版权

        PE文件格式,Win32环境自带的执行体文件格式。个人理解主要是指.exe文件和.dll文件,不知道是否正确,若不对还望大侠们指正,不多说了,风飘雪大哥在加密解密中说的很详细,先写一个vc编写的基于控制台的PE文件格式分析程序,通过内存映射实现。^_^ ^_^ ^_^

先创建一个PE格式分析类:

头文件:PeLook.h

#pragma once
#include <windows.h>
#include <fstream>
#include <iostream>
using namespace std;

class PeLook
{
private:
 HANDLE hFile;
 HANDLE hFileMap;
 void *pvFile;
 IMAGE_DOS_HEADER *dosHeader;
 IMAGE_NT_HEADERS *ntHeader;
 IMAGE_SECTION_HEADER * sectionTable;
 IMAGE_IMPORT_DESCRIPTOR *importTable;
public:
 int LoadHeader(char *fileName);
 int LoadSectionTable();
 int SearchSection(unsigned long rva, unsigned long *virAddr, unsigned long *virOffset, unsigned long *offset);
 int LoadImportTable();

 int LoadFunction(IMAGE_IMPORT_DESCRIPTOR importDesc);

 PeLook(void);
 PeLook(char *fileName);
 ~PeLook(void);
};

 

类的实现 PeLook.cpp

#include "./pelook.h"

PeLook::PeLook(void)
{
}

PeLook::~PeLook(void)
{
}


PeLook::PeLook(char *fileName)
{
 
}

/*******************************************************************************
 *函数介绍: 获取指定.exe/.dll的头信息,包括IMAGE_DOS_HEADER和IMAGE_NT_HEADERS
 *输入参数: char *fileName 需要分析的文件名
 *输出参数: 无
 *返回值:   获取头信息是否成功,成功返回0,否则返回-1,-2,-3
 *******************************************************************************/
int PeLook::LoadHeader(char *fileName)
{

//创建内存映射文件
hFile = CreateFile(fileName, GENERIC_WRITE|GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
 if(hFile == INVALID_HANDLE_VALUE)
 {
  cout << "create file false !" << endl;
  return -1;
 }
 hFileMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, NULL);
 if(hFileMap == NULL)
 {
  cout << "create file mapping false !" << endl;
  return -2;
 }
 
 pvFile = MapViewOfFile(hFileMap, FILE_MAP_WRITE, 0, 0, 0);
 if(pvFile == NULL)
 {
  cout << "view view of file is filse!" << endl;
  return -3;
 }
 dosHeader = (IMAGE_DOS_HEADER *)pvFile;
 ntHeader = (IMAGE_NT_HEADERS *)((char *)pvFile + dosHeader->e_lfanew);
 cout << "" << ntHeader->Signature << endl;
 return 0;
}

/************************************************************************
 *函数介绍: 获取指定.exe/.dll的节表信息
 *输入参数: 无
 *输出参数: 无
 *返回值:   获取节表信息是否成功,成功返回0
 ************************************************************************/
int PeLook::LoadSectionTable()
{
 sectionTable = (IMAGE_SECTION_HEADER *)((char *)pvFile + dosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));
 for(int i = 0; i < ntHeader->FileHeader.NumberOfSections; i++)
 {
  cout << "-----------------------------------" << endl;
  cout << "name : " << sectionTable[i].Name << endl;
  cout << "VirtualSize : " << sectionTable[i].Misc.VirtualSize << endl;
  cout << "VirtualAddress : " << sectionTable[i].VirtualAddress << endl;
  cout << "PointerToRawData : " << sectionTable[i].PointerToRawData << endl;
  cout << "SizeOfRawData : " << sectionTable[i].SizeOfRawData << endl;
  cout << "Characteristics : " << sectionTable[i].Characteristics << endl;
 }
 return 0;
}

/************************************************************************
 *函数介绍: 根据给出的虚拟地址,查找该地址在文件中的偏移地址
 *输入参数: unsigned long rva 需要查找偏移地址的虚拟地址
 *输出参数: unsigned long *virAddr 所查虚拟地址所在的节的虚拟地址
 *    unsigned long offset 所查虚拟地址所在的节在文中的偏移地址
 *返回值:   所查虚拟地址所在的节号,小于0(-1)时表示查找失败
 ************************************************************************/
int PeLook::SearchSection(unsigned long rva, unsigned long *virAddr, unsigned long *virOffset, unsigned long *offset)
{
 for(int i = 0; i < ntHeader->FileHeader.NumberOfSections; i++)
 {
  if(rva >= sectionTable[i].VirtualAddress && rva < sectionTable[i].VirtualAddress + sectionTable[i].Misc.VirtualSize)
  {
   *virAddr = sectionTable[i].VirtualAddress;
   *virOffset = sectionTable[i].PointerToRawData;
   *offset = *virOffset + rva - *virAddr;
   return i;
  }
 }
 return -1;
}

/************************************************************************
 *函数介绍: 获取指定.exe/.dll文件的输入表信息
 *输入参数: 无
 *输出参数: 无
 *返回值:   获取节表信息是否成功,成功返回0
 ************************************************************************/
int PeLook::LoadImportTable()
{
 unsigned long localVir, virAddr, virOffset, offset;
 localVir = ntHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
 int sectionNumber = SearchSection(localVir, &virAddr, &virOffset, &offset);

 IMAGE_IMPORT_DESCRIPTOR *p = (IMAGE_IMPORT_DESCRIPTOR *)((char *)pvFile + offset);
 for(; p->Name; p++)
 {
  cout << "-------------------------------" << endl;
  localVir = p->Name;
  sectionNumber = SearchSection(localVir, &virAddr, &virOffset, &offset);
  cout << "name : " << (char *)pvFile + offset << endl;
  cout << "OriginalFirstThunk : " << p->OriginalFirstThunk << endl;
  cout << "TimeDateStamp : " << p->TimeDateStamp << endl;
  cout << "ForwarderChain : " << p->ForwarderChain << endl;
  cout << "Characteristics : " << p->Characteristics << endl;
  cout << "FirstThunk : " << p->FirstThunk << endl;
  LoadFunction(*p);
 }
 return 0;
}

/************************************************************************
 *函数介绍: 获取.exe/.dll文件使用指定.dll文件时引入的函数     
 *输入参数: IMAGE_IMPORT_DESCRIPTOR importDesc 一个引用节,代表一个引
 *    用的dll
 *输出参数: 无
 *返回值:   从该.dll文件中引用的函数的个数
 ************************************************************************/
int PeLook::LoadFunction(IMAGE_IMPORT_DESCRIPTOR importDesc)
{
 unsigned long localVir, virAddr, virOffset, offset;
 localVir = importDesc.FirstThunk;
 int sectionNumber = SearchSection(localVir, &virAddr, &virOffset, &offset);
 IMAGE_THUNK_DATA *thunkTable = (IMAGE_THUNK_DATA *)((char *)pvFile + offset);

 IMAGE_IMPORT_BY_NAME *p;
 int funNum = 0;
 for(; thunkTable->u1.Function; thunkTable++)
 {
  localVir = thunkTable->u1.Function;
  sectionNumber = SearchSection(localVir, &virAddr, &virOffset, &offset);
  p = (IMAGE_IMPORT_BY_NAME *)((char *)pvFile + offset);
  cout << p->Hint << "/t" << p->Name << endl;
  funNum++;
    }
 return funNum;
}

主函数文件 PeAnalyse.cpp

#include "PeLook.h"

void main()
{
 PeLook mype;
 mype.LoadHeader("c://MySocket.dll");
 mype.LoadSectionTable();
 mype.LoadImportTable();
 char ch;
 cin >> ch;
}

bxhj3014
关注
专栏目录
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2147
什么是PE文件? PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE文件格式分析心得
11-07
PE文件格式分析心得PE文件格式最近好像炒得沸沸扬扬,由于我正在做一个这样的程序,索性将自己的心得写出来与大家同享。
PE文件格式分析
SWC0619的博客
03-21 3897
PE文件格式解析
PE文件格式分析与构造
weixin_44504022的博客
04-15 2150
PE文件结构的分析与构造
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件在文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
PE文件格式剖析——解剖PE格式文件
10-25
PE文件格式的核心目标之一是提供一种跨平台的执行文件格式,使得程序可以在不同的Windows系统版本上运行而无需修改。 #### 二、PE文件结构详解 ##### 1. DOS头 (DOS Header) 每个PE文件都以一个DOS兼容头开始,这...
PE文件格式分析工具+T-PE+之源代码
12-05
"T-PE"似乎是一个专门用于分析PE文件格式的工具,而提供的源代码可以让我们深入理解其内部工作原理。 在源代码中,T-PE.cpp和T-PE.h很可能是实现PE文件解析功能的主要文件。`.cpp`文件通常包含C++函数的实现,而`.h...
二进制文件/PE文件对比工具非常好用
07-28
标题中的“二进制文件/PE文件对比工具非常好用”表明我们讨论的是一款用于比较二进制文件,特别是PE(Portable Executable)格式文件的工具。PE文件是Windows操作系统上执行程序的标准格式,包括DLL动态链接库和EXE...
windowsPE结构查看VC源码
11-25
以前写的一个学习windowsPE结构,查看PE头信息,和导入导出函数,重定位信息的工具。源码分享给大家。
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE文件格式全解读
凌阳的博客
06-08 5041
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件格式详解
热门推荐
钞sir的博客
03-17 1万+
三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间,所有的代码和数据都合并在一起,组成了一个很大的结构; 文件被分为不同的区块(Section,又成为区段或节等),区块中包含代码和数据,各个区块按页边界对齐; 区块没有大小限制,是一个连续结构;每一个块都有其自己的属性,如是否包含代码,是否可读可写等; PE文件的构成 MS-DOS头部 每个...
最详细PE文件格式讲解!!!!!
最新发布
SXXYNHHXX的博客
01-22 2078
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件格式详解与结构分析
"该资源主要关注PE(Portable Executable)文件格式,特别是关于导入描述符(Image Import Descriptor)的结构体定义。PE格式是Windows操作...理解这一结构对于PE文件分析、逆向工程以及动态链接库的调试等工作至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值