python判断是否为“PE文件”

最新推荐文章于 2021-05-21 11:25:15 发布
最新推荐文章于 2021-05-21 11:25:15 发布
阅读量2.9k 收藏 4
点赞数 3
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feifa105/article/details/12082743
版权

什么是PE文件?

PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。

怎么识别PE文件?

1、首先,PE文件一定是MZ(0x4D5A)起头的。

2、其次,3C位置的值(即如图所示E8)指向的值是PE(0x5045)

代码如下:

#coding: UTF-8
import linecache,os,struct,sys
#get all PE files of a directory
def readFileChar(path):
    try:
        fileHandle=open(path,"rb")
        data_id = struct.unpack("h",fileHandle.read(2))
        return data_id[0]
        fileHandle.close()
    except Exception ,e:
        print e
        return "kkk"
        
def getShifting(path):
    try:
        #获得0x3c地址的值,pe文件应为0x45 50
        fileHandle=open(path,"rb")
        fileHandle.seek(60,0)
        data_id = struct.unpack("h",fileHandle.read(2))[0]
        fileHandle.close()
        #print data_id
        fileHandle=open(path,"rb")
        fileHandle.seek(data_id,0)
        pe = struct.unpack("h",fileHandle.read(2))[0]
        fileHandle.close()
        return pe
    except:
        return  "kkk"
if __name__=="__main__":
    paths=[]
    pePath=[]
    #paths:all files' paths
    insPath=sys.argv[1]
    savefile=insPath.split("\\")[-1]
    #cur_path=os.path.abspath(os.path.join(os.path.dirname(__file__), "%s_PEfile.txt"%savefile))
    cur_path=os.path.abspath(os.path.join("c:\\", "%s_PEfile.txt"%savefile))
    #print "cur_path",cur_path
    savefileHandle=open(cur_path,'w')
    #print insPath
    for root,dirs,files in os.walk(insPath):
        for file in files:
            paths.append(root+file)
            path=root+"\\"+file
            shifting = getShifting(path)
            # print "readFileChar",readFileChar(path)
            # print "shifting",shifting
            if readFileChar(path)==23117 and shifting==17744:
                pePath.append(file)
                print path,"is ----------------->pe file "
                savefileHandle.write(file+'\n')
    savefileHandle.close()


feifa105
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PE文件格式分析及修改
lxslove的专栏
11-06 1731
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识
Python 使用PEfile分析PE文件
最新发布
Gefangenes的博客
04-11 235
PeFile模块是Python中一个强大的便携式第三方PE格式分析工具,用于解析和处理Windows可执行文件。该模块提供了一系列的API接口,使得用户可以通过Python脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
判断一个文件是否是合法的PE文件
03-09
判断一个文件是否是合法的PE文件 IsValidPEFile.cpp
使用Python判断文件是否PE文件
董付国的Python专栏
09-15 546
PE的全称是Portable Executable,指可移植的可执行文件,目前的最新版本是2013年2月6日发布的8.3版。PE文件包括exe文件、com文件、dll文件、ocx文件、sy...
判断文件是否PE格式
刘华世的博客
05-31 562
#include "ValidPE.h" #include CMyApp theApp; BOOL CMyApp::InitInstance() { //http;//www.pythonschool.com CFileDialog dlg( TRUE ); if( dlg.DoModal() != IDOK ) { return FALSE; } else { HAN
判断是否PE文件改进版
xbin1981的博客
06-07 555
原来的程序一遇到0字节的文件就会挂掉,在这里我添加了SEH错误处理代码,完美解决了挂掉的问题! .386    .model flat, stdcall    option casemap :none     include    windows.inc    include    user32.inc    includelib user32.lib    includ
Python 扫描PE文件
zheng_ruiguo的专栏
04-04 871
''' Python 扫描PE文件头 by 郑瑞国 scanPE.py 获取PE文件头信息的方法: import pefile pe = pefile.PE('E:\\TestTool\\LaoMaoTao.exe') print(pe) ''' import os import string import hashlib import pefile def getmd5(file):...
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对...
89.PE文件解析之通过Python获取时间戳判断软件来源地区1
08-03
【网络安全自学篇】八十九.PE文件解析之通过Python获取时间戳判断软件来源地区 PE文件,即Portable Executable,是Microsoft Windows操作系统中用于执行程序的文件格式。它包含了程序的机器码、元数据以及资源信息...
PE文件格式的判断
02-23
本篇文章将深入探讨如何判断一个文件是否PE文件以及其相关的知识点。 首先,了解PE文件的基本结构至关重要。PE文件由多个节(Section)组成,每个节包含不同的数据,如代码、数据或资源。文件头(File Header)...
pestudio-cli:用于分析PE文件中恶意软件使用的模式的Python工具
05-11
pestudio-cli 目标 我们的目标是实现基于python的命令行工具,该工具可用于检查PE文件是否存在已知的恶意模式。 因此,我们 将文件提交给VirusTotal并将结果摘要呈现给用户 将PE文件与已知恶意程序的签名匹配(签名是从PEStudio导入的)。 目前,这些是包装工的签名 检查二进制文件是否使用列入黑名单的库/导入 检查可疑资源 检查二进制字符串以查找列入黑名单的值 显示各种信息并突出显示与PE文件有关的异常,例如PE标头(将来的时间戳),TLS回调或重定位 检查PE文件是否存在100多个功能。 最重要的是,我们检查各种可疑值,其中包括高熵,已知的漏洞,入口点地址,段,标头,数据等异常。 通过调用yara-python库(如果已安装)来包括对yara规则的支持 我们支持多种输出格式,并使输出结果高度可配置: 许多选项可用于指定应执行的分析 输出包含所需信息的xm
pe-tools:一组Python脚本,用于分析PE32PE64二进制文件并提取VB 56标头和Visual Basic p代码功能
05-24
什么? 它是一组python脚本,用于解析Windows可执行文件中的PE和VB5 / 6标头。 peparser模块分析PE标头。 vbparser模块分析VB标头,而pcodes模块允许反汇编p代码功能。 PE签名可以以DER格式(需要pyasn1)保存到文件中。 为什么? pefile模块不接受无效的PE标头。 我们必须分析的一种恶意软件包含无效的IMPORT描述符,它使pefile报告该文件无效。 局限性: 目前,peparser模块仅限于DOS,文件,可选的ans节头。 并从Optional标头列出数据目录,仅分析IMPORT目录(即使条目无效,我们也继续分析)。 目前,pcodes模块无法显示p代码的参数。 去做: 在peparser模块中添加更多数据目录的解析, 在vbparser模块中添加方法以获得Visual Basic结构,而不仅仅是打印它们。 在pcode
python全部面试题
11-23
Python中的`is`用于比较两个对象是否是同一个实例,而`==`则检查两个对象的值是否相等。深拷贝和浅拷贝涉及对象复制的层次,深拷贝会创建一个全新的对象,而浅拷贝仅复制对象的引用。垃圾回收机制自动管理内存,释放...
财务指标选股,财务指标选股方法,Python
09-10
在`选股.py`文件中,可能包含了上述所有功能的实现,而`程序说明.txt`文件则详细解释了每个步骤的逻辑和代码的功能。通过学习这些内容,投资者可以自行定制财务指标,实现个性化的选股策略。 总的来说,结合Python...
判断是不是PE文件
十年磨一剑,霜刃未曾试!
06-10 2549
判断是不是一个PE文件有很多种方法,我们用的方法是:先读取Dos头,判断e_magic是否等于"MZ",然后再读取PE文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效的PE文件。代码如下://选择文件void CPEDlg::OnButton1() { // TODO: Add your control notification handler code here TCHAR tzFilter[] = _T("可执行文件(*.exe)|*.exe|所有文件(*.*)|*.*||"); C
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
热门推荐
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
判断文件是否PE文件是否GUI程序
半个网虫的专栏
05-28 649
BOOL IsWindowsApp( CString strPathName )  {      if ( ! PathFileExists( strPathName ) )          return FALSE;        // 根据 PE 签名判断当前文件是否合法的 PE 文件      HANDLE hFile = CreateFile( strPathName, GE
逆向-C++判定PE文件
写代码的小阿帆的博客
05-21 566
思路分析 经过前面的介绍,我们对PE文件结构已经有了大致了解,与其他文件的不同是DOS部首和PE文件头的内容,我们可以检测DOS_HEADER中的e_magic魔术字字段是否为“MZ”来判断是否PE文件,但这还不够,如果有其他文件的起始字符也是“MZ”不就造成误判了么,所以我们还需验证PE文件头中的SINGATURE是否为“PE00",两者都满足,我们才认为该文件PE文件。 大致思路就是解析PE文件,根据其中的关键字来判断是否PE文件,如果需要,我们还可以通过PE文件头中IMAGE_FILE_HEAD
python 判断文件是否为空
05-15
可以使用 os 模块中的 stat 函数和 st_size 属性来实现判断文件是否为空。具体代码如下: ```python import os def is_file_empty(file_path): return os.stat(file_path).st_size == 0 # 测试示例 if is_file_empty("test.txt"): print("文件为空") else: print("文件不为空") ``` 其中,is_file_empty 函数接受一个参数 file_path,表示文件的路径,返回值为 True 表示文件为空,返回值为 False 表示文件不为空。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值