确定PE文件有效性

最新推荐文章于 2022-12-09 11:17:54 发布
最新推荐文章于 2022-12-09 11:17:54 发布
阅读量2k 收藏
点赞数
分类专栏: 源码学习 文章标签: image header dos 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzfqh/article/details/349794
版权

1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件头第一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ 5A4Dh  ,可知两者一致。

2 然后使用e_lfanew来定位PE header

3 判断IMAGE_NT_HEADERS 结构的signature成员值是否等于"PE/0/0",也就是检查PE header的第一个字的值是否等于IMAGE_NT_SIGNATURE。原因如1,在windows.inc的等值定义IMAGE_NT_SIGNATURE equ 00004550h .如果两者匹配则认为这个文件是有效的PE文件。

gzfqh
关注
专栏目录
手写PE结构,提示不是有效的win32程序
05-21
自己模仿别人的写的,不知道哪里出错了,希望可以帮下
PE文件有效性判断
zcgzdhxm的专栏
09-28 1110
  PE文件格式被组织为一个线性的数据流。开始的是MS-DOS头,然后是实模式的程序根,再就是PE文件签名,紧随其后的便是PE文件头和可选头。在这之后,出现的是所有的节头,再跟着的就是所有节的节身。文件常以一些其它方面的杂项信息,包括重定位信息、符号表信息、行数信息以及字串表数据等作为结尾。所有这些都可以通过查看图1中的图象信息更轻松地被消化吸收。
c语言怎么判断文件类型,判断你的文件是否为合法的PE文件和应用类型
weixin_30929623的博客
05-23 539
作者:赖锋源代码下载可能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用程序的图标了! 你不想写一个根据后缀名就确定应用程序类型的程序吧!这样太哪个了吧!解决方法就是根据PE文件格式来解释。关于PE文件格式的资料现在网上汗牛充栋,这里我就不再解释,有兴趣的朋友可以上网查阅PE文件格式资料。我就简单的用代码去演示如何判断...
PE教程2: 检验PE文件有效性
benny5609的专栏
06-16 933
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
PEiD检测 不是有效PE文件
哼哼唧唧
12-09 5247
在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效PE文件,在此记录一下原因。,如果显示不是有效PE文件,说明你的可执行文件为64位,不能用PEiD检测。下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版。下载后想使用中文,从右侧按钮的设置中,选择语言为中文即可。直接把64位可执行文件拖入即可查看信息,这里显示。,即没有加壳,就可以直接用IDA进行调试分析啦~附Exeinfo PE下载地址。
二进制文件/PE文件对比工具非常好用
07-28
7. **元数据对比**:现代PE文件可能包含元数据,如.NET框架的元数据,对比这些可以确定文件的运行时行为是否被改变。 8. **安全特性**:如ASLR(地址空间布局随机化)、DEP(数据执行保护)等安全标志的比较,可以...
使用程序判断一个文件是否是有效PE文件.pdf
12-24
然后,`NtHeader`指向NT头,检查其`Signature`字段来验证PE文件有效性。如果这两个字段都符合预期的值,那么程序会认为这个文件是一个有效PE文件。 需要注意的是,代码中使用了类型转换`(PIMAGE_DOS_HEADER)...
易语言PE文件资源查看
08-22
通过以上功能,易语言PE文件资源查看源码可以帮助开发者深入理解PE文件的内部结构,进行资源的查找、修改、提取等工作,对于软件开发和逆向工程具有重要意义。16120191218095053可能是该源码系统的版本号或时间戳,...
PE文件格式剖析——解剖PE格式文件
10-25
- **签名 (Signature)**:固定值`"PE\0\0"`,用于确认文件是否为有效PE文件。 - **文件头 (File Header)**:提供了关于文件的基本信息,如机器类型、节的数量等。 - **可选头 (Optional Header)**:包含了更详细的...
PE文件信息查看工具
06-16
总之,PE Tools是一款强大的PE文件分析工具,通过深入剖析PE文件的各个组成部分,为用户提供了一种全面了解和调试Windows应用程序的有效途径。无论你是编程新手还是经验丰富的专业人士,PE Tools都将是你不可或缺的...
PEiD 0.95 PE文件检测
10-16
最新版本功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名
PE文件格式的判断
02-23
判断文件是否可执行文件(包括DLL)
PE文件-检验PE文件有效性--转自iczelion,附vc示范
jiangtongcn的专栏
07-16 1255
同样我首先附上Iczelion的PE文档:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们
使用程序判断一个文件是否是有效PE文件
bcbobo21cn的专栏
03-20 1101
判断一个文件是否为有效PE文件,判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是一个有效PE文件; VC6,单文档工程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here...
判断是不是PE文件
十年磨一剑,霜刃未曾试!
06-10 2564
判断是不是一个PE文件有很多种方法,我们用的方法是:先读取Dos头,判断e_magic是否等于"MZ",然后再读取PE文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效PE文件。代码如下://选择文件void CPEDlg::OnButton1() { // TODO: Add your control notification handler code here TCHAR tzFilter[] = _T("可执行文件(*.exe)|*.exe|所有文件(*.*)|*.*||"); C
bugku-逆向-6、逆向入门
Onlyone_1314的博客
09-26 6944
首先下载admin.exe文件,先用PEiD查壳 发现竟然不是有效PE文件,用010Editor打开: 发现前面有提示信息:data:image/png;base64,是base64转码的PNG图片,且其格式是HTML中引用Base64图片的格式,我们只要给它在最前面加上 闭合: 之后就可以把它作为HTML文件中引用的Base64图片打开: 扫描二维码: 得到flag:bugku{inde_9882ihsd8-0} 也可以直接在线Base64编码转图片https://tool.jisuapi.c
PE文件格式
bairny的专栏
05-22 2439
PE教程1: PE文件格式一览考虑到早期写的PE教程1是自己所有教程中最糟糕的一篇,此番决心彻底重写一篇以飨读者。PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植
ida 找不到pe文件
最新发布
09-10
IDA(Interactive Disassembler)是一款功能强大的逆向工程工具,它用于分析各种类型的目标文件和可执行文件,包括PE(Portable Executable)文件,这是Windows操作系统下可执行文件和DLL文件的标准格式。 如果你在使用IDA时遇到了“找不到PE文件”的错误,可能是因为以下原因: 1. 打开了非PE文件:确保你正在尝试打开的文件是一个有效PE格式文件。如果文件损坏或者不是PE格式,IDA将无法识别并分析它。 2. 文件路径问题:确保文件路径没有包含非ASCII字符或者过长的路径,这可能会导致IDA无法正确读取文件。 3. IDA版本问题:检查你使用的IDA版本是否支持你正在尝试分析的文件类型。有时,特定版本的IDA可能不支持最新的PE文件格式或者某些特定的变体。 4. 权限问题:确保你对文件有读取权限,没有足够权限可能会导致IDA无法访问文件。 5. IDA配置问题:有时候IDA的配置或者插件问题可能导致无法正确加载PE文件,可以尝试重启IDA或者查看是否有更新的版本可用。 解决方法可以是: - 确认文件的完整性和格式。 - 检查文件路径和权限设置。 - 使用最新版本的IDA,并确保所有必要的插件都已正确安装。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值