滴水三期逆向基础系列(番外)-判断PE文件是否为64位

最新推荐文章于 2022-07-05 21:56:23 发布
最新推荐文章于 2022-07-05 21:56:23 发布
阅读量398 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henuyl/article/details/105806127
版权 
BOOL is64Bit = is64BitOS(FilePath_In);

BOOL is64BitOS(
	IN LPSTR lpszFile
){
	LPVOID pDemoBuffer = NULL;
	ReadPEFile(lpszFile, &pDemoBuffer);

	PIMAGE_DOS_HEADER idh = NULL;
	PIMAGE_NT_HEADERS inh = NULL;

	idh = (PIMAGE_DOS_HEADER)pDemoBuffer;
	inh = (PIMAGE_NT_HEADERS)((BYTE *)pDemoBuffer + idh->e_lfanew);
	cout << hex << "机器码为:" << inh->FileHeader.Machine << endl;
	if(inh->Signature != IMAGE_NT_SIGNATURE){
		cout << "PE文件版本可能为64位" << endl;
		return FALSE;
	}
	
	if (inh->FileHeader.Machine == IMAGE_FILE_MACHINE_IA64 || inh->FileHeader.Machine == IMAGE_FILE_MACHINE_AMD64){
		cout << "PE文件版本为64位" << endl;
		return TRUE;
	}else{
		cout << "PE文件版本为32位" << endl;
		return FALSE;
	}
}
DWORD ReadPEFile(
	IN LPSTR lpszFile, 
	OUT LPVOID *pFileBuffer
){
	FILE *pFile = NULL;
	DWORD fileSize = 0;
	LPVOID pTempFileBuffer = NULL;

	pFile = fopen(lpszFile, "rb");
	if(!pFile){
		printf("fopen打开EXE文件失败...");
		return ERROR;
	}
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	pTempFileBuffer = malloc(fileSize);
	memset(pTempFileBuffer,0x00,fileSize);
	if(!pTempFileBuffer){
		printf("pTempFileBuffer空间申请失败...");
		fclose(pFile);
		return ERROR;
	}
	size_t n = fread(pTempFileBuffer, fileSize, 1, pFile);
	if(!n){
		printf("fread数据读取失败...");
		free(pTempFileBuffer);
		fclose(pFile);
		return ERROR;
	}
	*pFileBuffer = pTempFileBuffer;
	pTempFileBuffer = NULL;
	fclose(pFile);
	return fileSize;
}

这个就没什么可说的了,看着开头是MZ,偏移时,该出现PE时没出现,就可能是32位,但是检测到machine的数值,就能确定位数。

henuyl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
delphi 检测系统是xp,vista,win7还是32位,64位
03-15
检测操作系统是xp,vista,win7.检测操作系统是32位,还是64位。
PE文件学习笔记
vurtual的博客
03-14 148
PE的DOC头里面最后一个字节的数字-e8表示文件开头开始过E8个字节是文件真正开始的地方–PE头.注意e8不是一定的. 1 DOC头: WORD e_magic “MZ标记”用于判断是否可执行文件 DWORD e_lfanew PE头相对于文件的偏移,用于定位PE文件 2 标准PE头: WORD Machine 程序运行的CPU型号:0x0任何处理器/0x14C 386及后续处理器 WORD NumberOfSections 文件存在的节的总数,如果要新增或者合并节,要修改这个值 DW
逆向知识点
qq_42021840的博客
01-18 875
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
PE头 解析程序 42作业
m0_63206880的博客
03-22 528
通过海哥的滴代码方式写的 #include <stdio.h> #include <iostream> #include <Windows.h> #include <stdlib.h> #include <string> #pragma warning(disable : 4996) LPVOID ReadPEFile() { LPVOID FILEbuffer(); int size = NULL; FILE* fp; fp = fo
PeStudio如何分辨32和64动态库静态库
along
01-07 650
打开PeStudio,选择你要检查的dll,选择File Header,其中Machine字段表示可执行文件的目标CPU类型:IMAGE_FILE_MACHINE_I386 0x014c x86 IMAGE_FILE_MACHINE_IA64 0x0200 Intel Itanium IMAGE_FILE_MACHINE_AMD64 0x86
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向培训基础教程1-5章(内部资料)
03-16
滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训...
delphi 判断 exe 是否是 x64位可执行文件
11-20
判断系统上的文件是否是 x64 位可执行程序。 delphi 代码,主要是用到 PE 结构中的一些信息来确认。
pE文件操作--移动导出表
qq_31125257的博客
12-28 669
一、什么是导出表? 先回顾一下导出表的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子表;其中地址表存储的是导出的函数地址,名称表存储的是以名字导出的函数的函数名的RVA,序号表存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种表? 这些表是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些表做初始化的工作,如将用到的DLL中的函数地址存储到IAT表; 为了
c语言如何判定是32位系统还是64位系统
junxuezheng的博客
07-05 2377
32位和64位指的是操作系统的位数,映射到C语言中,最直观的就是指针类型占用的字节数。地址占32位,所以指针类型同样占32位,即4字节。地址占64位,所以指针类型同样占64位,即8字节。于是,只需要判断任意一个指针的sizeof值,即可获取到位数。...
判断PE文件(可执行程序exe、动态链接库dll)是32位,还是64位?
maoyeahcom的博客
08-20 2518
方法有很多,本文只介绍三种方法: ================================================================================ 方法一: 最简单粗暴的方法: 直接用记事本或者notepad++(文本编辑软件都可)打开exe文件(dll文件), 会有很多乱码,接下来只需要在第二段中找到PE两个字母,在其后的不远出会出现d? 或者L。 若是L,则证明是32位; 若是d,则证明该程序是64位。 32位(x86): 64位(x64): ====
滴水逆向——PE扩大一个节
sunr.
04-09 547
1.问题描述: 2.代码实现: #include<stdio.h> #include<stdlib.h> #include<windows.h> #define size_shellcode 0x12 #define size_surplus_sizeofheader 0x50 #define messagebox_add 0x76EE2030 ...
c++文件复制 (部分)
猫与火花
10-05 1002
// FileToImage.cpp: implementation of the FileToImage class. // ////////////////////////////////////////////////////////////////////// #include "stdafx.h" #include "FileToImage.h" /////////////////...
PE 中NT头 遍历
网瘾少年丶的博客
05-26 413
LPVOID ReadPEFile(LPSTR lpszFile) { FILE *pFile = NULL; DWORD fileSize = 0; LPVOID pFileBuffer = NULL; //打开文件 pFile = fopen(lpszFile, "rb"); if(!pFile) { printf(" 无法打开 EXE ...
滴水逆向——PE新增一个节
sunr.
04-09 1091
1.问题描述: 2.注意事项: (1)首先判断头部的空白区够不够加节表, 所有的节表后面必须跟40个字节0。所以添加节表时得确保有两个节表大小(即80字节)的连续剩余。 分三种情况:a.头部的最后一个节表后直接可以放下两个节区 b.节表后放不下,但是dos头后pe前可放下 c.前两种情况都不行,需扩大最后...
PE练习代码@硬盘上的PE文件->FileBuffer->ImageBuffer->NewBuffer->存盘
lygl35的博客
06-23 310
实现功能: 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) //主程序 硬盘上的PE文件-》FileBuffer(原封不动的复制到内存)-》ImageBuffer(拉伸为4G空间存储模式)=>NewBuffer(又还原成FileBUffer)=>存盘(保存为PE文件) #include <stdio.h> #include
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
最新发布
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值