滴水三期逆向基础系列(番外)-判断PE文件是否为64位

最新推荐文章于 2021-03-14 13:48:07 发布
最新推荐文章于 2021-03-14 13:48:07 发布
阅读量434 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henuyl/article/details/105806127
版权 
BOOL is64Bit = is64BitOS(FilePath_In);

BOOL is64BitOS(
	IN LPSTR lpszFile
){
	LPVOID pDemoBuffer = NULL;
	ReadPEFile(lpszFile, &pDemoBuffer);

	PIMAGE_DOS_HEADER idh = NULL;
	PIMAGE_NT_HEADERS inh = NULL;

	idh = (PIMAGE_DOS_HEADER)pDemoBuffer;
	inh = (PIMAGE_NT_HEADERS)((BYTE *)pDemoBuffer + idh->e_lfanew);
	cout << hex << "机器码为:" << inh->FileHeader.Machine << endl;
	if(inh->Signature != IMAGE_NT_SIGNATURE){
		cout << "PE文件版本可能为64位" << endl;
		return FALSE;
	}
	
	if (inh->FileHeader.Machine == IMAGE_FILE_MACHINE_IA64 || inh->FileHeader.Machine == IMAGE_FILE_MACHINE_AMD64){
		cout << "PE文件版本为64位" << endl;
		return TRUE;
	}else{
		cout << "PE文件版本为32位" << endl;
		return FALSE;
	}
}
DWORD ReadPEFile(
	IN LPSTR lpszFile, 
	OUT LPVOID *pFileBuffer
){
	FILE *pFile = NULL;
	DWORD fileSize = 0;
	LPVOID pTempFileBuffer = NULL;

	pFile = fopen(lpszFile, "rb");
	if(!pFile){
		printf("fopen打开EXE文件失败...");
		return ERROR;
	}
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	pTempFileBuffer = malloc(fileSize);
	memset(pTempFileBuffer,0x00,fileSize);
	if(!pTempFileBuffer){
		printf("pTempFileBuffer空间申请失败...");
		fclose(pFile);
		return ERROR;
	}
	size_t n = fread(pTempFileBuffer, fileSize, 1, pFile);
	if(!n){
		printf("fread数据读取失败...");
		free(pTempFileBuffer);
		fclose(pFile);
		return ERROR;
	}
	*pFileBuffer = pTempFileBuffer;
	pTempFileBuffer = NULL;
	fclose(pFile);
	return fileSize;
}

这个就没什么可说的了,看着开头是MZ,偏移时,该出现PE时没出现,就可能是32位,但是检测到machine的数值,就能确定位数。

henuyl
关注
专栏目录
滴水_PE结构_pdf.zip
08-04
滴水逆向PE结构高清 PE文件是Windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅用在Windows系列操作系统下。 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。
验证文件32位还是64位
weixin_44231643的博客
08-20 246
概述 有时候安装程序打包的时候,需要将一些依赖库一起打包进去。防止应用程序在其它环境下无法启动。这时一般会从C:\Windows\System32或者C:\Windows\SysWOW64文件夹内拷贝我们需要的依赖库。 不能简单的认为System32里的文件就是32位的,SysWOW64文件夹的文件就是64位的。通过对部分DLL文件测试,发现System32里的文件其实是64位的,而SYSWOW...
逆向工程实验——lab6(linux、windows64位逆向)
Onlyone_1314的博客
02-02 1279
实验目录1. Yet another crackme (or rather keygenme).(1)简单:通过补丁,打开/关闭所有5个功能。(2)中等:生成任意功能开启/关闭的序列号2. CTF(看雪.京东 2018CTF 第十二题 破解之道)第一步:第二步:第三步:第四步:第五步:第六步:3. 某文件被加密了 1. Yet another crackme (or rather keygenme). Executables: Linux x64 Windows x64 It is just to be
PE头解析_手动(滴水
若面朝大海边竹妮春暖花开的博客
04-21 501
文件存储在硬盘上和在内存上加载时文件内容几乎相同,位置不同 打开notepad.exe在硬盘上是从0开始,在内存中是从100000开始 应用程序、DLL和SYS程序的开头全都是4D 5A,他们都是PE文件 可以看到文件总是分成一段一段的,中间有很多0,我们叫它分节 硬盘中的段之间空隙小,内存中空隙大 文件中有一部分是代码,有一部分是数据,有的数据是可读可写,有的数据是只能读不能写 老的编译器硬盘...
delphi 检测系统是xp,vista,win7还是32位,64位
03-15
检测操作系统是xp,vista,win7.检测操作系统是32位,还是64位
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
"滴水逆向3期作业"是一个关于逆向工程的学习项目,重点在于理解C++源码中如何处理文件,特别是与PE(Portable Executable)文件格式相关的操作。PE文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水逆向培训基础教程1-5章(内部资料)
03-16
滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训基础教程1-5章(内部资料)滴水逆向培训...
滴水逆向三期 基础班 课件全部
01-14
滴水逆向三期 基础班 课件全部
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
delphi 判断 exe 是否是 x64位可执行文件
11-20
判断系统上的文件是否是 x64 位可执行程序。 delphi 代码,主要是用到 PE 结构中的一些信息来确认。
PE文件分析软件 附 源代码
01-05
在详细学习了PE文件格式之后,自己写的一款PE文件分析软件,
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
pefile 掌握 开发 pefile是一个多平台Python模块,用于解析和使用。 PE文件头中包含的大多数信息以及所有部分的详细信息和数据都是可访问的。 Windows头文件中定义的结构将作为PE实例中的属性进行访问。 字段/属性的命名将尝试遵循那些标头中的命名方案。 只有为方便起见而添加的快捷方式才会脱离该约定。 pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查头 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对不同类型的文件的外观的
滴水逆向——PE导入表注入
sunr.
04-19 1129
1.注入概念: 2.导入表注入流程: 第一步: 根据目录项(第二个就是导入表)得到导入表信息: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMA...
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
weixin_44584614的博客
02-20 2113
代码如下: #include "stdafx.h" #include "string.h" #include <malloc.h> #include <windows.h> // exe->filebuffer 返回值为计算所得文件大小 int ReadPEFile(char* file_path,PVOID* pFileBuffer) { FILE* pf...
PE文件学习笔记
vurtual的博客
03-14 180
PE的DOC头里面最后一个字节的数字-e8表示文件开头开始过E8个字节是文件真正开始的地方–PE头.注意e8不是一定的. 1 DOC头: WORD e_magic “MZ标记”用于判断是否可执行文件 DWORD e_lfanew PE头相对于文件的偏移,用于定位PE文件 2 标准PE头: WORD Machine 程序运行的CPU型号:0x0任何处理器/0x14C 386及后续处理器 WORD NumberOfSections 文件存在的节的总数,如果要新增或者合并节,要修改这个值 DW
PE文件格式学习(一):概述
tutucoo
11-07 723
1.PE文件简介 PE文件格式是Windows系统中应用最广泛的文件格式之一,我们常见的可执行文件.exe、动态链接库.dll以及驱动文件.sys等都是PE文件格式的。 可以通过十六进制工具如010editor查看PE文件,可以看到PE文件都有一个共同的特点,就是它们的最开头都是4D5A,也就是ASCII字符MZ。见下图 在Windows系统“眼里”,其实只有PE文件,后缀名只是用于关联打开程序...
PE文件复看:打印PE头信息
KKMI的博客
05-31 853
PE文件解析打印头部信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件的信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
滴水三期:全面深入的编程与逆向工程课程
"滴水三期"是一系列全面的计算机技术教程,涵盖了从基础的计算机系统原理到高级的Windows编程和逆向工程的知识。课程始于2015年,共计96课时,逐步深入地讲解了从进制转换、逻辑运算到C语言编程、PE文件结构分析、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值