WindowsPE

最新推荐文章于 2022-10-11 16:44:10 发布
最新推荐文章于 2022-10-11 16:44:10 发布
阅读量452 收藏
点赞数
分类专栏: 这是神马 文章标签: descriptor header import file null dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotrayas/article/details/7994180
版权 
// windows pe code; 
// by:lostgg

#include <windows.h>
#include <stdio.h>
#include <ctime>

#define ERROR_HANDLE(cc,ret)	\
		{		\
		cc			;\
		return	ret	;\
		}


struct MPEStruct
{
	PIMAGE_DOS_HEADER pDos;
	PIMAGE_NT_HEADERS pNt ;//= (PIMAGE_NT_HEADERS)((LONG)lpMapAddress + pDos->e_lfanew);
	PIMAGE_SECTION_HEADER pSection;
	PIMAGE_IMPORT_DESCRIPTOR pImport;
	PIMAGE_EXPORT_DIRECTORY  pExport;
};

int VaToVf(PIMAGE_SECTION_HEADER fristSection,u_long count,u_long address,u_long baseaddr)
{
	PIMAGE_SECTION_HEADER tmpPSections = fristSection;
	for(int i = 0; i != count; ++i)
	{
		tmpPSections = fristSection + i;
		if(address > tmpPSections->VirtualAddress &&
			address < (tmpPSections->VirtualAddress + tmpPSections->Misc.VirtualSize))
		{
			return (address - tmpPSections->VirtualAddress + tmpPSections->PointerToRawData + baseaddr);
		}
	}
	return 0;
}

int main(int argc,char* argv[])
{
	//打开文件
	HANDLE hFile = CreateFile("D:\\cc.exe",GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
	if(hFile == INVALID_HANDLE_VALUE)
		ERROR_HANDLE(printf("CreateFile Error:%d\r\n",GetLastError()),0);
	//创建映射对象
	HANDLE hMapFile = CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,0);
	if(hMapFile == NULL)
		ERROR_HANDLE(printf("CreateFileMapping Error:%d\r\n",GetLastError()),0);
	//获取映射对象地址
	LPVOID lpMapAddress = MapViewOfFile(hMapFile,FILE_MAP_READ,0,0,0);
	if(lpMapAddress == NULL)
		ERROR_HANDLE(printf("MapViewOfFile Error:%d\r\n",GetLastError()),0);
	

	MPEStruct pe;//自定义PE结构的结构体

	pe.pDos = (PIMAGE_DOS_HEADER)lpMapAddress;	//DOS头

	pe.pNt = (PIMAGE_NT_HEADERS)((LONG)lpMapAddress + pe.pDos->e_lfanew); //从DOS头获取NT头的文件偏移
	printf("CPU:%x\r\n",pe.pNt->FileHeader.Machine);
	printf("Section table count:%d\r\n",pe.pNt->FileHeader.NumberOfSections);
	time_t utm = pe.pNt->FileHeader.TimeDateStamp;

	//u_long type to tm_t;
	tm _tm;
	localtime_s(&_tm,&utm);
	printf("Create time:%d-%d-%d %d:%d:%d\r\n",_tm.tm_year + 1900,_tm.tm_mon + 1,_tm.tm_mday,_tm.tm_hour,_tm.tm_min,_tm.tm_sec);

	/*---------------------------------此处判断有问题↓Question1 star--------------------------------
	------------------------------------------------------------------------------------------------*/
	if((pe.pNt->FileHeader.Characteristics & IMAGE_FILE_32BIT_MACHINE))
		printf("FileType:exe\r\n");
	else if((pe.pNt->FileHeader.Characteristics & IMAGE_FILE_DLL))
		printf("FileType:dll\r\n");
	else
		printf("Unknown type:0x%xh\r\n",pe.pNt->FileHeader.Characteristics);
	/*---------------------------------此处判断有问题↑Question1 end--------------------------------
	------------------------------------------------------------------------------------------------*/

	printf("Base address:0x%p\r\n",/*程序基地址*/
		pe.pNt->OptionalHeader.ImageBase);
	printf("Run address :0x%p\r\n",/*基地址+偏移地址*/
		pe.pNt->OptionalHeader.ImageBase + pe.pNt->OptionalHeader.AddressOfEntryPoint);

	//节表
	pe.pSection = (PIMAGE_SECTION_HEADER)((int)&pe.pNt->OptionalHeader + pe.pNt->FileHeader.SizeOfOptionalHeader);
	//输出节表名字
	PIMAGE_SECTION_HEADER tmpPSection = 0;
	for(int i = 0;i != pe.pNt->FileHeader.NumberOfSections; ++i)
	{
		tmpPSection = pe.pSection + i;
		printf("Block:%s\r\n",/*块的名字 例如.text*/
			tmpPSection->Name);
		printf("Property:0x%x\r\n",/*块的属性,例如共享,只读 ---根据输出的值查询MSDN*/
			tmpPSection->Characteristics);
	}

	//输出表
	if(pe.pNt->OptionalHeader.DataDirectory[0].VirtualAddress == 0 )
	{
		printf("--------------------------------------------------\r\n");
		printf("                 no find explort information      \r\n");
		printf("--------------------------------------------------\r\n");
	}
	else
	{
		//输出表信息 此处没有写. 方法同下输入表.
	}
	if(pe.pNt->OptionalHeader.DataDirectory[1].VirtualAddress == 0 )
	{
		printf("--------------------------------------------------\r\n");
		printf("                 no find import information!      \r\n");
		printf("--------------------------------------------------\r\n");
	}
	else
	{
		//输入表信息
		pe.pImport = (PIMAGE_IMPORT_DESCRIPTOR)VaToVf(pe.pSection,pe.pNt->FileHeader.NumberOfSections,pe.pNt->OptionalHeader.DataDirectory[1].VirtualAddress,(u_long)lpMapAddress);
		PIMAGE_IMPORT_DESCRIPTOR tpImport = pe.pImport;
		while(tpImport->Name)
		{
			const char* str = (const char*)VaToVf(pe.pSection,pe.pNt->FileHeader.NumberOfSections,tpImport->Name,(u_long)lpMapAddress);
			printf("--------------------------------------------------\r\n");
			printf("                 Import File:%s                     \r\n",str);
			printf("--------------------------------------------------\r\n");
			PIMAGE_THUNK_DATA pThunk = (PIMAGE_THUNK_DATA)VaToVf(pe.pSection,pe.pNt->FileHeader.NumberOfSections,tpImport->OriginalFirstThunk,(u_long)lpMapAddress);
			if(pThunk == 0)
				continue;
			while(pThunk->u1.Function)
			{
				const char* funname = (const char*)VaToVf(pe.pSection,pe.pNt->FileHeader.NumberOfSections,pThunk->u1.AddressOfData + 2,(u_long)lpMapAddress);
				printf("Import funciton:%s\r\n",funname);
				pThunk++;
			}
			tpImport++;
		}
	}


	return 0;
}


 

hotrayas
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows PE
02-28
个人最喜欢的Windows PE,保证安全无毒,内部各种工具齐全,运行稳定占用空间少,居家旅行必备,ISO格式可直接烧录也可解压。
WindowsPE权威指南源码
12-22
《Windows PE权威指南源码》是一本专注于Windows Preinstallation Environment(Windows PE)开发与学习的专业资源,对于深入了解和掌握这一技术具有极高的价值。Windows PE是微软推出的一个轻量级的Windows子系统,...
pe文件中的3处Characteristics
yellow的博客
02-09 2749
首先:pe文件结构 1、DOS头,对应结构体IMAGE_DOS_HEADER。 2、DOS存根,大小不定,由编译器决定,没有对应的结构体。 3、NT头,对应结构体IMAGE_NT_HEADER,包括3部分定义如下: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEAD...
[读书][笔记]WINDOWS PE权威指南《零》PE基础
二次元怪兽的博客
05-26 3039
参考: https://zhuanlan.zhihu.com/p/47075612 https://docs.microsoft.com/zh-cn/windows/win32/debug/pe-format <加密与解密 第4版> <Windows PE 权威指南> PE 基础 概念 PE文件是windows系统中遵循PE结构的文件,比如以.exe .dll为后缀名的文件以及系统驱动文件sys。 具体PE文件类型: 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库
官网版本的windows pe系统启动盘制作过程
m0_51527921的博客
12-29 6052
官网版本的windows pe系统启动盘制作过程 创建可启动 Windows PE 介质
[读书][笔记]WINDOWS PE权威指南《三》PE的原理和基础 之 第三章 PE文件头
二次元怪兽的博客
02-05 2088
文章目录3.1 PE的数据组织方式3.2 与PE有关的基本概念3.2.1 地址3.2.2 指针3.2.3 数据目录3.2.4 节3.2.5 对齐3.2.6 Unicode字符串3.3 PE文件结构3.3.1 16位系统下的PE结构3.3.2 32位系统下的PE结构3.3.3 程序员眼中的PE结构3.4 PE文件头部解析3.5 数据结构字段详解3.6 PE内存映像3.7 PE文件头编程3.8 总结 3.1 PE的数据组织方式 3.2 与PE有关的基本概念 3.2.1 地址 3.2.2 指针 3.2.3 数据目
如何制作WindowsPE启动盘(极简)
weixin_56306210的博客
10-11 4899
如何制作WindowsPE启动盘(极简)
Windows PE安装 & DiskGenius 备份/恢复系统
xiaopang_love_study的博客
11-10 1万+
系统有时候中毒,或者卡顿时。需要用DiskGenius来恢复系统。本文介绍如何下载Windows PE并安装。并用DiskGenius备份系统。 一、PE下载安装 点开Windows AIK与ADK 安装说明 - DiskGenius 在最新版的“20H”上点右键,点“复制链接地址” 打开迅雷软件,点新建,这时候,下载窗口自动弹出。点立即下载。 打开得到的adkwinpesetup.exe,全部选择默认选项,一路“下一步”,直到结束。 二、备份系统 打开DiskGenius软...
Windows PE(WinPE)
allway2的博客
02-11 6317
Windows 10的Windows PE(WinPE)是一个小型操作系统,用于安装,部署和修复台式机版(家庭版,专业版,企业版和教育版),Windows Server和其他Windows操作系统的Windows 10。从Windows PE,您可以: 在安装Windows之前,请先设置硬盘驱动器。 通过使用来自网络或本地驱动器的应用程序或脚本来安装Windows。 捕获并应用Wind...
电脑开机时多出来个 Windows PE 操作系统选项? 如何去除掉?
热门推荐
qq_52949751的博客
06-28 3万+
1
创建自定义 Windows PE 映像的过程
子曰小玖的博客
04-30 1839
一、准备 到微软下载AIK,并安装。我用的是6001.18000.080118-1840-kb3aik_cn.iso 二、创建自定义 Windows PE 映像的过程 0、使用copype.cmd创建本地 Windows PE 构建环境 copype.cmd x86 c:\winpe_x86 1、使用 ImageX 将基本映像 (Winpe.wim) 应用到本地共享目录。例如, ...
windows pe安装系统
HackFun物联网开发实验室
01-23 2297
https://wenku.baidu.com/view/4976ea3267ec102de2bd8937.html U盘版Windows PE启动盘制作方法 windows pe u盘版 https://jingyan.baidu.com/article/4853e1e513a1061909f726ac.html windows pe u盘版安装系统 https://jingy
WINpe镜像,windowsPE镜像
09-21
该镜像为windows的X86PE.iso镜像,用于U盘安装系统使用,将镜像刻录到U盘,然后将需要安装的镜像传进去即可。
Windows PE 格式详解.zip
03-16
Windows PE(Portable Executable)格式是Microsoft Windows操作系统中用于可执行文件、动态链接库(DLL)、驱动程序等的文件格式。这种格式包含了程序运行所需的所有信息,如代码、数据、元数据以及资源。以下是PE...
WINDOWSPE权威指南
08-15
《WINDOWS PE权威指南》是一本深入探讨Windows Preinstallation Environment(简称Windows PE)的专业书籍,PDF版本清晰易读,带有书签,便于读者快速导航。Windows PE是微软开发的一个小型操作系统环境,主要用于...
智能锁(远程开锁、指纹开锁、密码开锁、刷卡开锁)
07-19
按键功能:输入密码,并能根据密码来决定开门还是进入管理员模式 密码功能:能够更换开门密码/管理员密码,且具有掉电不丢失功能 刷卡功能:能够判断卡片是否登记;刷卡开门;删除/登记开门卡片 指纹功能:指纹开门;删除/登记指纹 语音功能:播放不同功能的语言提示 门铃功能:机械开关控制门铃响 阿里云服务器接入:连接阿里云服务器,可以上报设备信息,也可以通过服务器端无线控制,如修改密码、恢复出厂设置、调节音量大小、远程开门等
基于Arduino的循迹小车项目设计与代码
最新发布
07-19
一. 硬件需求: Arduino Uno 或 Nano L298N 电机驱动模块 直流电机与车轮 红外循迹传感器模块 电源(如电池组) 小车底盘 二. 硬件连接: 1.电机驱动连接: 将电机1的两根线连接到L298N的OUT1和OUT2。 将电机2的两根线连接到L298N的OUT3和OUT4。 将L298N的IN1、IN2、IN3和IN4分别连接到Arduino的数字引脚(如:IN1 -> D8, IN2 -> D9, IN3 -> D10, IN4 -> D11)。 将L298N的ENA和ENB分别连接到Arduino的数字引脚(如:ENA -> D5, ENB -> D6,作为PWM控制)。 2.红外循迹传感器连接: 将传感器模块的VCC和GND连接到Arduino的5V和GND。 将传感器模块的输出引脚分别连接到Arduino的模拟或数字引脚(如:传感器1的OUT -> A0,传感器2的OUT -> A1)。
【故障诊断】基于矮猫鼬优化算法DMOA优化长短记忆网络LSTM实现故障诊断附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【故障诊断】基于金枪鱼优化算法TSO优化长短记忆网络LSTM实现故障诊断附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
windows PE
08-09
Windows PE是一种轻量级的操作系统,用于故障诊断、系统维护和恢复。它可以在计算机启动时运行,而不需要安装到硬盘上。根据引用,要查看可运行的程序,可以在CMD命令行工具中输入"dir *.exe /w"命令来查看。另外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值