PE_Info 之DIY

最新推荐文章于 2022-01-26 23:27:56 发布
最新推荐文章于 2022-01-26 23:27:56 发布
阅读量4.5k 收藏 4
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: descriptor image null import file header
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/4792390
版权
本文分享了一款用C语言编写的PE信息查看工具的源代码,旨在帮助初学者从编程角度理解PE文件。该工具可以输出PE文件的重要成员值,包括MZ签名、PE签名、节表等关键信息。
摘要由CSDN通过智能技术生成

 自己写的PE 信息查看工具(C代码),不甚完美,希望可以帮助初学PE 的读者从编程的角度认识PE文件,Good Luck!
       下面是源代码:

/*///
This program will output the values of important members in the PE file
Good Luck!
///*/
/*///
USAGE: peinfo.exe  DestinationFileName
///*/

#include<windows.h>
#include<stdio.h>
#include<shlwapi.h>

/*
This function is used for outputting the error information 
Please use GetLastError() to retrieve the dwErrorCode,Gook Luck!*/
void OutputErrorInfo(DWORD dwErrorCode)
{
TCHAR FormattedErrorInfo[MAX_PATH];
RtlZeroMemory(FormattedErrorInfo,MAX_PATH);//Initialization

  FormatMessage(FORMAT_MESSAGE_FROM_SYSTEM,
    0,
    dwErrorCode,
    MAKELANGID(LANG_ENGLISH,SUBLANG_ENGLISH_US),//English
    //            0, //The default language of the current system
    FormattedErrorInfo,MAX_PATH,NULL);
    
      //    printf("/nCopyFile()'s ErrorInformation:%s/n",FormattedErrorInfo);
      MessageBox(NULL,FormattedErrorInfo,"Error",MB_OK|MB_ICONINFORMATION);
}
/*//
/*/
//Notice the file pointer all the time,this is very important.


void main(int argc,char *argv[])
{
  HANDLE hDestinationFile=NULL;
//
  DWORD i=0;
  DWORD j=0;
  DWORD k=0;
  DWORD NumberOfBytesRead=0;   //Number of bytes read
  WORD MZSignature=0; // MZ signature
  DWORD ImageNtSignature=0;  //PE signature
  DWORD OffsetOfNewHeader=0;
  DWORD NumberOfSections=0;
  DWORD SizeOfOptionalHeader=0;
  DWORD SizeOfSectionTable=0;           //size of section table

  HANDLE hGlobalAllocatedMemory=NULL;  //use GlobalAlloc();
  HANDLE hGlobalAllocatedMemoryOfDataDirectory=NULL;

  PIMAGE_SECTION_HEADER pImageSectionHeader=NULL; //a pointer to IMAGE_SECTION_TABLE
  PIMAGE_DATA_DIRECTORY  pImageDataDirectory; //a pointer to IMAGE_DATA_DIRECTORY

///
  IMAGE_DOS_HEADER ImageDosHeader;
  IMAGE_NT_HEADERS ImageNTHeaders;
  IMAGE_FILE_HEADER ImageFileHeader;

  IMAGE_OPTIONAL_HEADER ImageOptionalHeader;
  IMAGE_SECTION_HEADER ImageSectionHeader;
//
  IMAGE_EXPORT_DIRECTORY ImageExportDirectory;  //Export and Import
  IMAGE_IMPORT_DESCRIPTOR ImageImportDescriptor;
  PIMAGE_EXPORT_DIRECTORY pImageExportDirectory=NULL;
  PIMAGE_IMPORT_DESCRIPTOR pImageImportDescriptor=NULL;

  DWORD *pExportAddressTableEntry=NULL; //pointer
  DWORD *pExportNamePointerTableEntry=NULL;
  WORD *pExportOrdinalTableEntry=NULL;


  DWORD SizeOfRawData=0;
  DWORD PointerToRawData=0;
    DWORD VirtualAddress=0;
  DWORD CountOfImportDirectoryEntries=0;

  DWORD RvaOfExportDirectoryTable=0;  
  DWORD RvaOfImportDirectoryTable=0;
  DWORD DestinationSectionPosition=0; //Destination Section Position

  DWORD FilePointerToIMAGE_EXPORT_DERECTORY=0; //file pointer
  DWORD FilePointerToImportDirectoryTable=0;
  DWORD FilePointerOfExportedDllName=0;
  TCHAR ExportedDllName[MAX_PATH];
  TCHAR ImportedDllName[MAX_PATH]; //Imported Dll Name

  DWORD FilePointerOfExportAddressTable=0;  //file pointer
  DWORD FilePointerOfExportOrdinalTable=0;
  DWORD FilePointerOfExportNamePointerTable=0;
  
  HANDLE hGlobalMemoryForExportAddressTable=NULL; //Global memory allocated
  HANDLE hGlobalMemoryForExportOrdinalTable=NULL;
  HANDLE hGlobalMemoryForExportNamePointerTable=NULL;

  HANDLE hGlobalMemoryForImportDirectoryTable=NULL;
  HANDLE hGlobalMemoryForImportDirectoryTable2=NULL;
  HANDLE hGlobalMemoryForCount=NULL;

  

//
  RtlZeroMemory(&ImageDosHeader,sizeof(IMAGE_DOS_HEADER));
  RtlZeroMemory(&ImageNTHeaders,sizeof(IMAGE_NT_HEADERS));
  RtlZeroMemory(&ImageFileHeader,sizeof(IMAGE_FILE_HEADER));

  RtlZeroMemory(&ImageOptionalHeader,sizeof(IMAGE_OPTIONAL_HEADER));
  RtlZeroMemory(&ImageSectionHeader,sizeof(IMAGE_SECTION_HEADER));

  RtlZeroMemory(&ImageExportDirectory,sizeof(IMAGE_EXPORT_DIRECTORY));  //Export and Import
  RtlZeroMemory(&ImageImportDescriptor,sizeof(IMAGE_IMPORT_DESCRIPTOR));


  if(argc!=2)
  {
    printf("Error./nUSAGE:peinfo.exe DestinationFileName/n");
    return;
  }

  hDestinationFile=CreateFile(argv[1],
    FILE_WRITE_DATA|FILE_READ_DATA,
    FILE_SHARE_WRITE,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_ARCHIVE,NULL);

  OutputErrorInfo(GetLastError());

//  OpenFile(DestinationPEFile,NULL,NULL);
  if(hDestinationFile==INVALID_HANDLE_VALUE)
  {
    printf("/nCreateFile() fails!Can't open file. Please try again!/n");
    return;
  }

  if(!ReadFile(hDestinationFile,&MZSignature,2,&NumberOfBytesRead,NULL))
  {
    printf("/nReadFile() fails! Please try again./n");
    return;
  }
  if(NumberOfBytesRead!=2)
  {
    printf("/nReadFile() fails! Can't get the MZSignature./n");
    return;
  }

  if(MZSignature!=0x5A4D)
  {
    printf("/nThis file is not a valid PE file./n");
    printf("/nThe value of MZSignature is:%#x/n",MZSignature);
    return;
  }
  SetFilePointer(hDestinationFile,0,NULL,FILE_BEGIN); //Revert the file pointer,this is very important.

  ReadFile(hDestinationFile,&ImageDosHeader,
         sizeof(IMAGE_DOS_HEADER),&NumberOfBytesRead,NULL);
  if(NumberOfBytesRead!=sizeof(IMAGE_DOS_HEADER))
  {
    printf("/nReadFile() fails! Can't get IMAGE_DOS_HEADER./n");
    return;
  }
  else
  {
    printf("/nGet IMAGE_DOS_HEADER successfully!/n");
  }
  Output the information in the IMAGE_DOS_HEADER
  printf("ImageDosHeader.e_magic: %#x/n",ImageDosHeader.e_magic);
  printf("ImageDosHeader.e_crlc: %#x/n",ImageDosHeader.e_crlc); //Relocations
  printf("ImageDosHeader.e_ss: %#x/n",ImageDosHeader.e_ss);
  printf("ImageDosHeader.e_sp: %#x/n",ImageDosHeader.e_sp); 
  printf("ImageDosHeader.e_csum: %#x/n",ImageDosHeader.e_csum); //check sum
  printf("ImageDosHeader.e_ip: %#x/n",ImageDosHeader.e_ip); 
  printf("ImageDosHeader.e_cs: %#x/n",ImageDosHeader.e_cs);
  printf("ImageDosHeader.e_lfarlc: %#x/n",ImageDosHeader.e_lfarlc); //File address of relocation table
  printf("ImageDosHeader.e_oemid: %#x/n",ImageDosHeader.e_oemid);
  printf("ImageDosHeader.e_oeminfo: %#x/n",ImageDosHeader.e_oeminfo); 
  printf("ImageDosHeader.e_lfanew: %#x/n",ImageDosHeader.e_lfanew); //file address of new exe header
//  printf("ImageDosHeader.e_crlc%#x/n",ImageDosHeader.e_sp); 
  //......



  if(ImageDosHeader.e_magic!=MZSignature)  //MZ header
  {
    printf("/nValue of ImageDosHeader.e_magic is:");
    printf("%#x,%#d/n",ImageDosHeader.e_magic,ImageDosHeader.e_magic);
  }

  OffsetOfNewHeader=ImageDosHeader.e_lfanew; //File address of new exe header

  SetFilePointer(hDestinationFile,(LONG)OffsetOfNewHeader,NULL,FILE_BEGIN);
//  OutputErrorInfo(GetLastError());

  ReadFile(hDestinationFile,&ImageNTHeaders,
    sizeof(IMAGE_NT_HEADERS),&NumberOfBytesRead,NULL); //Retrieve IMAGE_NT_HEADERS
  if(NumberOfBytesRead!=sizeof(IMAGE_NT_HEADERS))
  {
    printf("/nReadFile() fails! Cant' get IMAGE_NT_HEADER./n");
    return;
  }

最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE查看器 PEinfo
05-01
用来查看PE文件详细信息的小工具,PE_info
工具篇 PEinfo第一讲
刘明智的专栏
08-22 834
1,编程思路:文件格式检查-〉
概述 - 基础篇01|解密系列
weixin_33755649的博客
02-22 113
概述 - 基础篇01 让编程改变世界 Change the world by program 软件安全是信息安全领域的重要内容,本系列视频教程将涉及到软件相关的加密、解密、逆向分析、漏洞分析、安全编程以及病毒分析防范等。 目前,鉴于国内高校对安全教育重视程度不够,许多知识还是空白。 随着互联网病毒查杀、网游安全、网络安全、个人信息安全等方面人才缺口很大,相关职位待遇高…...
WINDOWS+PE权威指南读书笔记(19)
沐一 · 林 的博客
01-26 668
目录 三个小工具的编写 构造基本窗口程序: 构造窗口界面: 编写相关的资源文件: 通用程序框架的实现: PEDump 的实现: 编程思路: PEDump 代码中的数据结构: PEDump 编码: 运行PEDump: PEComp 的实现: 编程思路: 定义资源文件: PEComp 编码: 运行 PEComp: PElnfo 的实现: PElnfo 编码: 运行 PElnfo: 小结: 三个小工具的编写 这三个小工具分别是: 口 PEDump: PE 文件字节码
PE结构->【输入表】Import【上】
u011513939的博客
06-21 302
使用工具:PEinfo.exe, hello.exe,UE输入函数 在代码分析或编程中经常遇到“输入函数(Import Functions,也称导入函数)”的概念。 这里我们就来解释下,输入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于相关的DLL 文件中,在调用者程序中只保留相关的函数信息(如函数名、DLL 文件名等)就可以。 以上是咱这次实验的小青蛙哈~灰常简单
DIYpe(自定义pe)
07-17
DIYpe(自定义PE)】:个人化Windows预安装环境(WinPE)制作教程 Windows预安装环境(Windows Preinstallation Environment,简称WinPE)是微软提供的一种轻量级操作系统,用于执行系统安装、故障恢复和系统部署...
PE原理与PEDIY
11-12
PE原理与PEDIY】详解 PE,全称为Windows PreInstallation Environment,即Windows预安装环境,是一种基于Windows XP Professional内核的最小化Win32子系统。它设计用于安装程序、网络共享连接、基本过程自动化...
DIYPE解析器(做事无痕)
02-05
DIYPE解析器,又被称为“做事无痕”,是一款专门针对PE(Portable Executable)文件格式进行解析的工具。在IT领域,尤其是系统分析、逆向工程和恶意软件检测中,PE解析器扮演着至关重要的角色。PE文件格式是Windows...
U盘量产PE DIYPE
02-21
可以自己DIY PE 量产U盘做UD分区PE
DIY_hlstudio_WIN7PE【69M】网络版【89M】-附件资源
03-05
DIY_hlstudio_WIN7PE【69M】网络版【89M】-附件资源
VS2010写的PEinfo(PE文件查看器)源码.rar
07-10
学习了某论坛的解密系列教程,使用Visual Studio 2010写的PEinfo(PE文件信息查看器),实现了启动软件的‘闪屏’功能,就是打开软件时先出一个图片,图片消失后再出程序界面,附全套源码,欢迎一起学习和研究。
PE文件查看器(PEInfo)v1.0.0.1绿色免费版
07-28
PE文件查看器(PEInfo)是一款Windows可执行文件信息查看软件,可查看.exe .dll .sys .ocx等PE格式的程序内部信息。
PEInfo 源码
04-13
获取PE文件的PE信息
PEinfo工具
03-13
PEINFO,可以方便看PE文件,破解必备,也是学习PE文件的首选
PEInfo源码
03-09
PEInfo源码,小甲鱼课程的,我重新编写了一些导入表和导出表,功能增加了不少。
PE-INFO
zozoiiiiiiii的专栏
08-29 2291
PEInfo:(目标)(1).独立开发PE分析和修改工具, 并将包含代码的节内容反汇编显示出来.http://www.anqn.com/jiamijiemi/gongjujiqiao/2008-11-04/a09103385.shtml(2).运用进程调试知识, 显示目标程序所运行的指令序列. (1):pe分析#include int main(int argc ,char* ar
WINDOWS+PE权威指南读书笔记(9)
沐一 · 林 的博客
10-15 480
目录 PE中的导出表 导出表作用、链接库功能、获得导出函数地址: 构造含导出表的 PE 文件: 安转MASM32软件包: DLL 源代码,编写def,Inc头文件、编译链接: 使用导出函数: 导出表数据结构 导出表定位: 导出目录结构 IMAGE_EXPORT_DIRECTORY: 导出表实例分析: PE中的导出表 这里重点介绍与导入表刚好相反的导出表,它描述了导出表所在 PE 文件向其他程序提供的可供调用的函数的情况。 导出表作用、链接库功能、获得导出函数地址: 导出表的作
模仿LordPE写了个PE解析工具
W Blog
02-01 3994
能实现基本的信息获取 区段信息 数据目录信息 导入表函数分析 导出表函数分析,能同时解析只序号导出和以函数名序号同时导出的函数 FLC计算 需要源码的可以留邮箱。
WindowsPE权威指南 第二章 小工具 PEInfo代码的C语言实现
weixin_30785593的博客
11-26 495
主程序代码 PEInfo.c 1 #include <Windows.h> 2 #include<Richedit.h> 3 #include "resource.h" 4 5 6 HINSTANCE hInstance; 7 HWND hWinEdit; 8 9 10 11 12 /* ...
"Windows PE原理与DIY详解:自定义最小核心服务,灵活实用的操作系统
PE原理与PEDIY是指利用Windows PE系统创建一个自定义的最小Win32子系统,它具有最少核心服务,可以用于运行Windows安装程序、连接网络共享、自动化基本过程以及执行硬件验证。PE系统一般安装在U盘或者CD上,但也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值