PE文件-检验PE文件的有效性--转自iczelion,附vc示范

最新推荐文章于 2019-06-28 23:34:15 发布
最新推荐文章于 2019-06-28 23:34:15 发布
阅读量1.2k 收藏
点赞数
分类专栏: C++ VC 汇编 Win32汇编 文章标签: image header callback dos 数据结构 file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangtongcn/article/details/6611406
版权
本文介绍了如何校验一个文件是否为有效的PE文件,主要关注PE header的IMAGE_NT_HEADERS结构。通过检查文件头部的DOS MZ header的e_lfanew成员定位到PE header,然后对比Signature字段的值是否为'PE'来确认其有效性。附带了VC代码示例进行验证。
摘要由CSDN通过智能技术生成

同样我首先附上Iczelion的PE文档:

如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现前面的假设。

我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下:

IMAGE_NT_HEADERS STRUCT
   Signature dd ?
   FileHeader IMAGE_FILE_HEADER <>
   OptionalHeader IMAGE_OPTIONAL_HEADER32 <>
IMAGE_NT_HEADERS ENDS

Signature dword类型,值为50h, 45h, 00h, 00hPE\0\0)。 本域为PE标记,我们可以此识别给定文件是否为有效PE文件。
F

最低0.47元/天 解锁文章
jiangtongcn
关注
专栏目录
关于PE文件中的校验
行者无疆的专栏
07-12 3304
最近研究PE文件结构,每看一次文档都有新的收获,证明有很多东西还是理解得不深刻。 今天做了关于checksum校验和的实验,确认了在应用层,系统加载程序的时候,CreateProcess不会对exe做校验检验,LoadLibrary不会对dll做检验检验。按文档说,这些都是不需要检验的,没有问题,另外一个问题就是要确认驱动程序加载的时候需要检验校验和。 下面内容摘自PECOFF-v8
PE文件校验和(CheckSum)
qq_39708161的博客
02-18 3099
IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的 校验值的计算很简单: 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉) 以WORD为单位对数据块进行累加,记住要用ad...
PE教程2: 检验PE文件有效性
benny5609的专栏
06-16 932
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
计算PE文件校验
02-02 225
// 计算PE校验和 #include <ImageHlp.h> #pragma comment(lib,"Imagehlp.lib") void Getchecksum(TCHAR* pszPath) { /* Code by Lthis 转载请注明出处 */ DWORD dwHeaderSum, dwCheckS...
iczelion pe tutcn2
jimgreen的专栏
08-29 730
 PE教程2: 检验PE文件有效性本教程中我们将学习如何检测给定文件是一有效PE文件。下载 范例理论:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现
PE文件-导出表[EXPORT TABLE]--转自iczelion,vc示范和图例
jiangtongcn的专栏
07-17 1850
首先我贴上导出表结构图例:理论:当PE装载器执行一个程序,它将相关DLLs都装入该进程的地址空间。然后根据主程序的引入函数信息,查找相关DLLs中的真实函数地址来修正主程序。PE装载器搜寻的是DLLs中的引出函数。DLL/EXE要引出一个函数给其他DLL/EXE使用,有两种实现方
罗云彬的Win32汇编语言教程及Pe教程
03-12
Iczelion的Win32汇编教程、 Iczelion的ODBC教程、 Iczelion的VxD教程、 IczelionPE教程、 罗云彬的Win32汇编教程、 加密解密教程 ...
Iczelion.chm
03-02
This series of tutorials were created by Iczelion to help you get up to speed in the development of assembly language programs targeting the Win32 platform. By design, these tutorials use the ...
PEChecksum计算PE文件校验和的工具
10-31
PEChecksum计算PE文件校验和的工具 ,当修改了bootmgr.exe,就需要这工具重新校验
判断你的文件是否为合法的PE文件和应用类型VC源代码
03-15
能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用程序的图标了! 你不想写一个根据后缀名就确定应用程序类型的程序吧!这样太哪个了吧!解决方法就是根据PE文件格式来解释。关于PE文件格式的资料现在网上汗牛充栋,这里我就不再解释,有兴趣的朋友可以上网查阅PE文件格式资料。我就简单的用代码去演示如何判断PE文件合法,主要就是两个地方,头为"MZ"签名,跟着DOS头部的就是"PE"签名,任何标准的PE文件都会包含这两个签名。如下这段代码所示,这是一个判断是否为合法PE文件的API。 关键字:pe,api,win32
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件文件
05-06
pefile 掌握 开发 pefile是一个多平台Python模块,用于解析和使用。 PE文件头中包含的大多数信息以及所有部分的详细信息和数据都是可访问的。 Windows头文件中定义的结构将作为PE实例中的属性进行访问。 字段/属性的命名将尝试遵循那些标头中的命名方案。 只有为方便起见而添加的快捷方式才会脱离该约定。 pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查头 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对不同类型的文件的外观的
手写PE结构,提示不是有效的win32程序
05-21
自己模仿别人的写的,不知道哪里出错了,希望可以帮下
检验PE文件有效性
weixin_34174422的博客
06-28 497
(一)检验PE文件有效性检验PE中的关键数据结构是否有效。 (二)我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下: IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...
PE文件初探一
weixin_30618985的博客
10-06 103
  最近一直在学习PE文件的相关知识。随着了解的增多,我不得不改变之前的学习方式。以前总是再理解更进一步后, 才总结上一层的知识。而且理解知识的时候总是喜欢从难到易得方式去理解知识。因为如果漫无目的的去学习,实在是 一个体力活。如果把一系列相关的知识比作一颗倒置的二叉树的话,我总是喜欢从根节点开始,然后再去遍历每个叶子 节点。只可惜我并没有掌握非递归算法。好吧,再没有处理尾递归的情况下,随着二叉树...
调整PE文件校验
Seaquester的专栏
02-22 3350
#include #include #include void CalcChecksum(  char *szPeFile );__inline void PrintUsage( void );int main(int argc, char* argv[]){   if( argc != 2 )   {      PrintUsage();      return 0;   }   C
关于PE文件校验和(checksum)的计…
菩提树下写代码
07-28 2782
熟悉PE文件格式的人应该都知道,在PE文件中有一个四字节的checksum,当初学习PE文件格式的时候,写过一个计算校验和的小程序,今天在整理电脑的时候突然发现了它,似乎彻底忘了它是干什么的,仔细一看才知道器具体,好记性不如烂笔头,似乎有必要将它贴出来,以便于以后再次遇到同一问题的时候能够直接使用。     本程序是由C++实现,用到了静态库imagehlp中的一些函数,程序写的很次,基本没有提
计算PE文件校验和的C语言实现
04-26 3267
#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和,这个函数或许用得上。网上ASM实现很多,C实现不好找吧。最近因为要写个程序自动剁tcpip.sys,顺便折腾了一下PE文件校验和的计算。#endi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值