PE文件结构分析程序(C++)

最新推荐文章于 2024-03-28 14:31:11 发布
最新推荐文章于 2024-03-28 14:31:11 发布
阅读量779 收藏 1
点赞数
分类专栏: PE 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzz5072/article/details/112796896
版权

该程序用与对PE文件的头文件以及数据目录表进行分析,并输出各个数据目录表以及头文件的关键字段

运行环境

Microsoft Visual Studio Professional 2017 Windows10

项目格式

在这里插入图片描述

头文件 Entry.h

#pragma once
#include <stdio.h>
#include <Windows.h>

//计算数据目录表起始位置到文件头的偏移
DWORD RvaToOffset(DWORD dwRva, char *buffer);
//解析导入表的函数
void ImportTable(char * buffer);
//解析导出表的函数
void ExportTable(char * buffer);
//解析TLS表的函数
void TLSTable(char* buffer);
//解析延迟导入表的函数
void DelayImportTable(char *buffer);
//解析重定位表的函数
void RelocTable(char *buffer);
//解析资源表的函数
void ResourceTable(char *buffer);
//解析其他表(以Debug表为例)
void DataTable(char *buffer);

源文件 Entry.cpp

在执行前需要修改分析的PE文件的路径,执行时可以选择调试以及一个一个的功能调试,便于分析.

#include "Entry.h"

int main()
{
   
	//文件读取
	FILE * pFile = NULL;
	char * buffer;
	int nFileLength = 0;
	pFile = fopen("D:\\Program Files\\Edrawsoft\\Edraw MindMaster(简体中文)\\MindMaster.exe", "rb");
	//pFile = fopen("D:\\Program Files\\Edrawsoft\\Edraw MindMaster(简体中文)\\MindMaster.exe", "rb");
	//D:\\Program Files\\Edrawsoft\\Edraw MindMaster(简体中文)\\MindMaster.exe
	fseek(pFile, 0, SEEK_END);
	nFileLength = ftell(pFile);
	rewind(pFile);
	int imageLength = nFileLength * sizeof(char) + 1;
	buffer = (char *)malloc(imageLength);
	memset(buffer, 0, nFileLength * sizeof(char) + 1);
	fread(buffer, 1, imageLength, pFile);
	//MS-DOS头解析
	PIMAGE_DOS_HEADER ReadDosHeader;
	ReadDosHeader = (PIMAGE_DOS_HEADER)buffer;
	printf("MS-DOS Info:\n");
	printf("MZ标志位:%x\n", ReadDosHeader->e_magic);
	printf("PE头偏移:%x\n", ReadDosHeader->e_lfanew);
	printf("==================================================================\n");
	printf("PE Header Info:\n");
	PIMAGE_NT_HEADERS32 ReadNTHeaders;
	//PE头解析
	ReadNTHeaders = (PIMAGE_NT_HEADERS32)(buffer + ReadDosHeader->e_lfanew);
	//PE头标志
	printf("PE标志位:%x\n", ReadNTHeaders->Signature);
	//标准PE头字段
	printf("运行平台:%x\n", ReadNTHeaders->FileHeader.Machine);
	//扩展PE头字段
	printf("ImageBase:%x\n", ReadNTHeaders->OptionalHeader.ImageBase);
	printf("==================================================================\n");
	printf("Section Header Info:\n");
	//区段解析遍历
	PIMAGE_SECTION_HEADER ReadSectionHeader = IMAGE_FIRST_SECTION(ReadNTHeaders);
	PIMAGE_FILE_HEADER pFileHeader = &ReadNTHeaders->FileHeader;
	for (int i = 0; i < pFileHeader->NumberOfSections; i++)
	{
   
		printf("Name(区段名称):%s\n", ReadSectionHeader[i].Name);
		printf("VOffset(起始的相对虚拟地址):%08X\n", ReadSectionHeader[i].VirtualAddress);
		printf("VSize(区段大小):%08X\n", ReadSectionHeader[i].SizeOfRawData);
		printf("ROffset(文件偏移):%08X\n", ReadSectionHeader[i].PointerToRawData);
		printf("RSize(文件中区段大小):%08X\n", ReadSectionHeader[i].Misc.VirtualSize);
		printf("标记(区段的属性):%08X\n\n", ReadSectionHeader[i].Characteristics);
	}
	printf("==================================================================\n");
	//分析函数
	//ImportTable(buffer);
	//ExportTable(buffer);
	//TLSTable(buffer);
	//DelayImportTable(buffer);
	//RelocTable(buffer);
	//ResourceTable(buffer);
	//DataTable(buffer);
	free(buffer);
	return 0;
}

//dwRva是某个数据目录表的VirtualAddress
//buffer是读取到的PE文件缓冲区
DWORD RvaToOffset(DWORD dwRva, char * buffer)// 计算偏移的函数,将RVA转化成偏移
{
   
	//解析Dos头
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)buffer;
	//PE头
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + buffer);
	//区段表
	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNt);
	//判断是否落在了头部当中
	if (dwRva
最低0.47元/天 解锁文章
jzz5072
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6310
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件格式分析源码C++
09-28
使用C++ MFC写的PE文件分析器源码。
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
PE文件结构解析 C、C++程序 vc2008编译
fhxy_xzw的专栏
05-27 1286
<br />//MyPeFile.h------------------------------------------------------------------------------------------------------<br />typedef unsigned short USHORT;<br />typedef unsigned long ULONG;<br />typedef unsigned char UCHAR;<br />typedef unsigned short WCH
PE文件详解中(C++版)
wanglei2258的专栏
01-27 1221
PE文件段    PE文件规范由目前为止定义的那些头部以及一个名为“段”的一般对象组成。段包含了文件的内容,包括代码、数据、资源以及其它可执行信息,每个段都有一个头部和一个实体(原始数据)。我将在下面描述段头部的有关信息,但是段实体则缺少一个严格的文件结构。因此,它们几乎可以被链接器按任何的方法组织,只要它的头部填充了足够能够解释数据的信息。 段头部    PE文件格式中,所有的段
c++ 实现PE文件格式分析
最新发布
king5210的博客
03-28 200
最近在学习PE 文件格式。
WINDOWS+PE权威指南PDF完整版
08-20
WINDOWS+PE权威指南PDF完整版,分三个压缩包 全下完后再解压
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 6949
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
【免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件里都有什么?DOS头、DOSstub、PE头、文件头、可选PE头、区段头及结构体详解
m0_62783065的博客
12-10 653
【免杀前置课——PE文件结构】十七、PE文件解析—一文解明PE文件结构头部分,什么是PE文件PE文件里都有什么?DOS头、DOSstub、PE头、文件头、可选PE头、区段头及结构体详解
解析PE文件代码
qq_43445167的博客
07-03 626
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 头文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
《windows PE 权威指南》随书源码
11-03
《windows PE 权威指南》随书源码,该书作者的声明:注意:第23章有一个病毒样例,其仅仅在C盘建立一个文件夹而已,不会有其他危害,使用时候,请关闭杀毒软件。
C++判断pe文件实例
09-04
C++编程中,PE(Portable Executable)文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和驱动程序的文件...这个C++实例提供了一个基础的框架,对于深入理解PE文件格式和进行文件分析工作非常有帮助。
C++PE文件操作类
08-01
这些库提供了对PE文件结构的封装,便于开发者进行读写操作。以下是一些关键概念: 1. **DOS头**:PE文件的开头是一个小的DOS头,用于兼容DOS系统,实际上在Windows中并不使用。 2. **NT头**:DOS头后面是NT头,...
PE文件导入表解析(C++
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入表。 总结来说,解析PE文件的导入表是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
PEInfo.rar_pe_pe 文件 分析_peinfo
09-21
通过这个工具,开发者或安全研究人员可以快速了解PE文件结构,帮助检测潜在的恶意代码或异常行为,对软件逆向工程和安全分析有重要作用。使用MFC开发的用户界面,使得这一过程更加直观和便捷。
PE文件结构功能和具体代码参数分析
qq_41814777的博客
10-14 749
PE文件结构: 介绍: PE格式是windows下最常用的可执行文件格式,有些应用必须建立在了解PE文件的基础上,如可执行文件的加解密、文件型病毒的查杀等。 分析PE文件,必须要了解文件是如何从磁盘被装载到内存中去的。因此,让我们先熟悉一下PE文件的基本结构。 DOS_HEADER 介绍: 该结构体大小为40h字节,e_magic标识了头部,e_lfanew指明PE文件头在文件中的位置,这个...
PE文件格式简析
Asteri5m
09-16 612
#mermaid-svg-IKxrtQXeqJCXjOiJ .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .label text{fill:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .node rect,#mermaid-svg-IKxrtQXeqJ
代码分析windows下PE文件格式结构,并附带PE文件格式详细图解
关注互联网安全的小虾米一枚
10-09 4083
#include #include #include // Data Directory Description char szDataDirectory[ 16] [ 64] = { "Export Directory" , "Import Directory" , "Resource Directory" , "Exception Directory"
C++文件程序结构
08-13
C++文件程序结构可以帮助我们更好地组织代码,提高代码的可维护性和可重用性。通常,一个多文件程序由多个源文件 (.cpp) 和头文件 (.h) 组成。 在一个多文件程序中,通常会有一个主函数文件,它包含程序的入口点。其他源文件包含各种功能的实现代码。 首先,我们需要创建一个主头文件(通常命名为 "main.h"),它包含程序的全局变量、常量和函数的声明。这个头文件需要在主函数文件和其他源文件中包含。 然后,我们可以创建其他的源文件和头文件,每个源文件对应着一个功能模块或者一个类的实现。在这些源文件中,我们需要包含相关的头文件,以便能够使用声明在其他文件中的函数和类。 最后,我们需要将所有的源文件编译并链接在一起,生成可执行文件。这可以通过使用编译器命令行工具或者集成开发环境(IDE)来完成。 在编译和链接过程中,编译器会根据源文件中的函数和类的声明来解析它们的定义。因此,在编写多文件程序时,要确保正确地包含头文件,并且遵循良好的命名和模块化规范。 这样,通过将代码分散到不同的源文件中,我们可以更好地组织和管理项目,并且可以通过重用代码来提高开发效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值