c++ 实现PE文件格式分析

于 2024-03-28 14:31:11 发布
阅读量200 收藏 1
点赞数 4
文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/king5210/article/details/137111028
版权 
在这里插入
#include <Windows.h>
#include <stdio.h>
#include <winnt.h>

PIMAGE_DOS_HEADER dos_header;
HANDLE handle;
PIMAGE_NT_HEADERS ntheader;
DWORD bytesRead;
DWORD lfanew;
PIMAGE_FILE_HEADER fileheader;

PIMAGE_SECTION_HEADER sectionheader;

PIMAGE_DATA_DIRECTORY data_directory;

// 导出表
PIMAGE_EXPORT_DIRECTORY Export;

// 导入表
PIMAGE_IMPORT_DESCRIPTOR import;

DWORD VirtualAddress;

DWORD exportVirtualAddress;
DWORD exportsize;

DWORD importVirtualAddress;
DWORD importsize;

DWORD *name;
DWORD FirstThunkfileRVA;
DWORD OriginalFirstThunkfileRVA;

PIMAGE_IMPORT_BY_NAME funcname;

WORD Machine;

WORD NumberOfSections;
DWORD SizeOfOptionalHeader;

DWORD getRWA(DWORD RVA, PIMAGE_SECTION_HEADER sectionheader)
{

    DWORD RWA = 0;
    for (int i = 0; i < 16; i++)
    {
        if (RVA >= sectionheader->VirtualAddress && RVA < sectionheader->VirtualAddress + sectionheader->SizeOfRawData)
        {

            RWA = (RVA - sectionheader->VirtualAddress) + sectionheader->PointerToRawData;
            return RWA;
        }

        sectionheader = PIMAGE_SECTION_HEADER((BYTE *)sectionheader + (sizeof(IMAGE_SECTION_HEADER)));
    }

    return RWA;
}

void getImport(char *pFileBuf, int i)
{
    if (i)
    {
        PIMAGE_THUNK_DATA32 FirstThunk;
        PIMAGE_THUNK_DATA32 OriginalFirstThunk;
        importVirtualAddress = data_directory[1].VirtualAddress;
        importsize = data_directory[1].Size;
        if (importVirtualAddress != 0 || importsize != 0)

        {
            printf("=======================导入表======================\n\n");
            import = (PIMAGE_IMPORT_DESCRIPTOR)((char *)dos_header + getRWA(importVirtualAddress, sectionheader));

            while (import->Name)

            {
                name = (DWORD *)(pFileBuf + getRWA(import->Name, sectionheader));
                // printf("%s \n",name);
                FirstThunkfileRVA = getRWA(import->FirstThunk, sectionheader);
                FirstThunk = (PIMAGE_THUNK_DATA32)(pFileBuf + FirstThunkfileRVA);
                OriginalFirstThunkfileRVA = getRWA(import->OriginalFirstThunk, sectionheader);
                OriginalFirstThunk = (PIMAGE_THUNK_DATA32)(pFileBuf + OriginalFirstThunkfileRVA);

                while (OriginalFirstThunk->u1.Ordinal != 0)
                {

                    if (OriginalFirstThunk->u1.AddressOfData & 0x80000000)
                    {

                        printf("模块名: %s 序号导出 %x \n", name, OriginalFirstThunk->u1.AddressOfData);
                    }
                    else
                    {

                        funcname = (PIMAGE_IMPORT_BY_NAME)(pFileBuf + getRWA(OriginalFirstThunk->u1.Function, sectionheader));
                        // printf("%x", getRWA(0x3c1b0, sectionheader2));
                        printf("------------------\n");
                        printf("模块名:%s ", name);
                        printf("函数名:%s ", funcname->Name);
                        printf("OriginalFirstThunk RVA:%x  ", OriginalFirstThunk->u1.Function);
                        printf("FirstThunk RVA:%x  \n", import->FirstThunk);
                    }
                    OriginalFirstThunk++;
                }
                import++;
            }
        }
        else
        {
            printf("没有导出表 \n");
        }
    }
    else
    {
        PIMAGE_THUNK_DATA64 FirstThunk;
        PIMAGE_THUNK_DATA64 OriginalFirstThunk;
        importVirtualAddress = data_directory[1].VirtualAddress;
        importsize = data_directory[1].Size;
        if (importVirtualAddress != 0 || importsize != 0)

        {
            printf("=======================导入表======================\n\n");
            import = (PIMAGE_IMPORT_DESCRIPTOR)((char *)dos_header + getRWA(importVirtualAddress, sectionheader));
           

            while (import->Name)

            {
                name = (DWORD *)(pFileBuf + getRWA(import->Name, sectionheader));
                // printf("%s \n",name);
                FirstThunkfileRVA = getRWA(import->FirstThunk, sectionheader);
                FirstThunk = (PIMAGE_THUNK_DATA64)(pFileBuf + FirstThunkfileRVA);
                OriginalFirstThunkfileRVA = getRWA(import->OriginalFirstThunk, sectionheader);
                OriginalFirstThunk = (PIMAGE_THUNK_DATA64)(pFileBuf + OriginalFirstThunkfileRVA);

                while (OriginalFirstThunk->u1.Ordinal != 0)
                {

                    if (OriginalFirstThunk->u1.AddressOfData & 0x80000000)
                    {

                        printf("模块名: %s 序号导出 %x \n", name, OriginalFirstThunk->u1.AddressOfData);
                    }
                    else
                    {

                        funcname = (PIMAGE_IMPORT_BY_NAME)(pFileBuf + getRWA(OriginalFirstThunk->u1.Function, sectionheader));
                        printf("------------------\n");
                        printf("模块名:%s ", name);
                        printf("函数名:%s ", funcname->Name);
                        printf("OriginalFirstThunk RVA:%x  ", OriginalFirstThunk->u1.Function);
                        printf("FirstThunk RVA:%x  \n", import->FirstThunk);
                       
                    }
                    OriginalFirstThunk++;
                }
                import++;
            }
        }
        else
        {
            printf("没有导入表 \n");
        }
    }
}

void getexport(char *pFileBuf)


{
    DWORD sum = 1;
    DWORD *fliename;

    DWORD NumberOfNames;

    // 输出函数地址的RVA
    DWORD *AddressOfFunctionsRVA;

    DWORD *AddressOfFunctions;

    // 输出函数名字的RVA
    DWORD *AddressOfNamesRVA;

    DWORD *AddressOfNames;

    // 指向输出函数序号的RVA
    WORD *AddressOfNameOrdinalsRVA;

    DWORD base;
    exportVirtualAddress = data_directory[0].VirtualAddress;
    exportsize = data_directory[0].Size;

    if (exportVirtualAddress || exportsize)
    {
        DWORD exportfileVAR;
        // 导出表文件偏移地址
        exportfileVAR = getRWA(exportVirtualAddress, sectionheader);
        printf("=======================导出表======================\n\n");

        Export = PIMAGE_EXPORT_DIRECTORY(pFileBuf + exportfileVAR);

        base = Export->Base;

        // 文件名
        fliename = (DWORD *)(pFileBuf + getRWA(Export->Name, sectionheader));

        // 导出函数的总数
        NumberOfNames = Export->NumberOfNames;

        AddressOfNamesRVA = (DWORD *)(pFileBuf + getRWA(Export->AddressOfNames, sectionheader));

        // 函数名
        AddressOfNames = (DWORD *)(pFileBuf + getRWA(*AddressOfNamesRVA, sectionheader));
        // 函数名的RVA
        AddressOfFunctionsRVA = (DWORD *)(pFileBuf + getRWA(Export->AddressOfFunctions, sectionheader));

        AddressOfNameOrdinalsRVA = (WORD *)(pFileBuf + getRWA(Export->AddressOfNameOrdinals, sectionheader));
        for (int i = 0; i < NumberOfNames; i++)
        {
            int index = 0;
            index = (base + *AddressOfNameOrdinalsRVA);
            AddressOfFunctionsRVA = (DWORD *)((BYTE *)AddressOfFunctionsRVA + (index - sum) * sizeof(DWORD));
            printf("\n函数名称:%s ", AddressOfNames);
            printf("RVA: %x ", *AddressOfFunctionsRVA);
            printf("文件偏移: %x \n", getRWA(*AddressOfFunctionsRVA, sectionheader));
            AddressOfNames++;
            AddressOfFunctionsRVA++;
        }
    }
    else
    {
        printf("没有导出表 \n");
    }
}

void printfsectionheader()
{

    printf("\n");
    for (int i = 0; i < NumberOfSections; i++)
    {

        printf("\n");
        printf("区块名称 :%s ", sectionheader[i].Name);
        printf("真实长度 :%x ", sectionheader[i].Misc.VirtualSize);
        printf("RVA 地址 :%x ", sectionheader[i].VirtualAddress);
        printf("按照0x200对齐后的长度 :%x ", sectionheader[i].SizeOfRawData);
        printf("磁盘文件的偏移 :%x ", sectionheader[i].PointerToRawData);
        printf("\n");
    }
    printf("\n");
}

void printdata_directroy()
{
    for (int i = 0; i < 16; i++)
        {

            printf("data_directroy[%d]: %x\n", i, data_directory[i].VirtualAddress);
            printf("data_directroy[%d]: %x\n", i, data_directory[i].Size);
        }
}
int main()
{
    do{

        handle = CreateFileA(".\\01.dll",
                             GENERIC_READ,
                             FILE_SHARE_READ,
                             NULL,
                             OPEN_EXISTING,
                             FILE_ATTRIBUTE_NORMAL,
                             NULL);
        if (handle == INVALID_HANDLE_VALUE)

        {
            printf("文件加载失败");
            break;
        }
        DWORD dwFileSize = GetFileSize(handle, NULL);

        if (dwFileSize==0){
            break;
        }

        CHAR *pFileBuf = new CHAR[dwFileSize];

        ReadFile(handle, pFileBuf, dwFileSize, &bytesRead, NULL);
        dos_header = (PIMAGE_DOS_HEADER)pFileBuf;
        // printf("dos_headr %x ",dos_header);
        if (!dos_header->e_magic == 0x5a4d)
        {
            printf("不是PE文件");
            break;
        }

        printf("dos_haendr->e_magic = %x \n", dos_header->e_magic);
        lfanew = dos_header->e_lfanew;
        printf("dos_header->e_lfanew %X \n", dos_header->e_lfanew);

        ntheader = (PIMAGE_NT_HEADERS)((BYTE *)dos_header + lfanew);
        if (!ntheader == 0x4550)
        {
            printf("不是PE文件");
            break;
        }
        printf("ntheader->Signature: %x\n", ntheader->Signature);

        fileheader = &(ntheader->FileHeader);

        SizeOfOptionalHeader = fileheader->SizeOfOptionalHeader;
        NumberOfSections = fileheader->NumberOfSections;

        Machine = fileheader->Machine;

        if (Machine == IMAGE_FILE_MACHINE_I386)
        {
            printf("\n=================32位================");
            PIMAGE_NT_HEADERS32 ntheader32;
            ntheader32 = (PIMAGE_NT_HEADERS32)((BYTE *)dos_header + lfanew);

            PIMAGE_OPTIONAL_HEADER32 opheader32;
            opheader32 = (PIMAGE_OPTIONAL_HEADER32) & (ntheader32->OptionalHeader);
            sectionheader = PIMAGE_SECTION_HEADER((BYTE *)opheader32 + SizeOfOptionalHeader);
            printfsectionheader();
            data_directory = opheader32->DataDirectory;
            printdata_directroy();
            getexport(pFileBuf);
            printf("\n");
            getImport(pFileBuf, 0);
        }
        else
        {

            printf("\n=================64位================");
            PIMAGE_NT_HEADERS64 ntheader64;
            ntheader64 = (PIMAGE_NT_HEADERS64)((BYTE *)dos_header + lfanew);

            PIMAGE_OPTIONAL_HEADER64 opheader64;

            opheader64 = &(ntheader64->OptionalHeader);
            sectionheader = PIMAGE_SECTION_HEADER((BYTE *)opheader64 + SizeOfOptionalHeader);
            printfsectionheader();
            data_directory = opheader64->DataDirectory;
            printdata_directroy();
            printf("\n");
            getexport(pFileBuf);
            printf("\n");
            getImport(pFileBuf, 0);
        }

        getchar();
    }while(0);

    CloseHandle(handle);
    return 0;

}



代码片

最近在学习PE 文件格式 。

king5210
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二、C++反作弊对抗实战 (进阶篇 —— 5.图文讲解PE文件结构)
Koma的主页
03-03 425
PE即Portable Executable,是Win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式文件。所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
PE文件结构分析程序(C++)
jzz5072的博客
01-18 779
该程序用与对PE文件的头文件以及数据目录表进行分析,并输出各个数据目录表以及头文件的关键字段 运行环境 Microsoft Visual Studio Professional 2017 Windows10 项目格式 头文件 Entry.h #pragma once #include <stdio.h> #include <Windows.h> //计算数据目录表起始位置到文件头的偏移 DWORD RvaToOffset(DWORD dwRva, char *buffer);
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
weixin_34401479的博客
07-26 776
PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣的能够參看之后列出的參考资料及其它相关内容。 近期我也在学习PE文件格式,參考了很多资料。用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资...
C++ PE格式解析源码
03-18
C++ PE格式解析源码
PE文件格式分析源码C++
09-28
实现PE文件分析器时,我们需要注意处理各种错误情况,如文件格式不正确、内存分配失败等。同时,考虑到安全因素,应避免直接修改PE文件的敏感部分,除非你完全理解其后果。 总之,PE文件格式分析是系统级编程中的...
基于C++实现32位PE解析工具
06-06
C++实现PE解析,我们需要关注以下核心知识点: 1. 文件I/O操作:使用C++标准库中的`fstream`类读取和处理PE文件的二进制数据。 2. 结构体和联合体:定义一系列结构体来映射PE文件的各个部分,如IMAGE_DOS_...
C++判断pe文件实例
09-04
C++编程中,PE(Portable Executable)文件格式Windows操作系统中用于可执行程序、动态链接库(DLL)和驱动程序的文件...这个C++实例提供了一个基础的框架,对于深入理解PE文件格式和进行文件分析工作非常有帮助。
PE文件导入表解析(C++
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入表,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
c++获取pe文件签名
05-23
总之,C++获取PE文件签名涉及到对PE文件格式的理解、Windows API的使用以及对安全性的考虑。通过解析文件结构、调用签名验证函数,并正确处理结果,我们可以编写一个程序来检查PE文件的数字签名。
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析  c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 6949
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
PE文件详解中(C++版)
wanglei2258的专栏
01-27 1221
PE文件段    PE文件规范由目前为止定义的那些头部以及一个名为“段”的一般对象组成。段包含了文件的内容,包括代码、数据、资源以及其它可执行信息,每个段都有一个头部和一个实体(原始数据)。我将在下面描述段头部的有关信息,但是段实体则缺少一个严格的文件结构。因此,它们几乎可以被链接器按任何的方法组织,只要它的头部填充了足够能够解释数据的信息。 段头部    PE文件格式中,所有的段
PE文件信息解析(Win32, C++)
最新发布
FlameCyclone的博客
02-05 536
PE文件信息解析助手类, 方便地解析PE文件常见信息
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7642
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
PE头解析(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
weixin_62513694的博客
03-16 364
PE头解析,内附代码(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
PE头结构说明及C语言解析
qq_35289660的博客
05-11 1699
PE头结构说明及C语言解析 文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
PE文件绑定,或者说多个exe文件的合并
dasgk的专栏
12-16 1820
思路:     是我自己想的,也许不会,也许别人已经做过了,但是不是重点,哈,我现在想将两个exe文件合并成为一个exe文件,那么就需要四个exe,现在说下这四个exe文件的作用 分别是A.exe   D.exe  tmpA.exe  tmpB.exe A.exe的作用是将tmpA.exe和tmpB.exe文件写入到D.exe当中去,这里tmpA.exe和tmpB.exe我们是不知道源码的,
c++实现pdf文件解析
08-12
需要注意的是,以上只是一个大致的框架,具体的实现可能会因为不同的PDF文件格式和解析需求而有所不同。在实际的开发中,还需要考虑异常处理、内存管理和性能优化等方面的问题。<span class="em">1</span><span ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值