驱动中解析pe文件之pdb

最新推荐文章于 2023-02-11 12:25:32 发布
最新推荐文章于 2023-02-11 12:25:32 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 驱动 文章标签: 驱动 pe结构 pdb pe解析 IMAGE_DEBUG_DIRECTOR
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwen930723/article/details/52662089
版权
这篇博客专注于驱动程序中解析PE文件的PDB部分,提供可以直接使用的高质量代码。内容涵盖头文件、结构体和详细注释,但不进行基础知识普及。读者可以期待在文章中获取到CreateMapFileAndGetBaseAddr()函数的实现。
摘要由CSDN通过智能技术生成

驱动中解析pe文件的pdb,一切尽在代码中,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥?

CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。

 

 

#include <ntifs.h>
#include <windef.h>
#include "ntimage.h"

#define NB10_SIG	'01BN'
#define RSDS_SIG	'SDSR'
typedef struct  CV_HEADER
{
	DWORD Signature;
	DWORD Offset;
}CV_HEADER;

typedef struct CV_INFO_PDB20
{
	CV_HEADER	CvHeader;
	DWORD		Signature;
	DWORD		Age;
	BYTE		PdbFileName[1];
}CV_INFO_PDB20;
typedef struct CV_INFO_PDB70
{
	DWORD	CvSignature;
	GUID	Signature;
	DWORD	Age;
	BYTE	PdbFileName[1];
}CV_INFO_PDB70;

BOOL PeIsRegionValid(PVOID Base, DWORD Size, PVOID Addr, DWORD RegionSize)
{
	return ((PBYTE)Addr >= (PBYTE)Base && ((PBYTE)Addr + RegionSize) <= ((PBYTE)Base + Size));
}

//返回TRUE 但PdbStr为空意思是找过了确实没有PDB
BOOLEAN PeGetPdb(PVOID ImageBase, DWORD ImageSize, PCHAR PdbStr)
{
	PBYTE Base =
最低0.47元/天 解锁文章
西伯利亚的寒流
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
PdbInfo:查看PE文件pdb信息的简单工具
06-30
数据库信息 查看PE文件pdb信息的简单工具。
驱动开发:内核解析PE结构节表
最新发布
2301_78287784的博客
06-02 117
上面PE结构可知PE文件的开头部分包括了一个标准的DOS可执行文件结构,这看上去有些奇怪,但是这对于可执行程序的向下兼容性来说却是不可缺少的,当然现在已经基本不会出现纯DOS程序了,现在来说这个。介绍了如何解析内存导出表结构,本章将继续延申实现解析PE结构PE头,PE节表等数据,总体而言内核解析PE结构与应用层没什么不同,在上一篇文章。上方的结构就是PE文件的重要结构,接下来将通过编程读取出PE文件的开头相关数据,读取这些结构也非常简单代码如下所示。,节表数据在PE文件被放在所有节数据的前面.
获取pe文件调试符号文件pdb路径
weixin_34226706的博客
04-19 746
一般如果编译器设置了调试符号文件,则编译后的PE文件调试字段会包含该路径,在一般的溯源分析我们可能会注意到: 使用工具:pestudio 如下图,将文件加载进工具后,查看debug字段,可以发现pdb路径。注意:该路径不一定存在。。。 转载于:https://blog.51cto.com/antivirusjo/2105150...
pdb文件 小结
weixin_33805992的博客
12-22 510
  .pdb文件,是VS生成的用于调试的符号文件(program database),保存着调试的信息。在VS的工程属性,C/C++,调试信息格式,设置/Zi,那么VS就会在构建项目时创建PDB文件。 在这里要区分两种情况: 1、构建静态库时,可以在工程属性 –&gt; C/C++ –&gt; 输出文件 –&gt; 程序数据库名 设置生成的pdb文件名称,如果不指定,默认是生成为VCx0.p...
Getpdb.py
06-04
从www.rcsb.org自动下载pdb文件
PE文件解析指南
12-08
PE(Portable Executable)文件格式是Windows操作系统用于可执行程序、动态链接库(DLL)和驱动程序的主要文件格式。这个格式是Microsoft为Windows平台设计的,它包含了代码、数据以及运行时所需的元数据。在深入...
Windows PE 格式详解.zip
03-16
Windows PE(Portable Executable)格式是Microsoft Windows操作系统用于可执行文件、动态链接库(DLL)、驱动程序等的文件格式。这种格式包含了程序运行所需的所有信息,如代码、数据、元数据以及资源。以下是PE...
PE view 详细查看PE文件工具
01-09
- 解析PE头以确定文件的布局。 - 加载节区到内存,并根据重定位表调整指针。 - 解决导入,将外部函数地址绑定到程序代码。 - 执行程序的入口点。 5. **总结** PEview是一款强大的工具,它使我们能够深入理解...
Windows_PE_File_Format.zip_PE Format
09-23
Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统的核心组件,用于存储可执行程序、动态链接库(DLL)、驱动程序等。PE文件格式的结构复杂,但也是理解和分析Windows系统行为的基础。以下是...
pdb解析工程源代码
10-21
pdb解析工程源代码pdb解析工程源代码
matlab读取pdb文件,GacUI Demo:PDB Viewer(分析pdb文件并获取C++类声明的详细内容)...
weixin_26854829的博客
03-20 561
GacUI为了实现把界面序列化和反序列化到XML,必然要有类似反射一样的功能。但是C++却没有反射,现在想到的方法就是,把编译后的pdb文件拿出来。因为控件不是模板类,所以数据都可以直接获取。pdb文件包含了所有函数的信息,还有被实例化后的模板类和模板函数的信息。因此只需要使用IDiaDataSource(Visual Studio提供的COM组件)读取pdb的类声明之后,把信息整理并输出到一个x...
PDB文件解析总结
kuangben2000的博客
02-11 4351
2019-11-29Windows约 5269 字 预计阅读 11 分钟 773 次阅读通过上面的几个例子可以看到使用DIA SDK解析pdb文件还是有点复杂的,关键是要理清要获取的数据属于哪种类型以及数据相关信息是怎样与数据符号相关联的,这点还是要参考DIA SDKSample程序的代码。文章作者 任意上次更新 2019-11-29nullWindows。
VC++使用pdb和dump恢复“案发现场”
学习使我快乐
08-06 5334
目录   pdb文件 PDB文件简介  EXE、DLL等与pdb文件的匹配 编译器产生符号的过程 Release程序生成pdb文件  dump文件 使用背景介绍 dump文件的生成 调试dump文件 VS调试  本地dump调试 无源代码dump调试 WinDbg调试 pdb文件 PDB文件简介 pdb符号文件是连接二进制指令和源代码之间的纽带,没有符号你所面对只...
【反分析】清除PE文件上的Rich Headers
r250414958的博客
03-26 776
Rich Headers前言The Rich Header解密Rich Header格式解析@comp.id值其他参考项目参考文章 前言 Rich Header是PE文件DOS Header和NT Header之间的一个结构(在PE Header和DOS stub之间)。它包含链接库版本信息以及链接器版本。可以有效的帮助恶意软件分析人员溯源和关连攻击方 The Rich Header Rich Header是由微软编译器创建,通常看起来像如下: WSNPOEM Decryption Code analy
pdb符号文件详解
dvlinker的技术专栏
06-28 9625
本文详细讲述了pdb符号库文件相关的内容。
windbg dt命令显示PE相关数据结构
sankernel的博客
02-11 362
0:001> dt ntdll!*IMAGE_* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_DOS_HEADER ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DATA_DI...
PE文件格式详解(7)
马说@CSDN
12-29 2633
调试信息段,.debug  调试信息位于.debug段之,同时PE文件格式也支持单独的调试文件(通常由.DBG扩展名标识)作为一种将调试信息的方法。调试段包含了调试信息,但是调试目录却位于早先提到的.rdata段之。这其每个目录都涉及了.debug段之的调试信息。调试目录的结构IMAGE_DEBUG_DIRECTORY被定义为:WINNT.Htypedef struct _IMAG
PE可选PEIMAGE_OPTIONAL_HEADER32/64 简(三)
想喝奶茶的胖大海
12-26 1100
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE的第三部分,可选(扩展)PE头,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值