判断文件是否非pe文件

最新推荐文章于 2023-02-13 22:54:20 发布
最新推荐文章于 2023-02-13 22:54:20 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: VC 文章标签: VC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyu355/article/details/54378971
版权

判断是否pe文件,我使用了文章:http://blog.csdn.net/wangningyu/article/details/4862004

里面的代码。

但是这个并不够,因为我们认为纯资源的DLL文件,其实也是属于非pe的一种。

那么如何判别这个呢?

我又找到了这篇文章,里面有对pe结构的完整的描叙:http://www.cnblogs.com/tk091/archive/2012/09/03/2669405.html

我认为这篇文章能让我快速的找到我想要了解的东西。

那么,我认为判别是否是纯资源的dll文件的一个关键的点就在于,他是否存在到导入和导出接口。

那么怎么找到导入和导出表呢,首先我们需要得到一个结构体_IMAGE_OPTIONAL_HEADER:
具体的方法可以参考http://blog.csdn.net/wangningyu/article/details/4862004这个文章。
而这个结构体里面有一个成员变量:DataDirectory
这个变量是一个IMAGE_DATA_DIRECTORY的数组。
通过文章http://www.cnblogs.com/tk091/archive/2012/09/03/2669405.html 可以查阅到
这个数组的第一个元素就是导入表。第二个元素就是导出表。

因此,我们只需要检查到导入和导出表都是空的,就完事了。

具体代码如下:


BOOL RunLua::_IsValidPEFile( CString strPathName )  
{  
    if ( ! PathFileExists( strPathName ) )  
        return FALSE;  

    HANDLE hFile = CreateFile( strPathName,   
        GENERIC_READ,   
        FILE_SHARE_READ,   
        NULL,   
        OPEN_EXISTING,   
        FILE_ATTRIBUTE_NORMAL,   
        NULL );  
    if ( hFile == INVALID_HANDLE_VALUE ) {  
        return FALSE;  
    }  

    HANDLE hMMFile = CreateFileMapping( hFile, NULL, PAGE_READONLY, 0, 0, NULL );  
    if ( hMMFile == INVALID_HANDLE_VALUE ) {  
        CloseHandle( hFile );  
        return FALSE;  
    }  

    LPVOID pvMem = MapViewOfFile( hMMFile, FILE_MAP_READ, 0, 0, 0 );  
    if ( ! pvMem ) {  
        CloseHandle( hMMFile );  
        CloseHandle( hFile );  
        return FALSE;  
    }  

    if ( *( USHORT* ) pvMem != IMAGE_DOS_SIGNATURE ) {  
        UnmapViewOfFile( pvMem );  
        CloseHandle( hMMFile );  
        CloseHandle( hFile );  
        return FALSE;  
    }  

    if ( *( ( DWORD* ) ( ( PBYTE ) pvMem + ( ( PIMAGE_DOS_HEADER ) pvMem )->e_lfanew ) ) != IMAGE_NT_SIGNATURE ) {  
        UnmapViewOfFile( pvMem );  
        CloseHandle( hMMFile );  
        CloseHandle( hFile );  
        return FALSE;  
    }  

    LPVOID pvOptionalHeader = ( PBYTE ) pvMem + ( ( PIMAGE_DOS_HEADER ) pvMem )->e_lfanew + sizeof( DWORD ) + sizeof( IMAGE_FILE_HEADER );  

    IMAGE_OPTIONAL_HEADER ioh;  
    CopyMemory( & ioh, pvOptionalHeader, sizeof( IMAGE_OPTIONAL_HEADER ) );  

    if ((ioh.DataDirectory[0].Size == 0 || ioh.DataDirectory[0].VirtualAddress == 0) && (ioh.DataDirectory[1].Size == 0 || ioh.DataDirectory[1].VirtualAddress == 0))
    {
        UnmapViewOfFile( pvMem );  
        CloseHandle( hMMFile );  
        CloseHandle( hFile );  

        return FALSE;
    }

    UnmapViewOfFile( pvMem );  
    CloseHandle( hMMFile );  
    CloseHandle( hFile );  

    return TRUE;  
}
liyu355
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
判断是不是PE文件
游刃有余则成的专栏
07-08 3254
#include #include "assert.h" #include #include "TCHAR.H" #ifdef UNICODE #define IsPEFile IsPEFileW #define IsDigiSig IsDigiSigW #else #define IsPEFile IsPEFileA #define IsDigiSig IsDigiSigA #endi
python判断是否为“PE文件
u012262582的专栏
09-27 2951
什么是PE文件PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 怎么识别PE文件? 1、首先,PE文件一定是MZ(0x4D5A)起头的。 2、其次,3C位置的值(即如图所示E8)指向的值是PE(0x5045) 代码如下:
判断一个文件是否是合法的PE文件
03-09
判断一个文件是否是合法的PE文件 IsValidPEFile.cpp
PE操作类--判断PE文件
跃然实验室
06-10 1087
判断一个文件是否为合法PE文件通常只需判断“MZ”头和“PE”头 //判断是否PE结构 BOOL CPe32 ::IsPeFile(TCHAR* pFileName) { if (pFileName == NULL) { return FALSE ; } ...
判断文件是否PE文件
sxr__nc的博客
12-13 1342
判断一个文件文件属性是不是PE文件:主要思路就是:比较文件的DOS头和NT头的白哦之是不是“MZ”和“PE”,判断文件是不是EXE文件或者DLL文件或者其他的主要思路是:获取文件文件头的Characteristis字段,根据字段值进行判断 下边贴上源码 #include <stdio.h> #include <Windows.h> int main() { print...
C++判断pe文件实例
09-04
本文将详细介绍如何使用C++来判断一个文件是否PE文件,以及涉及到的相关知识。 首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS)。DOS头通常包含...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
VC源码:PE文件格式的判断/PE文件格式的判断
易语言PE文件资源查看
08-22
易语言PE文件资源查看源码系统结构:显示Offset,显示十六进制,字节集分页,枚举资源,创建数据库,判断资源名称,判断资源类型,十六进制文本到字节集,查看字节集,取十进制,判断是否文本
PE文件判断工具
02-20
可以判断一个文件是不是PE文件,也可枚举出一个文件夹中所有PE文件,也可以拷贝这些PE文件到另外的地方,也可记录下所有PEPE文件的路径。功能强大,值得拥有。
PE文件头格式图片,常详细经典
03-02
PE文件头格式图片,常详细经典,很值得一看!!!
PE文件类型攻击小结
纸房子
08-22 1429
PE攻击,包括hta、rundll32、powershell、office文档等方式攻击
如何判断一个文件是否PE文件
飞檐走壁
01-03 3023
PE文件,Portable Executable file format简称。 那么如何判断一个文件是否PE格式的文件? 1、首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE,是则 DOS MZ header 有效。 2、一旦证明文件的 DOS header 有效后,就可用e_lfanew来定位 PE header 了。 3、比较 PE header 的第一个...
PE病毒介绍
Vh0543的博客
04-08 230
1.宏病毒 1.1 介绍   本文中的宏特指office系列办公软件中的宏,Microsoft Office中对宏的定义为“宏就是能够组织在一起的,可以作为一个独立命令来执行的一系列Word 命令,它能使日常工作变得容易。”当我们打开某些文档时,会遇到“安全警告”,提示我们宏已被禁用,若我们选择“启用内容”,则宏代码就会被执行。   当宏代码包含恶意功能时则为宏病毒,其强大之处是建...
c语言怎么判断文件类型,判断你的文件是否为合法的PE文件和应用类型
weixin_30929623的博客
05-23 518
作者:赖锋源代码下载可能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用程序的图标了! 你不想写一个根据后缀名就确定应用程序类型的程序吧!这样太哪个了吧!解决方法就是根据PE文件格式来解释。关于PE文件格式的资料现在网上汗牛充栋,这里我就不再解释,有兴趣的朋友可以上网查阅PE文件格式资料。我就简单的用代码去演示如何判断...
什么是PE文件
2301_76505722的博客
02-13 219
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) 中文名pe文件 外文名Portable Executable 全称Portable Executable 意为可移植的执行体 操作系统Windows 定义 一个操作系统的可执行文件格式在很多方面是这个系统的一面镜子。虽然学习一个可执行文件格式通常不是一个程序员的首要任
PE文件格式(一)
周星星的博客
10-18 8019
PE文件是Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
pe格式文件32位64位判断检测 pe32or64
最新发布
09-23
由于32位和64位的PE文件的导入表和导出表结构不同,因此我们可以通过检查这些表的结构和字段来判断PE文件的位数。 总结起来,判断和检测PE格式文件的32位或64位可以通过查看PE文件头部信息的Magic Number字段、使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值