简单的PE文件解析

最新推荐文章于 2024-09-09 13:32:45 发布
最新推荐文章于 2024-09-09 13:32:45 发布
阅读量282 收藏 1
点赞数
分类专栏: 安全知识 文章标签: windows c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46689007/article/details/130636795
版权 
#include <stdio.h>
#include <Windows.h>


// 计算RVA偏移量
DWORD RvaToOffset(DWORD dwRva, char* buffer) {
	PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)buffer;
	PIMAGE_NT_HEADERS pIMAGE_NT_HEADERS = (PIMAGE_NT_HEADERS)(buffer + pIMAGE_DOS_HEADER->e_lfanew);
	PIMAGE_SECTION_HEADER pIMAGE_SECTION_HEADER = IMAGE_FIRST_SECTION(pIMAGE_NT_HEADERS);

	// 判断数据目录表位置是否在头中
	if (dwRva < pIMAGE_SECTION_HEADER[0].VirtualAddress) {
		return dwRva;
	}
	// 判断数据目录表位置是否在每个区段中
	for (int i = 0; i <= pIMAGE_NT_HEADERS->FileHeader.NumberOfSections; i++) {
		if (dwRva >= pIMAGE_SECTION_HEADER[0].VirtualAddress && dwRva <= pIMAGE_SECTION_HEADER[i].VirtualAddress + pIMAGE_SECTION_HEADER[i].Misc.VirtualSize) {
			// dwRva - pIMAGE_SECTION_HEADER[i].VirtualAddress为数据目录表到当前区段头的偏移量
			// pIMAGE_SECTION_HEADER[i].PointerToRawData为区段首位置到文件头的偏移量
			return dwRva - pIMAGE_SECTION_HEADER[i].VirtualAddress + pIMAGE_SECTION_HEADER[i].PointerToRawData;
		}
	}
}

void DosReader(char* buffer) {

	// 将buffer缓冲区内首地址强转换为PIMAGE_DOS_HEADER,这样就可以获取到目标文件的DOS头信息
	PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)buffer;
	printf("%s\n", "----------DOS_HEADER----------");
	printf("DOS头标志位: %x\n", pIMAGE_DOS_HEADER->e_magic);
	printf("PE头偏移量: %x\n\n", pIMAGE_DOS_HEADER->e_lfanew);
}

// PE头
void PeReader(char* buffer) {

	// e_lfanew为PE文件偏移量
	PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)buffer;
	PIMAGE_NT_HEADERS pIMAGE_NT_HEADERS = (PIMAGE_NT_HEADERS)(buffer + pIMAGE_DOS_HEADER->e_lfanew);
	printf("%s\n", "----------PE_HEADER----------");
	printf("PE头标志位: %x\n", pIMAGE_NT_HEADERS->Signature);
	printf("支持运行系统位数: %x\n", pIMAGE_NT_HEADERS->FileHeader.Machine);
	printf("区段节表数量: %x\n", pIMAGE_NT_HEADERS->FileHeader.NumberOfSections);
	printf("PE文件基地址: %08x\n\n", pIMAGE_NT_HEADERS->OptionalHeader.ImageBase);

}

// 区段头
void SectionsReader(char* buffer) {
	
	// 用IMAGE_FIRST_SECTION宏导入PE头的指针,从而获得到获取第一个区段节表的指针
	PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)buffer;
	PIMAGE_NT_HEADERS pIMAGE_NT_HEADERS = (PIMAGE_NT_HEADERS)(buffer + pIMAGE_DOS_HEADER->e_lfanew);
	PIMAGE_SECTION_HEADER pIMAGE_SECTION_HEADER = IMAGE_FIRST_SECTION(pIMAGE_NT_HEADERS);
	// 获取区段节表数量
	int sections_num = pIMAGE_NT_HEADERS->FileHeader.NumberOfSections;
	printf("%s\n", "----------SECTIONS_HEADER----------");
	for (int i = 0; i < sections_num; i++) {
		printf("第%d个区段名: %s\n", i + 1, pIMAGE_SECTION_HEADER[i].Name);
		printf("起始的相对虚拟地址: %08x\n", pIMAGE_SECTION_HEADER[i].VirtualAddress);
		printf("区段大小: %08x\n", pIMAGE_SECTION_HEADER[i].SizeOfRawData);
		printf("区段对应文件的偏移量: %08x\n", pIMAGE_SECTION_HEADER[i].PointerToRawData);
		printf("区段对应文件的大小: %08x\n", pIMAGE_SECTION_HEADER[i].Misc.VirtualSize);
		printf("区段的属性: %08x\n", pIMAGE_SECTION_HEADER[i].Characteristics);
		printf("\n\n");
	}
}

// 导入表
void ImportReader(char* buffer) {

	PIMAGE_DOS_HEADER pIMAGE_DOS_HEADER = (PIMAGE_DOS_HEADER)buffer;
	PIMAGE_NT_HEADERS pIMAGE_NT_HEADERS = (PIMAGE_NT_HEADERS)(buffer + pIMAGE_DOS_HEADER->e_lfanew);
	PIMAGE_DATA_DIRECTORY pIMAGE_DATA_DIRECTORY = (PIMAGE_DATA_DIRECTORY)(pIMAGE_NT_HEADERS->OptionalHeader.DataDirectory + IMAGE_DIRECTORY_ENTRY_IMPORT);
	PIMAGE_IMPORT_DESCRIPTOR pIMAGE_IMPORT_DESCRIPTOR = (PIMAGE_IMPORT_DESCRIPTOR)(RvaToOffset(pIMAGE_DATA_DIRECTORY->VirtualAddress, buffer) + buffer);

	printf("%s\n", "----------IMPORT_HEADER----------");
	while (pIMAGE_IMPORT_DESCRIPTOR->Name != NULL) {
		char* dllname = (char*)(RvaToOffset(pIMAGE_IMPORT_DESCRIPTOR->Name, buffer) + buffer);
		printf("导入表中DLL名称: %s\n", dllname);
		printf("名称RVA: %08x\n", pIMAGE_IMPORT_DESCRIPTOR->Name);
		printf("日期: %08x\n", pIMAGE_IMPORT_DESCRIPTOR->TimeDateStamp);
		printf("前向者链表的偏移量: %08x\n", pIMAGE_IMPORT_DESCRIPTOR->ForwarderChain);
		printf("名称RVA: %08x\n", pIMAGE_IMPORT_DESCRIPTOR->Name);
		printf("导入表RVA: %08x\n", pIMAGE_IMPORT_DESCRIPTOR->FirstThunk);
		printf("导入地址表的RVA: %08x\n\n", pIMAGE_IMPORT_DESCRIPTOR->OriginalFirstThunk);
		PIMAGE_THUNK_DATA pIMAGE_THUNK_DATA = (PIMAGE_THUNK_DATA)(RvaToOffset(pIMAGE_IMPORT_DESCRIPTOR->OriginalFirstThunk, buffer) + buffer);

		pIMAGE_IMPORT_DESCRIPTOR++;
	}
}



int main() {
	char exepath[] = "H:\\gitee\\penetration-Penetration\\学习笔记\\免杀\\c\\Project1\\Release\\Project1.exe";
	char* buffer;
	FILE* pfile = NULL;
	int nFileLength = 0;
	fopen_s(&pfile, exepath, "rb");
	// 用fseek将文件位置指针移到文件末尾
	fseek(pfile, 0, SEEK_END);
	// 用ftell文件位置指针末尾到文件开头的字节数,也就是文件的大小
	nFileLength = ftell(pfile);
	// 用rewind将文件位置指针移动到文件开头
	rewind(pfile);
	// 设置相应字节数的缓冲区,+1也就是在结尾加一个null
	int imageLength = nFileLength + 1;
	// 动态分配内存到buffer
	buffer = (char*)malloc(imageLength);
	// 用memset将内存中的字节全部归0,初始化缓冲区
	memset(buffer, 0, nFileLength);
	// 用fread将pfile中的内容读取到buffer中,也就是读取到新建的缓冲区中
	fread(buffer, 1, imageLength, pfile);
	
	
	DosReader(buffer);
	PeReader(buffer);
	SectionsReader(buffer);
	ImportReader(buffer);
	// 释放内存
	free(buffer);

	return 0;
	
}

iceberg-N
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++源码】PE文件结构中导出表的解析
ProgrammingLearner的博客
08-31 3509
C++源码】PE文件结构中导出表的解析 控制台版本
PE文件结构分析程序(C++)
jzz5072的博客
01-18 802
该程序用与对PE文件的头文件以及数据目录表进行分析,并输出各个数据目录表以及头文件的关键字段 运行环境 Microsoft Visual Studio Professional 2017 Windows10 项目格式 头文件 Entry.h #pragma once #include <stdio.h> #include <Windows.h> //计算数据目录表起始位置到文件头的偏移 DWORD RvaToOffset(DWORD dwRva, char *buffer);
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 7100
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
C++ PE格式解析源码
03-18
C++ PE格式解析源码
编码实现PE文件解析(C源代码)
zjc742206723的专栏
07-15 1852
#include #include LPTSTR lpcTheFile = TEXT("c:\\i.exe"); int main(void) { HANDLE hMapFile; HANDLE hFile; DWORD dwFileSize; DWORD dwSysGran; SYSTEM_INFO SysInfo; HANDLE lpMapAddress;
PE文件详解------PE文件结构剖析
bobopeng
11-19 4661
一.PE文件结构纵览 PE文件的结构如上图所示,由低地址到高地址分别为:Dos头,PE头,块表,块,调试信息。其中真正的PE文件头是位于Dos头的后面的部分。 上图为利用PE工具打开的一个可执行文件在磁盘中的映射,这就是PE文件的内部信息。 可以看到这个文件的钱两个字节为”4D 5A”,表示的就是Dos头的第一个字段的额信息,标示Dos的头部。在Dos头结构的最后
Python解析PE文件
cay22的专栏
11-05 5480
一. 下载安装pefile库 https://code.google.com/p/pefile/downloads/list 解压后, 把pefile.py和peutils.py拷贝到你的工程中即可.(你也可以安装到Python中, 就是双击Setup.py后把pefile.pyc拷贝到X:\PythonXX\Lib\site-packages) https://code.googl
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件...
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
详解详解windowsPE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
以下是对PE文件格式的详细解析。 ### 1. PE文件结构 PE文件由多个部分组成,主要分为DOS头、PE头和节区表等关键部分。 - **DOS头**:PE文件起始于一个DOS程序头,这是为了保持与早期DOS系统的兼容性。它包含一个...
PE文件解析类(轻松制作自己的PE文件解析器
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE文件解析器
08-20
本篇文章将深入探讨PE文件解析器的工作原理、关键组件以及如何实现一个简易的PE文件解析器。 1. **PE文件结构** - **DOS头**:PE文件以一个简单的MS-DOS头开始,使得文件在没有PE加载器的DOS环境下也能运行。 - *...
C++ WINDOWS 获取PE文件特征
qq_43179054的博客
05-13 167
C++来获取PE文件的一些特征信息
C++PE文件格式解析类(轻松制作自己的PE文件解析器
paschen的专栏
02-06 8489
C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1495
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
计算机病毒如何得知pe文件,计算机病毒分析与对抗————二、PE文件
weixin_34369440的博客
07-27 668
一、PE文件定义小程序PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。数组二、PE文件结构函数 总共五部分:DOS头、PE文件头、节表、节,调试信息。spaDos头:3d由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS mode”或“This progr...
openssl C++研发之pem格式处理详解
N阶二进制的博客
11-21 2007
在OpenSSL的头文件中,和系列函数用于将特定类型的数据写入文件或BIO(内存缓冲区)中,其中XXXX代表不同的数据类型。这些函数的使用方式相似,通常接受一个文件指针(FILE*)或BIO指针(BIO*)作为参数,并将相应类型的数据写入到文件或BIO中。请根据需要选择合适的函数,并在使用时确保正确处理错误情况。
IMAGE_FIRST_SECTION
星空下的约定
11-30 3289
定位区块表(Section Table) 首先我们要知道,区段表是紧接在IMAGE_NT_HEADERS的后面的,如果我们找到了IMAGE_NT_HEADERS的地址,然后再加上IMAGE_NT_HEADERS的大小,是不是就找到了Section Table的地址了呢。知道了这个好开心微软在WinNT.h中提供了一个宏定义——IMAGE_FIRST_SECTION,用来定位区块表的它的具体实现如下
ConfigurationProperties配置报黄、无描述的问题
最新发布
JustryDeng
09-09 519
ConfigurationProperties美化配置
PE文件格式全面解析
"这篇文章深入解析Windows NT 3.1引入的PE文件格式,这是Windows操作系统家族中的一个重要变革。文章旨在解决PE文件格式规范的晦涩问题,通过全面的解释和源码示例帮助开发者理解该格式。作者开发了一个名为PEFILE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值