汇编语言读取PE文件

于 2021-11-15 21:17:09 发布
阅读量1.3k 收藏 19
点赞数 12
分类专栏: 汇编语言 文章标签: masm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54083075/article/details/121343082
版权

        首先说一下在MASM32Editor中,可以使用快捷键进行编译和运行——

        F12(第一次需要手动选择Project-Console Assemble & Link)进行编译,之后就可以按下Ctl+D召唤出cmd小黑窗啦~

        再来说一下踩到的雷,刚开始连个缓冲区是啥也不知道(-_-||太菜了呜呜呜),现在的粗浅一些的理解就是你找了一个大箱子,可以往里面塞东西,所以一定要给你的缓冲区开辟一定大小的空间(对,说的就是下文的buf3),如果不开空间就会出现一些莫名其妙的乱码(可能甚至在你根本没有输出的时候输出一堆你根本不认识的字儿强制你了解汉字的魅力。。。)

        题目要求呢,就是读出一些PE文件的内容,我们可以先用Ollydbg看看正确输出的结果是什么【具体操作是在View-File里面打开你的目标文件】;然后需要明确的一点是,咱们需要读取的内容是通过指针偏移量来定位的,所以需要确定好指针的起始位置,是Dos部首(MZ那块),还是PE文件头(PE那块)

话不多说,直接上代码~

 

.386
.model flat,stdcall
option casemap :none
include \masm32\include\windows.inc
include \masm32\include\masm32.inc
include \masm32\macros\macros.asm
include \masm32\include\kernel32.inc
includelib \masm32\lib\masm32.lib
includelib \masm32\lib\kernel32.lib

.data
que BYTE "Please input a PE file: ",0
que11 BYTE "IMAGE_DOS_HEADER",0Ah,0Dh,0
que12 BYTE "    e_magic:",0
que13 BYTE "    e_lfanew:",0
que21 BYTE "IMAGE_DOS_HEADER",0Ah,0Dh,0
que22 BYTE "    Signature:",0
que31 BYTE "IMAGE_DOS_HEADER",0Ah,0Dh,0
que32 BYTE "    NumberOfSections:",0
que33 BYTE "    TimeDateStamp:",0
que34 BYTE "    Charateristics:",0
que41 BYTE "IMAGE_DOS_HEADER",0Ah,0Dh,0
que42 BYTE "    e_magic:",0
que43 BYTE "    e_lfanew:",0
que51 BYTE "IMAGE_DOS_HEADER",0Ah,0Dh,0
que52 BYTE "    AddressOfEntryPoint:",0
que53 BYTE "    ImageBase:",0
que54 BYTE "    SectionAlignment:",0
que55 BYTE "    FileAlignment:",0

;!!!!!!!!!!!!!!!!!!!!!!!血与泪的教训,,一定要给buf3开足空间!!!!!!!!!!!!!!!!!!!!!!!

buf3 DWORD 4000 DUP(0)   ;缓冲区指针
buf4 DWORD 4000 DUP(0)   ;转成十六进制
buf5 WORD 4000 DUP (0)   ;存储后四位
buf2 BYTE "dec2dw.exe",0        ;这里写死了,所以每次读取的是dec2dw

ans BYTE 20 DUP(0),0
hfile DWORD 0,0    ;文件句柄

endl BYTE 0Ah,0Dh,0        ;换行
temp DWORD 0,0        ;存ecx的值,之前实验的时候好像发现ecx可能被悄悄改了
temp1 DWORD 0,0        ;定位指针的初始位置,是Dos头还是PE头

.code
Output PROC        ;读取相应位置的内容并转化成二进制,顺便再控制一波格式
;edx为偏移量
    mov esi,OFFSET buf3
    add esi,edx     ;把偏移量加上
    add esi,temp1   ;DOS头还是NT头
    mov eax,DWORD PTR[esi]
    mov ebx,eax    
    invoke dw2hex,eax,addr buf4        ;dw2hex包里有好像
    mov ecx,temp
    .if ecx==8
    invoke StdOut,addr buf4
    .else    
    mov ax,WORD PTR [buf4+4]
    mov buf5,ax
    invoke StdOut,addr buf5

    mov ax,WORD PTR [buf4+6]
    mov buf5,ax
    invoke StdOut,addr buf5
    .endif
    invoke StdOut,addr endl
ret
Output ENDP

start:
    invoke StdOut,addr que  ;输出请求
    invoke StdIn,addr ans,20    ;输入exe名称(象征性输入,,直接回车也莫得问题)
;打开文件
    invoke CreateFile,addr buf2,\        ;亲身实验,好像不加“\”也没问题
                       GENERIC_READ,\
                       FILE_SHARE_READ,\
                       0,\
                       OPEN_EXISTING,\
                       FILE_ATTRIBUTE_ARCHIVE,\
                       0
    mov hfile,eax   ;保存文件句柄
    invoke SetFilePointer,hfile,0,0,FILE_BEGIN
    invoke ReadFile,hfile,addr buf3,4000,0,0   
    mov esi,OFFSET buf3;文件入口

    ;buf3的地址是Dos部首的头,buf3的值是MZ啥的
    ;.....................................................................

    invoke StdOut,addr que11
    invoke StdOut,addr que12
;EM
    mov edx,0
    mov temp1,edx
    mov ecx,4
    mov temp,ecx
    invoke Output

    invoke StdOut,addr que13
;EF    
    mov edx,3ch
    mov ecx,8
    mov temp,ecx
    invoke Output
    
    invoke StdOut,addr que21
    invoke StdOut,addr que22
    mov temp1,ebx
;S
    mov edx,0
    invoke Output

    invoke StdOut,addr que31
    invoke StdOut,addr que32    
;NOS
    mov edx,6h
    mov ecx,4
    mov temp,ecx
    invoke Output

    invoke StdOut,addr que33
;TDS
    mov edx,8h
    mov ecx,8
    mov temp,ecx
    invoke Output

    invoke StdOut,addr que34
;C
    mov edx,16h
    mov ecx,4
    mov temp,ecx
    invoke Output

    invoke StdOut,addr que51
    invoke StdOut,addr que52    
;AOE
    mov edx,28h
    mov ecx,8
    mov temp,ecx
    invoke Output

    invoke StdOut,addr que53
;IB
    mov edx,34h
    invoke Output
    
    invoke StdOut,addr que54
;SA
    mov edx,38h
    invoke Output

    invoke StdOut,addr que55
;FA
    mov edx,3ch
    invoke Output
invoke CloseHandle,hfile
invoke ExitProcess,0
end start

 

唉!依然是在ddl上奔跑的一天......

本人新手+菜鸡一枚,有啥不对的地方欢迎大家指出来~

虽然不是考试周,,但是已经濒临破防.......xdm...挺住!!!共勉!


 

IICANDYII
关注
  • 12
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
专栏目录
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
c++读取pe文件
03-09
读取32位pe文件节表,导入表,导出表。。。。。。。。。。。。。。。。。
汇编程序设计:磁盘文件的读写
hairi1234的博客
01-02 4051
infile(文件读取) ;数据段 data segment file db 'c:\1.txt' , 0 ;文件名,dosbox 设置的c盘下的路径 buf db 256 dup(0) ;文件内容暂存区 error_message db 0ah , 'error !' , '$...
汇编解析pe文件
pureman_mega的博客
04-08 741
主要是为了练习一下汇编语言编成和pe文件结构。 #include<stdio.h> #include<windows.h> //winnt.h char *OutputDebug="OutputDebugStringA\0";//length=0x12 DWORD KernelBase=0x7c800000;//方便试验,直接用工具读的一个值 WORD d...
PE程序壳编写学习过程(一)PE文件读取
l470279614的博客
08-26 1566
参考书籍《加密与解密》第三版 一,头文件的包含。 由于使用WinGw编译,需要包含windef.h。然后为了windows文件读取,包含winbase.h。又由于提示缺少va_list的声明,包含stdarg.h解决。 待续/
PE 文件解析程序(含反汇编)
08-13
解析PE文件时,我们需要读取文件头,理解其结构,并能够提取出各种元数据。 接着,反汇编是将二进制机器码转换为人类可读的汇编语言的过程。这对于分析代码逻辑、调试和逆向工程至关重要。反汇编器会识别每条机器...
PE文件后添加代码
12-23
"在PE文件后添加代码"这个主题聚焦于如何利用汇编语言来操作可执行文件(Portable Executable, PE)结构,以在原有程序的基础上插入新的代码段。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库(DLL...
《琢石成器:汇编语言程序设计》课件
06-24
9. **程序链接与加载**:解析可执行文件的格式,如PE文件格式,以及链接器和加载器的工作原理。 10. **实践应用**:通过实例项目,如编写简单的控制台程序、图形界面程序,帮助读者巩固所学知识并提升实战能力。 ...
易语言pe反汇编
07-21
在易语言中进行PE反汇编,开发者需要具备易语言编程基础,同时要熟悉汇编语言PE文件结构。虽然易语言的语法相对简单,但进行PE反汇编仍是一项复杂的工作,需要深入的底层知识和实践经验。 总结来说,易语言PE反...
反汇编PE工具源码
06-13
【反汇编PE工具源码】是一份专用于解析和反汇编Windows可执行文件(Portable Executable,简称PE)的源代码库,适合初学者深入理解PE文件格式和汇编语言。源码以C++编程语言编写,这使得代码具有良好的可读性和效率...
PE文件读取软件,也可以读取DLL文件
05-16
这款软件可以读取PE文件,把PE文件按照固定的格式打开,用,每个区段都是既有相应的十六进制格式,又有文字说明。
PE文件读取程序示例
04-14
一个简单的小程序,用来读取PE文件信息,有兴趣的入门同学可以看看。
MASM32 Editor.exe
06-01
MASM32 Editor
PE文件结构的基础概念,用32位汇编写一个程序读取PE文件
weixin_43575859的博客
03-11 859
PE文件文件头部分,节表部分,还有节区部分组成。其中文件头包括PE文件头还有DOS文件头,节表主要是用来说明每个节的RVA地址(RVA地址就是文件被装载到内存后数据相对于文件起始位置的偏移量)还有节的尺寸的,当然还有一些其他的信息。而节区就是将属性相同的文件数据放在了一起,比如可执行的放一起,只读的放一起等等。 这是PE文件头的大概样子: DOS文件头 DOS头部分由MZ格式...
汇编语言文件读取
热门推荐
dasgk的专栏
12-19 1万+
;************************************************** TITLE 文件读写 ;************************************************** ;************************************************** ;运行平台说明 .MODEL SMALL,STDCALL OPT
利用masm32输出PE文件头的基本属性
m0_52196359的博客
11-02 1472
利用masm32输出PE文件头的基本属性 文章目录利用masm32输出PE文件头的基本属性一、masm32中的INVOKE二、PE头格式三、读取代码 注:本文章作者水平较低,本文仅为作者自主实验时的学习笔记,如有不妥之处,还请指正,文中斜体皆为参考权威书籍 参考:《X86汇编语言》王爽 《加密与解密》第四版 《逆向工程核心原理》 工具:PEView,ollydbg,masm32环境 一、masm32中的INVOKE INVOKE伪指令仅在32位的情况下使用,将参数逆序(与声明参数顺序相反)入栈,它是cal
WIN32 汇编写病毒感染PE文件
枪与玫瑰的专栏
05-05 4515
WIN32 汇编写病毒感染PE文件作者:PSH 日期:2007/3/26转载请注明出处,本人原创,欢迎交流。近来没事学习了下病毒技术,看到网上好多年青人对这个比较感兴趣,那就写出来大家分享下吧。1前提知识a.熟练WIN32 ASM 语言,不会ASM就难得写出感染PE的病毒。比如“熊猫”,就不是ASM 写的,他感染PE就是个捆绑机。b.熟悉PE文件的格式,不了解PE怎么写病毒,病毒就是修改PE文件
PE程序增加区段并嵌入汇编代码
01-13 757
<br />#include <windows.h> #include <stdio.h> #include <winbase.h> bool OpenMyFile(char fileName[]); LPVOID AddSection(LPVOID ImageBase,char sectionName[],DWORD SectionNumber); DWORD ToAlign(DWORD SectionNumber,DWORD AlignSize); //取整 第二个参数表示以
流程挖掘平台,全球前12强生产商排名及市场份额.docx
最新发布
07-18
流程挖掘平台,全球前12强生产商排名及市场份额.docx
8086汇编语言读取PE文件的输入输出表
06-02
读取PE文件的输入输出表,需要先了解PE文件的结构。PE文件头有一个叫做“NT头”的结构体,其中包含了一个指向节表的指针,我们可以通过这个指针访问到所有的节表,然后找到需要的输入输出表。 具体地,我们可以通过以下步骤来读取PE文件的输入输出表: 1. 打开PE文件读取文件头,获取NT头的位置。 2. 在NT头中找到节表的位置和数量。 3. 遍历每个节表,找到名称为“.idata”的节表。 4. 在“.idata”节表中,找到输入输出表的位置和大小。 5. 读取输入输出表的内容,获取所需的信息。 在8086汇编语言中,可以使用文件操作相关的指令来打开和读取文件,使用循环和条件语句来遍历和查找节表,使用指针和偏移量来访问输入输出表的内容。具体实现过程需要参考具体的编程环境和操作系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值