PE头 解析程序 42作业

最新推荐文章于 2022-10-27 14:56:33 发布
最新推荐文章于 2022-10-27 14:56:33 发布
阅读量528 收藏 2
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63206880/article/details/123670473
版权

通过海哥的滴代码方式写的

#include <stdio.h>
#include <iostream>
#include <Windows.h>
#include <stdlib.h>
#include <string>
#pragma warning(disable : 4996)
LPVOID ReadPEFile()
{
	LPVOID FILEbuffer();
	int size = NULL;
	FILE* fp;
	fp = fopen("C:\\Users\\Administrator\\Desktop\\notepad.exe", "rb");
	fseek(fp, 0, SEEK_END);
	size = ftell(fp);
	//printf("占用字节数:%d\n", size);
	fseek(fp, 0, SEEK_SET);
	//申请内存
	LPVOID ptr = NULL;
	ptr = malloc(size);
	//把exe文件数据导入内存
	if (ptr == NULL) { free(ptr); return NULL; }
	else { memset(ptr, 0, size);fread(ptr, size, 1, fp); }
	
	fclose(fp);
	return ptr;	
}
LPVOID PE_Header()
{
	LPVOID pFileBuffer = NULL;
	PIMAGE_DOS_HEADER pDosBuffer = NULL;
	PIMAGE_NT_HEADERS pNTBuffer = NULL;
	PIMAGE_FILE_HEADER pStanderd = NULL;
	PIMAGE_OPTIONAL_HEADER PEOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSection_Header=NULL;


	pFileBuffer = ReadPEFile();
	//printf("%08x ", ((LPVOID)pFileBuffer));
	//判断传进来的是否为空
	if (pFileBuffer==NULL)
	{
		printf("FileBuffer error!");
		free(pFileBuffer);
		return 0;
	}
	//判断DOS头是否是MZ可执行文件;
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("Error Not PE MZ! ");
		free(pFileBuffer);
		return 0;
	}
	//判断如果等于 MZ可执行文件 进行赋值打印 DOS头
	pDosBuffer = (PIMAGE_DOS_HEADER)pFileBuffer;
	printf("\n\n[*][*][*][*][*]-<DOS->[*][*][*][*][*]\n");
	printf("%04x\n", pDosBuffer->e_magic);
	printf("%08x\n", pDosBuffer->e_lfanew);
	printf("[*][*][*][*][*][*]-[*][*][*][*][*][*]\n");

	//判断PE NT偏移是否正确;
	//判断PFileBuffer + pDosBuffer->e_lfanew  DWORD四字节赋值加  PWORD两字节对比
	if (*((PWORD)((DWORD)pFileBuffer+pDosBuffer->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("not NT error!");
		free(pFileBuffer);
		return 0;
	}
	//条件不成立 将地址0的pFileBuffer+pDosBuffer->e_lfanew 赋值给pNTBuffer
	pNTBuffer = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosBuffer->e_lfanew);
	printf("\n\n\n\n[*][*][*][*][*]<- PENT标志 ->[*][*][*][*][*]\n");
	printf("Signatture				%08x\n", pNTBuffer->Signature);
	printf("[*][*][*][*][*][*]-[*][*][*][*][*][*][*][*][*][*]\n");
	printf("\n\n\n\n\n[*][*][*][*][*]<- 标准PE头 ->[*][*][*][*][*]\n");
	pStanderd = (PIMAGE_FILE_HEADER)(((DWORD)pNTBuffer)+4);
	printf("Machine							%04x\n", pStanderd->Machine);
	printf("NumberofSections节表数-->			%04x\n", pStanderd->NumberOfSections);
	printf("Time date Stamp						%08x\n", pStanderd->TimeDateStamp);
	printf("pointer To SymbilTable;					%08x\n", pStanderd->PointerToSymbolTable);
	printf("Number of symbols					%08x\n", pStanderd->NumberOfSymbols);
	printf("Size of optionalHeader可选PE头的大小-->		%04x\n", pStanderd->SizeOfOptionalHeader);
	printf("Char acteristics					%04x\n",pStanderd->Characteristics);
	printf("[*][*][*][*][*][*]-[*][*][*][*][*][*][*][*][*][*]\n");

	printf("\n\n\n\n\n[*][*][*][*][*]<- 可选PE头 ->[*][*][*][*][*]\n");
	PEOptionHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pStanderd+IMAGE_SIZEOF_FILE_HEADER); //IMAGE_SIZEOF_FILE_HEADER 里面存的是标准PE头占用的字节宽度
	printf("Magic						%04x\n", PEOptionHeader->Magic);
	printf("MajorLinkerVersion				%02x\n", PEOptionHeader->MajorLinkerVersion);
	printf("MinorLinkerVersion;				%02x\n", PEOptionHeader->MinorLinkerVersion);
	printf("Size of code *					%08x\n", PEOptionHeader->SizeOfCode);
	printf("Size of InitializedData*			%08x\n", PEOptionHeader->SizeOfInitializedData);
	printf("Size of UninitializedData*			%08x\n", PEOptionHeader->SizeOfUninitializedData);
	printf("address of Entry Point*				%08x\n", PEOptionHeader->AddressOfEntryPoint);
	printf("BaseOfCode;*					%08x\n", PEOptionHeader->BaseOfCode);
	printf("BaseOfData;*					%08x\n", PEOptionHeader->BaseOfData);
	printf("image Base					%08x\n", PEOptionHeader->ImageBase);
	printf("SectionAlignment;*				%08x\n", PEOptionHeader->SectionAlignment);
	printf("FileAlignment;*					%08x\n", PEOptionHeader->FileAlignment);
	printf("MajorOperatingSystemVersion;			%04x\n", PEOptionHeader->MajorOperatingSystemVersion);
	printf("MinorOperatingSystemVersion;			%04x\n", PEOptionHeader->MinorOperatingSystemVersion);
	printf("MajorImageVersion;				%04x\n", PEOptionHeader->MajorImageVersion);
	printf("MinorImageVersion;				%04x\n", PEOptionHeader->MinorImageVersion);
	printf("MajorSubsystemVersion;				%04x\n", PEOptionHeader->MajorSubsystemVersion);
	printf("MinorSubsystemVersion;				%04x\n", PEOptionHeader->MinorSubsystemVersion);
	printf("Win32VersionValue;				%08x\n", PEOptionHeader->Win32VersionValue);
	printf("Size of image*					%08x\n", PEOptionHeader->SizeOfImage);
	printf("size of Headers*				%08x\n", PEOptionHeader->SizeOfHeaders);
	printf("CheckSum*					%08x\n", PEOptionHeader->CheckSum);
	printf("Subsystem;					%04x\n", PEOptionHeader->Subsystem);
	printf("DllCharacteristics				%04x\n", PEOptionHeader->DllCharacteristics);
	printf("size of stack Reserve*				%08x\n", PEOptionHeader->SizeOfStackReserve);
	printf("size of Stack Commit*				%08x\n", PEOptionHeader->SizeOfStackCommit);
	printf("size of heap reserve*				%08x\n", PEOptionHeader->SizeOfHeapReserve);
	printf("Size of Heap Commit*				%08x\n", PEOptionHeader->SizeOfHeapCommit);
	printf("loader Flags					%08x\n", PEOptionHeader->LoaderFlags);
	printf("Number Of RvaAndSizes目录项数目*		%08x\n", PEOptionHeader->NumberOfRvaAndSizes);
	printf("\n\n\n\n\n[*][*][*][*][*][*][*][*][*][*][*][*][*][*][*]\n");
	free(pFileBuffer);
	return 0;
}
int main()
{
	ReadPEFile();
	PE_Header();
	return 0;
}

这个是通过指针自己写的

#include <iostream>
#include <stdio.h>
#include <stdlib.h>
#include <Windows.h>
#pragma warning(disable : 4996)
#define LPVOID void*
LPVOID FILEbuffer()
{
	int size = NULL;
	FILE* fp;
	fp = fopen("C:\\Users\\Administrator\\Desktop\\notepad.exe", "rb");
	fseek(fp, 0, SEEK_END);
	size = ftell(fp);
	//printf("占用字节数:%d\n", size);
	fseek(fp, 0, SEEK_SET);
	//申请内存
	LPVOID ptr = NULL;
	ptr = malloc(size);
	//把exe文件数据导入内存
	if (ptr == NULL) { free(ptr); return NULL; }
	else { memset(ptr, 0, size);fread(ptr, size, 1, fp); }

	fclose(fp);
	return ptr;
}

void PEheader()
{
	LPVOID pFilebuffer = NULL;
	//开始赋值
	int* filesizes = (int*)FILEbuffer();
	printf("%08x", *(filesizes+0x38));
	unsigned int* pointbuffer = (unsigned int*)filesizes;
	unsigned short* psbuffer = (unsigned short*)pointbuffer;
	unsigned char* pcbuffer = (unsigned char*)pointbuffer;

	if (!pointbuffer)
	{
		printf("文件读写失败!\n");
		return ;
	}
	//判断是否是有效MZ标志位
	short MZhead = 0x5a4d;
	if (*psbuffer != MZhead)
	{
		printf("不是MZ可执行文件!\n");
		printf("%x", *psbuffer);
		free(pointbuffer);
		return;
	}
	//测试是否是5a4d
	//printf("%x", *psbuffer);

	//打印PE  DOS头
	printf("[*][*][*][*][*]PE DOS块[*][*][*][*][*]\n\n");
	printf("MZ可执行标记    :				%04x\n", *psbuffer);
	printf("PE指向地址偏移量:				%08x\n\n", *(pointbuffer + 0xF));
	printf("[*][*][*][*][*][*][*][*][*][*][*][*]\n");

	//判断PE偏移量是否成立

	unsigned int* tmp = (unsigned int*)(pcbuffer + 0xE0);
	int e = 0x00004550;
	if (*tmp != e)
	{
		printf("error");
		return;
	}
	//打印NT头
	printf("\n\n\n[*][*][*][*][*]PE标准头[*][*][*][*][*]\n");
	printf("NT:						%08x\n", *(tmp));
	psbuffer = (unsigned short*)(tmp+1);
	printf("标准PE头 machine:				%04x\n",*(psbuffer));
	printf("Number OF Sections:				%04x\n", *(psbuffer+1));
	tmp = (unsigned int*)(psbuffer+2);
	printf("Time Date Stamp:				%08x\n", *tmp);
	printf("Pointer ToSymbl Table:				%08x\n", *(tmp+1));
	printf("Numder of Symbols:				%08x\n", *(tmp+2));
	psbuffer = (unsigned short*)(tmp + 3);
	printf("Size of Option Header:				%04x\n", *(psbuffer));
	printf("Char actere:					%04x\n", *(psbuffer+1));
	printf("[*][*][*][*][*][*][*][*][*][*][*][*][*]\n");

	printf("\n\n\n[*][*][*][*][*]可选PE标准头[*][*][*][*][*]\n");
	printf("magic:						%04x\n", *(psbuffer + 2));
	pcbuffer = (unsigned char*)(psbuffer + 3);

	printf("MajorLinkerVersion				%02x\n", *(pcbuffer));
	printf("MinorLinkerVersion				%02x\n", *(pcbuffer+1));
	tmp = (unsigned int*)(pcbuffer+2);
	printf("size of code*:					%08x\n", *(tmp));
	printf("size of initializeData*:			%08x\n", *(tmp+1));
	printf("SizeOfUninitializedData;*:			%08x\n", *(tmp+2));
	printf("adderss of EntryPoint*:				%08x\n", *(tmp+3));
	printf("Base of code*:					%08x\n", *(tmp+4));
	printf("Base of data*:					%08x\n", *(tmp+5));
	printf("Image Base*:					%08x\n", *(tmp+6));
	printf("SectionAlignment*:				%08x\n", *(tmp+7));
	printf("FileAlifnment:					%08x\n", *(tmp+8));
	psbuffer = (unsigned short*)(tmp + 9);
	printf("MajorOperatingSystemVersion;			%04x\n", *psbuffer);
	printf("MinorOperatingSystemVersion;			%04x\n", *(psbuffer + 1));
	printf("MajorImageVersion;				%04x\n", *(psbuffer + 2));
	printf("MinorImageVersion;				%04x\n", *(psbuffer + 3));
	printf("MajorSubsystemVersion;				%04x\n", *(psbuffer + 4));
	printf("MinorSubsystemVersion;				%04x\n", *(psbuffer + 5));
	tmp = (unsigned int*)(psbuffer + 6);
	printf("Win32VersionValue;				%08x\n", *(tmp));
	printf("Size of  image*;				%08x\n", *(tmp+1));
	printf("size of Headers*;				%08x\n", *(tmp+2));
	printf("CheckSum*;			    		%08x\n", *(tmp+3));
	psbuffer = (unsigned short*)(tmp + 4);
	printf("Subsystem;					%04x\n", *psbuffer);
	printf("Dllcharacteristics;				%04x\n", *(psbuffer+1));
	tmp = (unsigned int*)(psbuffer + 2);
	printf("size of stack Reserve*;				%08x\n", *(tmp));
	printf("size of stack Commit*;				%08x\n", *(tmp+1));
	printf("size of Heap Reserve*;				%08x\n", *(tmp+2));
	printf("size of Heap Commit*;				%08x\n", *(tmp+3));
	printf("LoaderFlags;;					%08x\n", *(tmp+4));
	printf("NumberOfRvaAndSizes;				%08x\n", *(tmp+5));
	printf("[*][*][*][*][*][*][*][*][*][*][*][*][*]\n");
}
int main()
{
	FILEbuffer();
	PEheader();
	return 0;
}

xiaodou^_^
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
学习PE文件
peterchilly的博客
03-31 380
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 表示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
readFile读取文件
游海东的技术专栏
06-30 8882
1、问题背景     利用readFile方法读取HTML文件,并输出文件内容2、实现源码E:\>cd E:\Program Files\nodejs E:\Program Files\nodejs>node app.js <Buffer 3c 21 64 6f 63 74 79 70 65 20 68 74 6d 6c 3e 0d 0a 3c 68 74 6d 6c 20 6c 61 6e 6
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE
PE 输入表 解析 python
11-03
运行环境 python3 在CMD或Powershell中运行命令 python IMPORT_TABLE_0.py PE文件路径 注意:解析的是32位PE文件 PE文件可选映像中数据目录表的第二成员指向输入表,输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个单元是NULL。
PE信息查看程序
12-03
MFC写的PE信息查看,新手刚边学的PE 边写的 有的功能还没实现
PE-重定位表
qq_51600802的博客
10-27 902
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
滴水三期逆向基础系列(番外)-判断PE文件是否为64位
henuyl的博客
04-28 398
BOOL is64Bit = is64BitOS(FilePath_In); BOOL is64BitOS( IN LPSTR lpszFile ){ LPVOID pDemoBuffer = NULL; ReadPEFile(lpszFile, &pDemoBuffer); PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS i...
PE文件学习笔记
vurtual的博客
03-14 148
PE的DOC里面最后一个字节的数字-e8表示文件开开始过E8个字节是文件真正开始的地方–PE.注意e8不是一定的. 1 DOC: WORD e_magic “MZ标记”用于判断是否可执行文件 DWORD e_lfanew PE相对于文件的偏移,用于定位PE文件 2 标准PE: WORD Machine 程序运行的CPU型号:0x0任何处理器/0x14C 386及后续处理器 WORD NumberOfSections 文件存在的节的总数,如果要新增或者合并节,要修改这个值 DW
pE文件操作--移动导出表
qq_31125257的博客
12-28 669
一、什么是导出表? 先回顾一下导出表的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子表;其中地址表存储的是导出的函数地址,名称表存储的是以名字导出的函数的函数名的RVA,序号表存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种表? 这些表是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些表做初始化的工作,如将用到的DLL中的函数地址存储到IAT表; 为了
PE 文件解析程序(含反汇编)
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
劳特巴赫或PE程序.docx
07-18
劳特巴赫或PE程序
一个简单的加壳解壳程序
霜剑道人
06-19 1138
1、资源说明 环境:win10 vs2017 Shell.exe 壳子程序 src.exe 要加壳的源程序 2、加壳过程 获取Shell程序的路径 获取src程序的路径 将src程序读取到内存中,加密 在Shell程序中新增一个节,并将加密后的src程序追加到Shell程序的新增节中 保存加壳后的程序 3、加壳代码 #include <stdio.h> #include <windows.h> #define SRC_PATH "D:\\crackme.e.
逆向编程一,PE结构拉伸内存
cszrydn的专栏
05-20 652
PE的加载从文件到内存有一个拉伸的过程,拉伸的原因是因为PE在文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件和内存对齐字节都是一样的)。文件对齐字节在可选PE里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
滴水逆向(作业4)
weixin_52437902的博客
07-28 387
代码】滴水逆向(作业4)
python 读写PE文件模块pefile
it技术学习
05-20 4477
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。 比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查壳脱壳等。 搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。 这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。 开发包的下载地址:http://code.google.co
PE 中NT 遍历
网瘾少年丶的博客
05-26 413
LPVOID ReadPEFile(LPSTR lpszFile) { FILE *pFile = NULL; DWORD fileSize = 0; LPVOID pFileBuffer = NULL; //打开文件 pFile = fopen(lpszFile, "rb"); if(!pFile) { printf(" 无法打开 EXE ...
PE文件合并节的代码实现
qq_31125257的博客
12-11 311
当DOS stub的空间也不够80个字节的时候,需要把原有的几个节表合并成一个节表,这样就可以腾出两个节表的空间,进而可以增加新的节。 疑惑:原有文件的几个节之间的联系会受合并节带来的影响吗?当代码节调用数据节的时候,如何指定位置?合并节后,唯一节表的属性是原有节的属性或运算出来的结果,会带来安全问题吗?为什么合并节要先拉伸出来才能合并,因为拉伸后才是文件在内存中的状态?但拉伸这个动作本来就是按照fileBuffer中的pe部属性virtualsize和sizeofrawdata,virtualaddre
滴水逆向——PE新增一个节
sunr.
04-09 1092
1.问题描述: 2.注意事项: (1)首先判断部的空白区够不够加节表, 所有的节表后面必须跟40个字节0。所以添加节表时得确保有两个节表大小(即80字节)的连续剩余。 分三种情况:a.部的最后一个节表后直接可以放下两个节区 b.节表后放不下,但是dospe前可放下 c.前两种情况都不行,需扩大最后...
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI中的相关函数,我们可以打开并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值