通过解析PE格式来判断程序是x86或x64

最新推荐文章于 2022-09-17 15:43:31 发布
最新推荐文章于 2022-09-17 15:43:31 发布
阅读量978 收藏 2
点赞数
分类专栏: 文件管理 文章标签: PE x86orx64
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37957965/article/details/84339683
版权
本文详细介绍了如何通过分析PE(Portable Executable)文件格式的特定字段,来确定程序是32位(x86)还是64位(x64)架构。内容涵盖PE头信息、节区表以及重要的IMAGE_NT_HEADERS结构,阐述了关键判断依据。
摘要由CSDN通过智能技术生成 
方法一:通过OptionalHeader.Magic判断


//传参为文件完整路径

int SeIsX64PEFile(WCHAR* ProcessFullPath)
{
	Wow64EnableWow64FsRedirection(FALSE);   //禁止重定位!(禁止系统修改文件路径)
	
       HANDLE FileHandle = CreateFile(ProcessFullPath, GENERIC_READ,
		FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	
       PIMAGE_DOS_HEADER ImageDosHeader = NULL;
	PIMAGE_NT_HEADERS ImageNtHeaders = NULL;

	if (FileHandle == INVALID_HANDLE_VALUE)
	{
		return 0;
	}

	char FileData[PAGE_SIZE] = { 0 };

	DWORD ReturnLength = 0;
	if (ReadFile(FileHandle, FileData, PAGE_SIZE, &ReturnLength, NULL) == FALSE)
	{
		CloseHandle(FileHandle);
		return 0;
	}

	else
	{
		CloseHandle(FileHandle);
		ImageDosHeader = (PIMAGE_DOS_HEADER)FileData;
              if (ImageDosHeader->e_magic != 0x5a4d) 
		{
			return 0;
		}

		ImageNtHeaders = (PIMAGE_NT_HEADERS)((UINT8*)FileData + ImageDosHeader->e_lfanew);
              if (ImageNtHe
最低0.47元/天 解锁文章
拉塞尔
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows下判断PE文件是32位还是64位程序
perry_xiao的专栏
09-01 7645
int __stdcall get_file_machine_bit(const WCHAR * pwszFullPath) { FILE * peFile = NULL; _wfopen_s(&peFile, pwszFullPath, L"rb"); if (peFile == NULL) { fclose(peFile)
制作winpe ISO(x86/amd64/ARM)
Moxianzhe的博客
03-25 6414
1.WIN+R查看Windows版本 2.从微软官网下载与windows版本匹配的ADK工具包(下载并安装 Windows ADK | Microsoft Docs),如下红框内的2个必须都下载。 3.分别执行adksetup.exe和adkwinpesetup.exe,注意adksetup只需要安装部署工具选项,其他的不需要 4.执行windows菜单里的“部署和映像工具环境” 5.在上述CMD窗口内依次执行如下指令即可制作对应winpe ::如下命令会将对应的w...
LLVM LLD PE 格式分析 (COFF)
zhangxiang0503的博客
09-17 555
LLVM LLD PE 格式分析(COFF)
逆向知识点
qq_42021840的博客
01-18 930
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
如何判断程序x86还是x64类型
云淡风轻
09-10 5912
PE头信息中的Machine类型可以判断程序的类型,下面是借助工具判断程序的类型例子 @1:x86 @2:x86-64 ---------------------------------------------------------------------------------------------------------------------------------
x86x64体系探索及编程-DOS版本程序
最新发布
08-27
x86/x64 体系探索及编程》是一本深入探讨x86x64架构的书籍,尤其在DOS环境下进行了实践性的程序设计。邓志老师通过这本书,引领读者了解这两种主流处理器架构的基本原理,以及如何在DOS操作系统下编写程序。 ...
Win10-16299-PE-x86x64-wfii-10.31.iso
06-24
10 wifi pe
vcredist_13x86_x64 安装程序
12-28
在计算机软件领域,vcredist_13x86_x64安装程序是一个至关重要的组件,尤其对于那些依赖Microsoft Visual C++运行时库的应用程序来说。本文将深入探讨vcredist的相关知识点,包括其功能、作用以及如何正确安装。 ...
Windows6.1-KB2533623-x86X64.zip
09-17
标题中的"Windows6.1-KB2533623-x86X64.zip"表明这是一个针对Windows操作系统的更新补丁压缩文件。"KB2533623"是微软发布的特定更新编号,通常用于追踪和识别特定的安全修复或功能改进。这个编号的x86X64表示...
java版PE分析器
12-10
java版PE分析器,分析了exe.dll文件的16进制源码 和 文件结构。和 导入导出表
WINpe镜像,windowsPE镜像
09-21
该镜像为windows的X86PE.iso镜像,用于U盘安装系统使用,将镜像刻录到U盘,然后将需要安装的镜像传进去即可。
dotnetfx45_full_x86_x64微软官方
08-28
.NET Framework 是 Windows、Windows Phone、Windows Server 和 Windows Azure 生成应用程序的开发平台。 它包括公共语言运行时 (CLR) 和 .NET framework 类库,其中包含类、接口和支持多种技术的值类型。 .NET ...
1-2 Windows下启动函数(真正的入口函数) 之 寻找入口函数与_security_init_cookie
coolbrucekai的专栏
06-20 3418
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
64位PE
datouyu0824的博客
03-20 952
PE64(x64) 注意事项 64位PE文件被称为PE32+,PE+, PE64 解析x64PE时应该注意地址大小,PE64涉及到指针时应该都是64位 PE64结构 IMAGE_DOS_HANDLE PE64的DOS头与PE32没有区别 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp;
iczelion pe tutcn4
jimgreen的专栏
08-29 791
 PE教程4: Optional Header我们已经学习了关于 DOS headerPE header 中部分成员的知识。这里是 PE header 中最后、最大或许也是最重要的成员,optional header。回顾一下,optional header 结构是 IMAGE_NT_HEADERS 中的最后成员。包含了PE文件的逻辑分布信息。该结构共有31个域,一些是很关键,另
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 581
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
Linux 如何判断x86还是x64
05-26
在 Linux 系统中,可以通过以下命令来判断x86 还是 x64: ``` uname -m ``` 如果输出结果是 `x86_64`,则表示是 x64 系统;如果输出结果是 `i686` 或者 `i386`,则表示是 x86 系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值