pe结构打印

最新推荐文章于 2024-05-17 13:26:14 发布
最新推荐文章于 2024-05-17 13:26:14 发布
阅读量117 收藏
点赞数 1
分类专栏: c练习 文章标签: windows c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38236017/article/details/128393273
版权 
#define _CRT_SECURE_NO_DEPRECATE
#include <stdio.h>
#include <stdlib.h>
#include<Windows.h>


int main() {
	//要读取的exe   读取
	FILE* fp = NULL;
	
	//要写入的位置
	FILE* new_fp = NULL;
	long file_size;
	char* file_buffer;//文件
	char* image_buffer;//内存映像
	char* new_buffer;
	fp = fopen("C:\\Users\\asus\\Desktop\\PETool.exe", "rb");
	fseek(fp, 0, SEEK_END);//指向文件末尾
	file_size = ftell(fp);//当前指针位置 相对于 文件首地址 的 偏移字节数
	fseek(fp, 0, SEEK_SET);//指向文件开始
	printf("文件大小:%d字节\n", file_size);

	//申请内存空间存放PE文件
	file_buffer = (char*)malloc(file_size);
	memset(file_buffer, 0, file_size);
	fread(file_buffer,file_size,1,fp);
	PIMAGE_DOS_HEADER pDos_Header = (PIMAGE_DOS_HEADER)file_buffer;

	//DOS头
	printf("DOS头\n");
	printf("Dos头起始位置:0x%x\n", pDos_Header);
	printf("打印pDos_Header->\ne_magic:%x\t\t\tMZ标记用于判断是否为可执行文件 \n", pDos_Header->e_magic);// "MZ标记" 用于判断是否为可执行文件.	
	printf("e_lfanew:%x\t\t\tPE头相对于文件的偏移,用于定位PE文件\n", pDos_Header->e_lfanew);// PE头相对于文件的偏移,用于定位PE文件
	//NT头
	printf("\n打印NT头\n\n");
	PIMAGE_NT_HEADERS pNT_Header = (PIMAGE_NT_HEADERS)(file_buffer + pDos_Header->e_lfanew);
	printf("pNT_Header:%x\t\t\t打印NT头起始位置\n",pNT_Header);
	printf("Signature:%.8x\t\t\t\n",pNT_Header->Signature);
	printf("FileHeader:%.8x\t\t\t\n",pNT_Header->FileHeader);
	printf("OptionalHeader: % .8x\t\t\t\n",pNT_Header->OptionalHeader);
	printf("\n打印标准PE头\n\n");
	printf("Machine: % .8x\t\t\t程序运行的CPU型号:0x0 任何处理器/0x14C 386及后续处理器\n", pNT_Header->FileHeader.Machine);
	printf("NumberOfSections: % .8x\t\t文件中存在的节的总数,如果要新增节或者合并节 就要修改这个值\n", pNT_Header->FileHeader.NumberOfSections);
	printf("TimeDateStamp: % .8x\t\t\t时间戳:文件的创建时间(操作系统的创建时间无关),编译器填写的\n", pNT_Header->FileHeader.TimeDateStamp);
	printf("SizeOfOptionalHeader: % .8x\t\t可选PE头的大小,32位PE文件默认E0h 64位PE文件默认为F0h小可以自定义\n", pNT_Header->FileHeader.SizeOfOptionalHeader);
	printf("Characteristics: % .8x\t\t每个位有不同的含义,可执行文件值为10F 即0 1 2 3 8位置1\n", pNT_Header->FileHeader.Characteristics);
	printf("\n打印扩展PE头\n\n");
	printf("Magic: % .8x\t\t\t\t说明文件类型:10B 32位下的PE文件     20B 64位下的PE文件\n", pNT_Header->OptionalHeader.Magic);
	//printf("MajorLinkerVersion: % .8x\t\t\t \n", pNT_Header->OptionalHeader.MajorLinkerVersion);
	//printf("MinorLinkerVersion: % .8x\t\t\t\n", pNT_Header->OptionalHeader.MinorLinkerVersion);
	printf("SizeOfCode: % .8x\t\t\t所有代码节的和,必须是FileAlignment的整数倍 编译器填的  没用\n", pNT_Header->OptionalHeader.SizeOfCode);
	printf("SizeOfInitializedData: % .8x\t\t已初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的  没用\n", pNT_Header->OptionalHeader.SizeOfInitializedData);
	printf("SizeOfUninitializedData: % .8x\t未初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的  没用\n", pNT_Header->OptionalHeader.SizeOfUninitializedData);
	printf("AddressOfEntryPoint: % .8x\t\t程序的入口\n", pNT_Header->OptionalHeader.AddressOfEntryPoint);
	printf("BaseOfCode: % .8x\t\t\t代码开始的基址,编译器填的   没用\n", pNT_Header->OptionalHeader.BaseOfCode);
	printf("BaseOfData: % .8x\t\t\t数据开始的基址,编译器填的   没用\n", pNT_Header->OptionalHeader.BaseOfData);
	printf("ImageBase: % .8x\t\t\t内存镜像基址\n", pNT_Header->OptionalHeader.ImageBase);
	printf("SectionAlignment: % .8x\t\t内存对齐\n", pNT_Header->OptionalHeader.SectionAlignment);
	printf("FileAlignment: % .8x\t\t\t文件对齐\n", pNT_Header->OptionalHeader.FileAlignment);
	printf("SizeOfImage: % .8x\t\t\t内存中整个PE文件的映射的尺寸,可以比实际的值大,但必须是SectionAlignment的整数倍\t\n", pNT_Header->OptionalHeader.SizeOfImage);
	printf("SizeOfHeaders: % .8x\t\t\t所有头+节表按照文件对齐后的大小,否则加载会出错\n", pNT_Header->OptionalHeader.SizeOfHeaders);
	printf("CheckSum: % .8x\t\t\t校验和,一些系统文件有要求.用来判断文件是否被修改.\n", pNT_Header->OptionalHeader.CheckSum);
	//printf("Subsystem: % .8x\t\t\t\n", pNT_Header->OptionalHeader.Subsystem);
	//printf("DllCharacteristics: % .8x\t\t\t\n", pNT_Header->OptionalHeader.DllCharacteristics);
	printf("SizeOfStackReserve: % .8x\t\t初始化时保留的堆栈大小\n", pNT_Header->OptionalHeader.SizeOfStackReserve);
	printf("SizeofStackCommit: % .8x\t\t初始化时实际提交的大小\n", pNT_Header->OptionalHeader.SizeOfStackCommit);
	printf("SizeOfHeapReserve: % .8x\t\t初始化时保留的堆大小\n", pNT_Header->OptionalHeader.SizeOfHeapReserve);
	printf("SizeOfHeapCommit: % .8x\t\t初始化时十几提交的大小\n", pNT_Header->OptionalHeader.SizeOfHeapCommit); 
	//printf("LoaderFlags: % .8x\t\t\t\n", pNT_Header->OptionalHeader.LoaderFlags);
	printf("NumberOfRvaAndSizes: % .8x\t\t目录项数目\n", pNT_Header->OptionalHeader.NumberOfRvaAndSizes);
	//打印节表  区段
	PIMAGE_SECTION_HEADER pSction_Header = IMAGE_FIRST_SECTION(pNT_Header);
	printf("\t**************************\t\n");
	for (size_t i = 0; i < pNT_Header->FileHeader.NumberOfSections; i++)
	{
		printf("打印节表%d\n",i+1);
		printf("name:%s\t\t\t区段、节名字\n",pSction_Header[i].Name);
		printf("PhysicalAddress:%.8X\t\t\t\n", pSction_Header[i].Misc.PhysicalAddress);
		printf("VirtualSize:%.8X\t\t\t\n", pSction_Header[i].Misc.VirtualSize);
		printf("Misc:%.8X\t\t\t双字 是该节在没有对齐前的真实尺寸,该值可以不准确\n", pSction_Header[i].Misc);
		printf("VirtualAddress:%.8X\t\t节区在内存中的偏移地址。加上ImageBase才是在内存中的真正地址.\n", pSction_Header[i].VirtualAddress);
		printf("SizeOfRawData:%.8X\t\t节在文件中对齐后的尺寸.\n", pSction_Header[i].SizeOfRawData);
		printf("PointerToRawData:%.8X\t节区在文件中的偏移.\n", pSction_Header[i].PointerToRawData);
		/*
		6、PointerToRelocations 在obj文件中使用 对exe无意义																				
		7、PointerToLinenumbers 行号表的位置 调试的时候使用																				
		8、NumberOfRelocations 在obj文件中使用  对exe无意义																			
		9、NumberOfLinenumbers 行号表中行号的数量 调试的时候使用
		*/
		printf("Characteristics:%.8X\t节的属性\n\n", pSction_Header[i].Characteristics);
		




	}





	return 0;
}

不爱缺氧i
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件复看:打印PE头信息
KKMI的博客
05-31 786
PE文件解析打印头部信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件的信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
C实现PE结构解析
weixin_44644249的博客
12-11 576
C实现PE结构解析 其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。 这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节表,可选头的结构还没写完,先放着,写完了再更新。 代码: #include <stdio.h> #include<stdlib.h> #define _CRT_SECURE_NO_WARNINGS char filepath[] = "D:\\if_else.exe"; typedef char byte; ty
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 968
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
PE 学习 打印pe格式
h1028962069的专栏
08-26 943
// petool.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <stdlib.h> #include <windows.h> FILE *fp; IMAGE_DOS_HEADER myDosHeader; IMAGE_FILE_HEADER myFileHead
c语言读取pe文件信息,C语言怎么获得进程的PE文件信息
weixin_42393315的博客
05-22 160
一、打印Sections信息。下面的程序打印Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息#include#includechar *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";int...
可用A4纸打印出来的PE结构
05-14
可用A4纸打印出来的PE结构图,本结构图进行了分割,可以打印出来,纸质的有利于添加自己的理解。
pe结构实例,pe解析打印
05-26
PE文件的解析,控制台应用程序,适合初学者
C语言怎么获得进程的PE文件信息
12-26
下面的程序打印Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window”生成的可执行文件的Sections结构字节的信息 #include #include char *strPath="C:/c1_hwv3/...
PE文件格式详细列表
09-07
很详细的PE格式列表,里面按节详细的列出每个结构成员所占空间等信息。excel格式,非常便于查阅、打印
WinDump PE文件读取打开分析程源码(Delphi).rar
07-10
Delphi代码开发的WinDump PE文件读取打开分析程源码,只是实现了对WinDump的查看读取,可以分析到资源以前的所有结构,具有中、英文语言切换功能,打印和文件导出功能没有做。
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7518
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
PE结构说明及C语言解析
qq_35289660的博客
05-11 1620
PE结构说明及C语言解析 文章目录PE结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
将文件读取到内存、打印pe结构
aod83029的博客
06-16 166
#include <stdio.h> #include <malloc.h> #include <stdlib.h> #include <string.h> #define STREAMBUFFER 1024 #define FILEPATHSIZE 256 /** 将一个文件读到内存 return ...
java排课算法简单demo
果酱 の 博客
05-15 471
这个例子非常基础,实际应用中排课算法会更复杂,需要处理更多的约束和优化问题。
每日一题——力扣206. 反转链表(举一反三、思想解读)
weixin_44915521的博客
05-15 1233
一个认为一切根源都是“自己不够强”的INTJ。
初识C语言——第二十一天
硬件菜鸟的成长之路
05-15 619
1.rand()函数是只能生成伪随机数,并且无返回值,使用前需调用srand()伪随机数生成器作为起点2.time()函数是结构体函数,返回值是64为整数类型,可以通过time函数生成时间戳时间戳-函数调用的时间点和计算机的初始时间点之间的时间间隔3.void()函数-无返回值类型函数4.while(1)-一直循环,直到break跳出。
【CCF-CSP】202312-4 宝藏
whaoe_m的博客
05-14 407
对于所有类型为 2的事件,输出一行四个非负整数 C1,1​,C1,2​,C2,1​,C2,2​,表示该时刻的密码 C。西西艾弗岛上埋藏着一份宝藏,小 C 根据藏宝图找到了宝藏的位置。由于小 C 并不会这个问题,他向你发起了求助。你需要帮助小 C 求出所有类型为 22 的事件所对应的密码。小 C 将所有的时刻发生的事件均记录了下来。输入的第一行包含两个正整数n,m。从标准输入读入数据。
C++ 11
最新发布
qq_65112813的博客
05-17 657
对于类类型,如果定义了接受。
pe结构 pdf文件
11-10
其次,PE结构具有更强的可执行性,可以在系统级别上执行代码,而PDF文件主要用于显示和打印文档,不具备直接执行代码的功能。 总之,PE结构和PDF文件是两种不同的文件格式,分别用于存储和加载可执行代码和数据,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值