PE文件的校验和(CheckSum)

最新推荐文章于 2022-05-14 20:12:31 发布
最新推荐文章于 2022-05-14 20:12:31 发布
阅读量2.9k 收藏 9
点赞数 6
分类专栏: PE学习 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39708161/article/details/79335914
版权

IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的

校验值的计算很简单:

  1. 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉)
  2. 以WORD为单位对数据块进行累加,记住要用adc指令而不是add
  3. 将累加和加上文件的长度(还是用adc)

将计算结果与IMAGE_OPTIONAL_HEADER.CheckSum进行比较,不相等则说明文件被修改过或不完整

方法一

可利用ImageHlp.DLL 库里的MapFileAndCheckSum函数对PE文件进行求校验和操作

#include <windows.h>
#include<ImageHlp.h>
#pragma comment(lib,"ImageHlp.lib")
最低0.47元/天 解锁文章
EVOL4
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEChecksum计算PE文件校验和的工具
10-31
此外,它可能还具备一些高级功能,如比较不同版本的文件校验和、验证数字签名,甚至可能支持批处理模式,一次性处理多个文件校验和计算。 校验和本身是一种简单的哈希计算,通过特定算法(如CRC、MD5或SHA家族)...
修改PE文件自校验值
cackeme的专栏
09-05 1500
/*  *@修改PEchecksum  *@param1[in]:szFileName:可执行文件完整路径  *@param2[in]:dwCheckSum:新的checksum  *@return:修改成功返回TRUE,否则返回FALSE */ BOOL SetExeCheckSum(LPCSTR szFileName,DWORD dwCheckSum) {  HANDLE h
关于PE文件校验和(checksum)的计…
菩提树下写代码
07-28 2729
熟悉PE文件格式的人应该都知道,在PE文件中有一个四字节的checksum,当初学习PE文件格式的时候,写过一个计算校验和的小程序,今天在整理电脑的时候突然发现了它,似乎彻底忘了它是干什么的,仔细一看才知道器具体,好记性不如烂笔头,似乎有必要将它贴出来,以便于以后再次遇到同一问题的时候能够直接使用。     本程序是由C++实现,用到了静态库imagehlp中的一些函数,程序写的很次,基本没有提
关于PE文件中的校验和
行者无疆的专栏
07-12 3261
最近研究PE文件结构,每看一次文档都有新的收获,证明有很多东西还是理解得不深刻。 今天做了关于checksum校验和的实验,确认了在应用层,系统加载程序的时候,CreateProcess不会对exe做校验和检验,LoadLibrary不会对dll做检验和检验。按文档说,这些都是不需要检验的,没有问题,另外一个问题就是要确认驱动程序加载的时候需要检验校验和。 下面内容摘自PECOFF-v8
PE文件可选头结构体中的校验和
yellow的博客
11-19 660
Windows操作系统中的驱动和一些系统dll文件都是有校验和的,而且Windows系统在加载时实惠检查校验和有没有发生变化,发生变化,说明文件已经被修改过(没有变化,文件可能没有修改过;也可能文件修改后,重新计算了校验和,填写到指定位置)肯定不会继续加载。CheckSumMappedFile( )函数用来计算校验和,并且带出原有校验和。 例子: #include <stdio.h&g...
获取PE文件自校验值
cackeme的专栏
09-06 2426
这里所说的自校验值其实有两种,一种是PIMAGE_OPTIONAL_HEADER中的CheckSum,一般可执行文件编译时该值添零,另一种是通过计算而获得CheckSum,现在暴力破解越来越频繁的今天,除了加壳保护外,自校验也是一种可行的办法,虽然它也有缺点。如果要使用自检验最好还是使用自定义的算法,不然别人随便下载个工具就game over了。说得有点远了。 #include #includ
计算PE文件校验和的C语言实现
04-26 3238
#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和,这个函数或许用得上。网上ASM实现很多,C实现不好找吧。最近因为要写个程序自动剁tcpip.sys,顺便折腾了一下PE文件校验和的计算。#endi
PE Checksum的C++实现
threadroc的专栏
06-10 1422
转自:http://www.cnblogs.com/concurrency/p/3926698.html 工作之前的几年一直都在搞计算机安全/病毒相关的东西(纯学习,不作恶),其中PE文件格式是必须知识。有些PE文件,比如驱动,系统会在加载时对checksum进行校验,确保驱动文件的完整性。关于PE文件如何校验,网上有很多资料可以学习,这里有一篇文章《An Analysis of
[检测] CRC 校验内存补丁
LYSM
11-27 971
背景 通常程序中至少包括了代码段,数据段,而数据段中所存储的数据是经常会发生变动的,例如我们的全局变量,静态变量等都会默认存储在数据段,而代码段则不会发生变化,我们在检验时只需要注重.text内存段中的数据完整性即可,针对内存的校验同样可以抵御调试器的CC断点,该断点原理就是在下端处写入int3指令,同样可以检测得到。 校验思路如下 1.首先从内存得到PE的代码节的RVA和节大小 2.根据得到的RVA和节大小计算出crc32或是RC4值 3.读取自身保存的原始CRC32值,与校验结果进行比较 代码:
PE校验修正.rar
04-05
学习易语言的源码有助于理解PE文件校验修正的实现过程。 5. **修复和优化策略**:修复PE文件校验和或签名问题可能涉及到重新计算校验和,或者更新数字签名信息。优化可能包括减少不必要的资源,提高加载速度或...
PEChecksum
07-25
计算PE文件校验和的工具,一些特殊场合可能会用到,比如说你修改了bootmgr.exe,就需要这工具重新校验
更改PE文件版本、描述等
11-18
在实际操作中,还需要考虑PE文件校验和调整,因为修改文件头可能会影响校验和,导致系统拒绝加载文件。因此,在写回数据后,可能需要更新Optional Header的`CheckSum`字段,或者在写回文件时跳过校验和计算,待...
易语言PE校验修正源码-易语言
06-13
2. **校验和计算**:PE文件校验和计算涉及一个复杂的算法,通常包括遍历文件的所有字节,根据特定规则进行累加,然后取反。易语言中实现这一算法需要对二进制操作有深入理解。 3. **源码解析**:易语言源码通常...
校验和的工具
03-21
在网上想找一个能就一个文件校验和的工具,结果还没有,只有复杂的工具,所以自己写了一个,求一个文件checksum.
java验证文件的完整性_JAVA中进行数据完整性验证
weixin_42349261的博客
02-13 2869
最近在看JAVA安全方面的东东。简单地说,安全包括访问控制、数据安全两部分。安全访问控制是根据系统需求进行设计的,对资源进行访问控制的一种措施。而数据安全包括数据传输过程中的安全防范措施,包括数据完整性、传输安全性、接收/发送方不可否认性等方面。下面就数据完整性验证部分做简单的介绍。假如我要下载一个最新版本的tomcat7 ,我会访问http://tomcat.apache.org/downloa...
检验PE文件的有效性
weixin_34174422的博客
06-28 490
(一)检验PE文件的有效性:检验PE中的关键数据结构是否有效。 (二)我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下: IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...
EXE检查自己是否被修改
lovehuanhuan1314的专栏
05-14 808
EXE检查自己是否被修改
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 574
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
PE Checksum Algorithm
weixin_34088838的博客
04-12 181
2019独角兽企业重金招聘Python工程师标准>>> ...
labview校验和 checksum 电子发烧
最新发布
02-03
LabVIEW校验和Checksum)是一种用于验证数据完整性的方法,通常用于电子发烧过程中。在电子发烧中,通过计算数据的校验和,可以确保数据在传输或存储过程中没有发生损坏或篡改。 LabVIEW内置了多种校验和算法,包括CRC校验和、MD5校验和等。这些算法可以对数据进行处理,生成一个校验和值。在数据接收端,再次对接收到的数据进行相同的计算,然后将计算得到的校验和值与原始校验和进行比对,如果二者一致,则可以确定数据完整性没有受到影响。 在电子发烧中,使用LabVIEW校验和可以有效地避免因数据传输或存储过程中出现的错误而导致的问题。例如,通过在发送端附加校验和值,可以确保接收方可以验证收到的数据是否完整和正确。这对于需要高可靠性数据传输的电子发烧项目而言尤为重要。 此外,LabVIEW校验和还可以结合其他错误检测和纠正技术,如奇偶校验、哈希校验等,进一步提高数据完整性的验证能力,从而保证电子发烧的可靠性和稳定性。 总的来说,LabVIEW校验和在电子发烧中具有重要的作用,可以有效地帮助确保数据的完整性和准确性,提高系统的可靠性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值