PE文件的校验和(CheckSum)

最新推荐文章于 2024-08-04 02:16:16 发布
最新推荐文章于 2024-08-04 02:16:16 发布
阅读量3.1k 收藏 10
点赞数 7
分类专栏: PE学习 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39708161/article/details/79335914
版权
本文介绍了PE文件的校验和(CheckSum)的重要性和计算方法,包括使用ImageHlp.DLL库的MapFileAndCheckSum函数以及自行实现的简单步骤。通过对PE文件的特定部分进行累加和校验,可以判断文件的完整性和是否被修改。
摘要由CSDN通过智能技术生成

IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的

校验值的计算很简单:

  1. 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉)
  2. 以WORD为单位对数据块进行累加,记住要用adc指令而不是add
  3. 将累加和加上文件的长度(还是用adc)

将计算结果与IMAGE_OPTIONAL_HEADER.CheckSum进行比较,不相等则说明文件被修改过或不完整

方法一

可利用ImageHlp.DLL 库里的MapFileAndCheckSum函数对PE文件进行求校验和操作

#include <windows.h>
#include<ImageHlp.h>
#pragma comment(lib,"ImageHlp.lib")
最低0.47元/天 解锁文章
EVOL4
关注
专栏目录
关于PE文件中的校验和
行者无疆的专栏
07-12 3350
最近研究PE文件结构,每看一次文档都有新的收获,证明有很多东西还是理解得不深刻。 今天做了关于checksum校验和的实验,确认了在应用层,系统加载程序的时候,CreateProcess不会对exe做校验和检验,LoadLibrary不会对dll做检验和检验。按文档说,这些都是不需要检验的,没有问题,另外一个问题就是要确认驱动程序加载的时候需要检验校验和。 下面内容摘自PECOFF-v8
调整PE文件校验和
Seaquester的专栏
02-22 3369
#include #include #include void CalcChecksum(  char *szPeFile );__inline void PrintUsage( void );int main(int argc, char* argv[]){   if( argc != 2 )   {      PrintUsage();      return 0;   }   C
关于PE文件校验和(checksum)的计…
菩提树下写代码
07-28 2841
熟悉PE文件格式的人应该都知道,在PE文件中有一个四字节的checksum,当初学习PE文件格式的时候,写过一个计算校验和的小程序,今天在整理电脑的时候突然发现了它,似乎彻底忘了它是干什么的,仔细一看才知道器具体,好记性不如烂笔头,似乎有必要将它贴出来,以便于以后再次遇到同一问题的时候能够直接使用。     本程序是由C++实现,用到了静态库imagehlp中的一些函数,程序写的很次,基本没有提
校验和(Checksum)
weixin_30267697的博客
12-07 759
校验和(Checksum) PE的可选映像头(IMAGE_OPTION_HEADER)里面,有一个Checksum字段,是该文件校验和,一般EXE文件可以使0,但一些重要的和系统DLL及驱动文件必须有一个校验和. Windows 提供了一个API函数MapFileAndCheckSum 测试文件Checksum,它位于IMAGEHLP.DLL链接库里,其原型: ULONG MapFile...
校验和checksum校验两个文件是否一样
最新发布
weixin_29144945的博客
08-04 149
为什么需要checksum?在网络传输中,传输一些数据或者文件,都可能出现数据丢失或者被篡改的情况,所以就需要对传输的数据或者文件内容进行验证,常有的做法是使用校验和(checksum),先保存一份数据的checksum值到数据库,然后传输过程对数据重新计算checksum值,两个值进行对比,如果一样,说明没有丢失文件内容...
PEChecksum计算PE文件校验和的工具
10-31
PEChecksum计算PE文件校验和的工具 ,当修改了bootmgr.exe,就需要这工具重新校验
计算PE文件校验和
02-02 234
// 计算PE校验和 #include <ImageHlp.h> #pragma comment(lib,"Imagehlp.lib") void Getchecksum(TCHAR* pszPath) { /* Code by Lthis 转载请注明出处 */ DWORD dwHeaderSum, dwCheckS...
PEChecksum
07-25
计算PE文件校验和的工具,一些特殊场合可能会用到,比如说你修改了bootmgr.exe,就需要这工具重新校验
易语言PE校验修正源码-易语言
06-13
2. **校验和计算**:PE文件校验和计算涉及一个复杂的算法,通常包括遍历文件的所有字节,根据特定规则进行累加,然后取反。易语言中实现这一算法需要对二进制操作有深入理解。 3. **源码解析**:易语言源码通常...
PE文件可选头结构体中的校验和
yellow的博客
11-19 701
Windows操作系统中的驱动和一些系统dll文件都是有校验和的,而且Windows系统在加载时实惠检查校验和有没有发生变化,发生变化,说明文件已经被修改过(没有变化,文件可能没有修改过;也可能文件修改后,重新计算了校验和,填写到指定位置)肯定不会继续加载。CheckSumMappedFile( )函数用来计算校验和,并且带出原有校验和。 例子: #include <stdio.h&g...
PE教程2: 检验PE文件的有效性
benny5609的专栏
06-16 948
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
计算PE文件校验和的C语言实现
04-26 3293
#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和,这个函数或许用得上。网上ASM实现很多,C实现不好找吧。最近因为要写个程序自动剁tcpip.sys,顺便折腾了一下PE文件校验和的计算。#endi
PE文件初探一
weixin_30618985的博客
10-06 111
  最近一直在学习PE文件的相关知识。随着了解的增多,我不得不改变之前的学习方式。以前总是再理解更进一步后, 才总结上一层的知识。而且理解知识的时候总是喜欢从难到易得方式去理解知识。因为如果漫无目的的去学习,实在是 一个体力活。如果把一系列相关的知识比作一颗倒置的二叉树的话,我总是喜欢从根节点开始,然后再去遍历每个叶子 节点。只可惜我并没有掌握非递归算法。好吧,再没有处理尾递归的情况下,随着二叉树...
PE文件-检验PE文件的有效性--转自iczelion,附vc示范
jiangtongcn的专栏
07-16 1273
同样我首先附上Iczelion的PE文档:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们
检验PE文件的有效性
weixin_34174422的博客
06-28 509
(一)检验PE文件的有效性:检验PE中的关键数据结构是否有效。 (二)我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下: IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...
PE Checksum的C++实现
threadroc的专栏
06-10 1473
转自:http://www.cnblogs.com/concurrency/p/3926698.html 工作之前的几年一直都在搞计算机安全/病毒相关的东西(纯学习,不作恶),其中PE文件格式是必须知识。有些PE文件,比如驱动,系统会在加载时对checksum进行校验,确保驱动文件的完整性。关于PE文件如何校验,网上有很多资料可以学习,这里有一篇文章《An Analysis of
获取PE文件自校验值
cackeme的专栏
09-06 2469
这里所说的自校验值其实有两种,一种是PIMAGE_OPTIONAL_HEADER中的CheckSum,一般可执行文件编译时该值添零,另一种是通过计算而获得CheckSum,现在暴力破解越来越频繁的今天,除了加壳保护外,自校验也是一种可行的办法,虽然它也有缺点。如果要使用自检验最好还是使用自定义的算法,不然别人随便下载个工具就game over了。说得有点远了。 #include #includ
PE Checksum Algorithm
weixin_34088838的博客
04-12 199
2019独角兽企业重金招聘Python工程师标准>>> ...
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值