PE文件的校验和(CheckSum)

最新推荐文章于 2024-08-04 02:16:16 发布

EVOL4

最新推荐文章于 2024-08-04 02:16:16 发布

阅读量3.1k

点赞数 6

分类专栏： PE学习文章标签： PE

本文链接：https://blog.csdn.net/qq_39708161/article/details/79335914

版权

本文介绍了PE文件的校验和（CheckSum）的重要性和计算方法，包括使用ImageHlp.DLL库的MapFileAndCheckSum函数以及自行实现的简单步骤。通过对PE文件的特定部分进行累加和校验，可以判断文件的完整性和是否被修改。

摘要由CSDN通过智能技术生成

IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的

校验值的计算很简单:

将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉)

以WORD为单位对数据块进行累加,记住要用adc指令而不是add

将累加和加上文件的长度(还是用adc)

将计算结果与IMAGE_OPTIONAL_HEADER.CheckSum进行比较,不相等则说明文件被修改过或不完整

方法一

可利用ImageHlp.DLL 库里的MapFileAndCheckSum函数对PE文件进行求校验和操作

#include <windows.h>
#include<ImageHlp.h>
#pragma comment(lib,"ImageHlp.lib")

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

EVOL4

关注关注

6
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

关于PE文件中的校验和

行者无疆的专栏

07-12

3305

最近研究PE文件结构，每看一次文档都有新的收获，证明有很多东西还是理解得不深刻。今天做了关于checksum校验和的实验，确认了在应用层，系统加载程序的时候，CreateProcess不会对exe做校验和检验，LoadLibrary不会对dll做检验和检验。按文档说，这些都是不需要检验的，没有问题，另外一个问题就是要确认驱动程序加载的时候需要检验校验和。下面内容摘自PECOFF-v8

调整PE文件的校验和

Seaquester的专栏

02-22

3351

#include #include #include void CalcChecksum( char *szPeFile );__inline void PrintUsage( void );int main(int argc, char* argv[]){ if( argc != 2 ) { PrintUsage(); return 0; } C

参与评论您还未登录，请先登录后发表或查看评论

校验和checksum校验两个文件是否一样

最新发布

weixin_29144945的博客

08-04

为什么需要checksum？在网络传输中，传输一些数据或者文件，都可能出现数据丢失或者被篡改的情况，所以就需要对传输的数据或者文件内容进行验证，常有的做法是使用校验和(checksum)，先保存一份数据的checksum值到数据库，然后传输过程对数据重新计算checksum值，两个值进行对比，如果一样，说明没有丢失文件内容...

PEChecksum计算PE文件校验和的工具

10-31

PEChecksum计算PE文件校验和的工具，当修改了bootmgr.exe，就需要这工具重新校验

计算PE文件校验和

02-02

225

// 计算PE校验和 #include <ImageHlp.h> #pragma comment(lib,"Imagehlp.lib") void Getchecksum(TCHAR* pszPath) { /* Code by Lthis 转载请注明出处 */ DWORD dwHeaderSum, dwCheckS...

关于PE文件中校验和(checksum)的计…

菩提树下写代码

07-28

2786

熟悉PE文件格式的人应该都知道，在PE文件中有一个四字节的checksum，当初学习PE文件格式的时候，写过一个计算校验和的小程序，今天在整理电脑的时候突然发现了它，似乎彻底忘了它是干什么的，仔细一看才知道器具体，好记性不如烂笔头，似乎有必要将它贴出来，以便于以后再次遇到同一问题的时候能够直接使用。本程序是由C++实现，用到了静态库imagehlp中的一些函数，程序写的很次，基本没有提

PEChecksum

07-25

计算PE文件校验和的工具，一些特殊场合可能会用到，比如说你修改了bootmgr.exe，就需要这工具重新校验

PE文件初探一

weixin_30618985的博客

10-06

103

易语言PE校验修正源码-易语言

06-13

2. **校验和计算**：PE文件的校验和计算涉及一个复杂的算法，通常包括遍历文件的所有字节，根据特定规则进行累加，然后取反。易语言中实现这一算法需要对二进制操作有深入理解。 3. **源码解析**：易语言源码通常...

PE文件可选头结构体中的校验和

yellow的博客

11-19

678

Windows操作系统中的驱动和一些系统dll文件都是有校验和的，而且Windows系统在加载时实惠检查校验和有没有发生变化，发生变化，说明文件已经被修改过（没有变化，文件可能没有修改过；也可能文件修改后，重新计算了校验和，填写到指定位置）肯定不会继续加载。CheckSumMappedFile( )函数用来计算校验和，并且带出原有校验和。例子： #include <stdio.h&g...

PE文件-检验PE文件的有效性--转自iczelion,附vc示范

jiangtongcn的专栏

07-16

1255

同样我首先附上Iczelion的PE文档:如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答，完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构，或者仅校验一些关键数据结构。大多数情况下，没有必要校验文件里的每一个数据结构，只要一些关键数据结构有效，我们

检验PE文件的有效性

weixin_34174422的博客

06-28

497

（一）检验PE文件的有效性：检验PE中的关键数据结构是否有效。（二）我们要验证的重要数据结构就是 PE header。从编程角度看，PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下: IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER <> Op...

PE Checksum的C++实现

threadroc的专栏

06-10

1449

转自:http://www.cnblogs.com/concurrency/p/3926698.html 工作之前的几年一直都在搞计算机安全/病毒相关的东西（纯学习，不作恶），其中PE文件格式是必须知识。有些PE文件，比如驱动，系统会在加载时对checksum进行校验，确保驱动文件的完整性。关于PE文件如何校验，网上有很多资料可以学习，这里有一篇文章《An Analysis of

PE教程2: 检验PE文件的有效性

benny5609的专栏

06-16

934

如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答，完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构，或者仅校验一些关键数据结构。大多数情况下，没有必要校验文件里的每一个数据结构，只要一些关键数据结构有效，我们就认为是有效的PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看，PE header 实际就是一个 IMA

获取PE文件自校验值

cackeme的专栏

09-06

2460

这里所说的自校验值其实有两种，一种是PIMAGE_OPTIONAL_HEADER中的CheckSum，一般可执行文件编译时该值添零，另一种是通过计算而获得CheckSum，现在暴力破解越来越频繁的今天，除了加壳保护外，自校验也是一种可行的办法，虽然它也有缺点。如果要使用自检验最好还是使用自定义的算法，不然别人随便下载个工具就game over了。说得有点远了。 #include #includ

计算PE文件校验和的C语言实现

04-26

3272

#if 0http://www.opencjk.org/~scz/windows/200701102106.txt在某些时候可能你并不想用imagehlp!CheckSumMappedFile()去计算PE文件校验和，这个函数或许用得上。网上ASM实现很多，C实现不好找吧。最近因为要写个程序自动剁tcpip.sys，顺便折腾了一下PE文件校验和的计算。#endi

PE Checksum Algorithm

weixin_34088838的博客

04-12

188

2019独角兽企业重金招聘Python工程师标准>>> ...

校验和(Checksum)

weixin_30267697的博客

12-07

748

校验和(Checksum) PE的可选映像头（IMAGE_OPTION_HEADER）里面,有一个Checksum字段,是该文件的校验和，一般EXE文件可以使0，但一些重要的和系统DLL及驱动文件必须有一个校验和. Windows 提供了一个API函数MapFileAndCheckSum 测试文件的Checksum，它位于IMAGEHLP.DLL链接库里，其原型: ULONG MapFile...

labview校验和 checksum 电子发烧

02-03

LabVIEW校验和（Checksum）是一种用于验证数据完整性的方法，通常用于电子发烧过程中。在电子发烧中，通过计算数据的校验和，可以确保数据在传输或存储过程中没有发生损坏或篡改。 LabVIEW内置了多种校验和算法，包括CRC校验和、MD5校验和等。这些算法可以对数据进行处理，生成一个校验和值。在数据接收端，再次对接收到的数据进行相同的计算，然后将计算得到的校验和值与原始校验和进行比对，如果二者一致，则可以确定数据完整性没有受到影响。在电子发烧中，使用LabVIEW校验和可以有效地避免因数据传输或存储过程中出现的错误而导致的问题。例如，通过在发送端附加校验和值，可以确保接收方可以验证收到的数据是否完整和正确。这对于需要高可靠性数据传输的电子发烧项目而言尤为重要。此外，LabVIEW校验和还可以结合其他错误检测和纠正技术，如奇偶校验、哈希校验等，进一步提高数据完整性的验证能力，从而保证电子发烧的可靠性和稳定性。总的来说，LabVIEW校验和在电子发烧中具有重要的作用，可以有效地帮助确保数据的完整性和准确性，提高系统的可靠性和稳定性。