PE文件检测DOS头\NT头

最新推荐文章于 2023-09-20 09:05:49 发布
最新推荐文章于 2023-09-20 09:05:49 发布
阅读量412 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39826592/article/details/77922121
版权

以下都是我个人的浅见,如有不对,多谢指出。

1、Windows2种文件

01、可执行文件 EXE DLL

可执行文件 都有一个 PE 结构

PE结构:

DOS

NT

一个程序EXE= PE结构+数据

 

  1,每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。
   2,PE文件的第一个字节起始于一个传统的MS-DOS头部,被称作为IMAGE_DOS_HEADER。

 

  1. IMAGE_DOS_HEADER STRUCT  (转载)
  2. {  
  3. +0h WORDe_magic //Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  
  4. +2h WORDe_cblp//Bytes on last page of file    
  5. +4h WORDe_cp//Pages in file  
  6. +6h WORD e_crlc//Relocations  
  7. +8h WORDe_cparhdr   //Size of header in paragraphs  
  8. +0ah WORD e_minalloc  //Minimun extra paragraphs needs  
  9. +0ch WORDe_maxalloc  //Maximun extra paragraphs needs  
  10. +0eh WORDe_ss  //intial(relative)SS value    DOS代码的初始化堆栈SS  
  11. +10h WORDe_sp  //intial SP value               DOS代码的初始化堆栈指针SP  
  12. +12h WORDe_csum  //Checksum  
  13. +14h WORDe_ip  //    intial IP value                   DOS代码的初始化指令入口[指针IP]  
  14. +16h WORDe_cs  //intial(relative)CS value                    DOS代码的初始堆栈入口  
  15. +18h WORDe_lfarlc  //File Address of relocation table  
  16. +1ah WORDe_ovno        //    Overlay number  
  17. +1ch WORDe_res[4]  //Reserved words  
  18. +24h WORDe_oemid  //    OEM identifier(for e_oeminfo)  
  19. +26h WORD      e_oeminfo   //    OEM information;e_oemid specific   
  20. +29h WORDe_res2[10]   //    Reserved words  
  21. +3ch DWORD   e_lfanew     //Offset to start of PE header             指向PE文件头  
  22. } IMAGE_DOS_HEADER ENDS  

02、不可执行文件 数据文件


2、每一个文件都是以二进制的方式存储在磁盘中的;

那么该如何区分一个文件是不是 可执行文件呢?

WORD e_magic  //---DOS可执行文件标记.
DWORD e_lfanew   ///--- 指向PE文件头(这个是一个指针)

00、打开一个文件

CFile cFile(m_strFilePath, CFile::modeReadWrite);

01、先获取该文件的DOS头 IMAG_DOS_HEADER, 这是用来兼容DOS程序的;DOS头中包含了NT头的偏移位置。

IMAGE_DOS_HEADER dosHeader = { 0 };
DWORD dosSize = 0;


dosSize = cFile.Read(&dosHeader, sizeof(dosHeader));
if (dosSize != sizeof(dosHeader))
{
break;
}

02、通过DOS头中偏移位获取NT头的位置;

IMAGE_NT_HEADERS32 ntHeader = { 0 };
DWORD dntSize = 0;
cFile.Seek(dosHeader.e_lfanew, CFile::begin);
dntSize=cFile.Read(&ntHeader, sizeof(IMAGE_NT_HEADERS32));
if (dntSize != sizeof(IMAGE_NT_HEADERS32))
{
break;
}

03、判断ntHeader.Signature == IMAGE_NT_SIGNATURE

以下是我的代码:

CString strCheckPE = L"Not PE!!";
if (m_strFilePath.IsEmpty())
{
OnClickedButton1();
}
do
{


CFile cFile(m_strFilePath, CFile::modeReadWrite);
if (cFile.m_hFile != CFile::hFileNull)
{
IMAGE_DOS_HEADER dosHeader = { 0 };
DWORD dosSize = 0;


dosSize = cFile.Read(&dosHeader, sizeof(dosHeader));
if (dosSize != sizeof(dosHeader))
{
break;
}
if (dosHeader.e_magic != IMAGE_DOS_SIGNATURE)
{
break;
}
IMAGE_NT_HEADERS32 ntHeader = { 0 };
DWORD dntSize = 0;
cFile.Seek(dosHeader.e_lfanew, CFile::begin);
dntSize=cFile.Read(&ntHeader, sizeof(IMAGE_NT_HEADERS32));
if (dntSize != sizeof(IMAGE_NT_HEADERS32))
{
break;
}
if (ntHeader.Signature == IMAGE_NT_SIGNATURE)
{
strCheckPE = L"Is PE!!";
}
}


} while (FALSE);


MessageBox(strCheckPE);

MINI__SMALL__PIG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件学习--Nt
KOOKNUT的博客
03-24 446
当我们越过Dos Stub之后就来到了IMAGE_NT_HEADERS,这个结构在32位和64位下的大小是不一样的,这个结构体紧跟在Dos Stub之后,结构体看起来只有三个成员,接下来我们来一个一个细细解剖 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMAGE_FILE_HEADER FileHeader; ...
PE文件学习--Dos
KOOKNUT的博客
03-23 496
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件Dos部说起。 DOS部分为两部分:第一部分是DOS MZ第二部分是DOS Stub(指令字节码)。 以下为DOS MZ部微软给出的定义,其中我学习中用到的最关键两...
PE文件ofMS-DOS
做一个快乐学习者
10-19 191
MS-DOS每一个pe文件都是存在的(除非手工移除了),它的存在就是为了兼容性,MS-DOS后面紧跟的是DOS Sub,有了它们,程序一旦在DOS系统下运行,就会出现一个错误提醒:this program cannot be run in MS-DOS mode。 MS-DOS结构体代码如下。 typedef struct _IMAGE_DOS_HANDER { } typedef ...
PE总结 》– DOS文件PE文件、节表和表详解(二)
子曰小玖的博客
08-01 833
三、节表和节 1.首先我们先来了解Windows是如何将PE文件映射到内存的。 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,而是采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入...
【原创】PE检测工具
weixin_30681615的博客
04-19 411
工程下载地址:http://files.cnblogs.com/tk091/PECheck.zip 1 void CPECheckDlg::OnBtnbrowse() 2 { 3 // TODO: Add your control notification handler code here 4 CFileDialog dlg(TRUE); 5 i...
PE文件详解
03-17
- NTPE文件的核心,包括两个结构:`IMAGE_NT_HEADERS`和`IMAGE_FILE_HEADER`。 - `IMAGE_NT_HEADERS`包含一个签名("PE\0\0"),表示这是一个PE文件。 - `IMAGE_FILE_HEADER`提供了关于编译器、目标平台、...
验一 PE文件分析工具源代码,云南大学
01-08
用户可以借此学习如何编写代码来读取和解析PE文件的结构,了解PE文件的各个组成部分,如DOS、COFFNT、节区表等。 学习和分析PE文件,可以涉及以下知识点: 1. **PE文件结构**:了解PE文件的基本组成,...
Delhi根据文件检测PE文件是32位还是64位
03-29
PE文件由多个部分组成,包括DOSPENT)和节表等。其中,PE的COFF(Common Object File Format)部分包含了体系结构信息。在COFF中,有`Machine`字段,该字段定义了文件的目标处理器类型。对于32位...
PE文件解析器
12-01
- **节表**: NT之后是节表,定义了PE文件中的各个节(section),每个节都有自己的属性,如虚拟地址、大小、偏移量等,且可能包含代码或数据。 - **导入和导出表**: 这些表记录了PE文件依赖的其他DLL及其函数,...
PE文件格式剖析——解剖PE格式文件
10-25
紧跟在DOS之后的是NT,这是一个关键的结构,它包含了解析PE文件所需的重要信息。NT包括以下部分: - **签名 (Signature)**:固定值`"PE\0\0"`,用于确认文件是否为有效的PE文件。 - **文件 (File Header)**...
WIN32 PE文件查询工具
10-29
很好的一个查PE文件的东东,可以查询多种加壳信息,并且可以深度扫描.
文件查看器
04-27
近日需要做一个项目其中有判断文件格式的内容,所以写了这个文件和16进制查看工具,比较简易,可做练习用。 能够以16进制,10进制,单字节字符,双字节字符等查看。
win32 显示 BMP 文件文件信息
abc
06-30 414
win7 64 位 使用 vs2010 创建一个 MFC工程 ,添加一个按钮, 在按钮的事件处理函数里面,添加如下代码: void CBMP_HEAD_TESTDlg::OnBnClickedBtnReadBmp() { // TODO: 在此添加控件通知处理程序代码 OPENFILENAME ofn ; static TCHAR szFileNam...
PE_02-----PE解析
tell_me_404的博客
08-09 628
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
关于windows下读取文件有空白字符的问题
Chris___的专栏
04-13 761
在工作中,有一次需要读取文件的内容,于是很自然地写下这样的读取代码: BufferedReader readBuffer = new BufferedReader(new InputStreamReader(new FileInputStream(filePath))); String s; while ((s = readBuffer.readLine()) != null) { ...
查看不同类型文件文件
最新发布
hexianfan的博客
09-20 787
在这个示例中,我们首先获取了上传文件的字节数组,然后读取了文件的前几个字节并将它们显示为十六进制字符串。这个示例只是一个基本的演示,实际上,文件的内容和结构会因文件类型而异,你需要根据具体的文件类型来解释文件数据。要查看文件的二进制文件信息,你需要读取文件的前几个字节并将其解释为文件数据。文件的结构和内容取决于文件的类型。
Windows编程中的各种文件操作方法及其文件
missingu1314的专栏
05-15 1305
转自:http://caiming1987612.blog.163.com/blog/static/118556676200971113638123/ 在CSDN看到一篇关于总结Windows编程中的各中文件操作方法以及操作所需包含的文件列表。 windows编程中文件操作有以下几种常见方法: 1.C语言中文件操作。 2.C++语言中的文件操作。 3.Win32 A
常见文件文件
热门推荐
Xerath的博客
10-01 5万+
各类文件文件标志 1、从Ultra-edit-32中提取出来的 JPEG (jpg),文件:FFD8FF PNG (png),文件:89504E47 GIF (gif),文件:47494638 TIFF (tif),文件:49492A00 Windows Bitmap (bmp),文件:424D CAD (dwg),文件:41433130 Adobe Photosh
根据文件内容前几个字节,判断文件类型
hoojo
04-30 3434
文件判断。直接读取文件的前几个字节。常用文件文件如下:JPEG (jpg),文件:FFD8FF PNG (png),文件:89504E47 GIF (gif),文件:47494638 TIFF (tif),文件:49492A00 Windows Bitmap (bmp),文件:424D CAD (dwg),文件:41433130
PE文件格式详解:从DOSNT签名
2. **PE**:紧随DOS,包含0x00004550的签名,表明这是一个PE文件PE又分为COFF标和可选标两部分。 - **COFF标**:提供了有关对象文件的信息,如节表的偏移量、机器类型等。 - **可选标**:包含有关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值