C++ WINDOWS 获取PE文件特征

已于 2024-08-28 16:55:35 修改
阅读量197 收藏
点赞数 3
文章标签: c++ 算法 windows
于 2024-05-13 11:29:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43179054/article/details/138794884
版权

PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式,我们可以使用各种技术和库来获取PE文件特征,它包含了程序的代码,数据以及资源等信息,本文将介绍如何使用C++来获取PE文件的一些特征。

1.检查文件是否是PE文件,并判断PE文件类型(驱动程序,图形界面,控制台/DLL)

BOOL GetPEFileType(CString strFilePath, int& nPEType)
{
    if (!PathFileExists(strFilePath))
    {
        //文件不存在
        return FALSE;
    }

    HANDLE hFile = CreateFile(strFilePath, 
        GENERIC_READ, 
        FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE, 
        NULL, 
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL, 
        NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        //打开文件失败,可以用GetLastError()获取原因
        return FALSE;
    }

    //获取文件大小
    DWORD dwFileSize = GetFileSize(hFile, NULL);
    CHAR *pFileBuf = new(std::nothrow) CHAR[dwFileSize];
    DWORD ReadSize = 0;
    ReadFile(hFile, pFileBuf, dwFileSize, &ReadSize, NULL);
    CloseHandle(hFile);

    //检查是否是PE文件
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuf;
    if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
    {
        return FALSE;
    }

    //检查是否是有效的PE文件
    PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pFileBuf + pDosHeader->e_lfanew);
    if (pNtHeader->Signature != IMAGE_NT_SIGNATURE)
    {
        return FALSE;
    }

    //获取文件类型  驱动程序(1) 图形界面(2) 控制台/DLL(3)
    PIMAGE_OPTIONAL_HEADER	pOptionalHeader	= &(pNtHeader->OptionalHeader);
    nPEType = pOptionalHeader->Subsystem;

    return TRUE;
}

2.获取PE文件版本

BOOL GetPEFileVer(const CString& strFile, CString& strVer)
{	
    DWORD dwHight = 0;
    DWORD dwLow = 0;

    if (!GetFileVer(strFile, dwHight, dwLow))
        return FALSE;

    strVer.Format(_T("%d.%d.%d.%04d"), HIWORD(dwHight), LOWORD(dwHight), HIWORD(dwLow), LOWORD(dwLow));

    return TRUE;
}

BOOL GetFileVer(const CString& strFile, DWORD& dwHight, DWORD& dwLow)
{
    DWORD dwVerSize;
    DWORD dwHandle;

    TCHAR  szVersionBuffer[1024 * 16] = { 0 };
    TCHAR szVer[1024] = { 0 };

    dwVerSize = GetFileVersionInfoSize(strFile, &dwHandle);
    if( dwVerSize == 0 || dwVerSize > (sizeof(szVersionBuffer) - 1))
        return FALSE;

    if(!GetFileVersionInfo(strFile, 0, dwVerSize, szVersionBuffer))
        return FALSE;

    unsigned int nInfoLen = 0;
    VS_FIXEDFILEINFO* pInfo = NULL;

    if(!VerQueryValue(szVersionBuffer, _T("\\"), (void**)&pInfo, &nInfoLen))
        return FALSE;

    dwHight = pInfo->dwFileVersionMS;
    dwLow = pInfo->dwFileVersionLS;
    return TRUE;
}

3.检查PE文件是否有捆绑

bool FindPEHeader(LPBYTE pAddr, int nLen)
{
    if (pAddr == NULL || nLen <= 0)
    {
        return false;
    }

    int nOffset = 0;

    while (nOffset+sizeof(IMAGE_DOS_HEADER) < nLen)
    {
        if (*pAddr != 0x4d || *(pAddr+1) != 0x5a)
        {
            pAddr++;
            nOffset++;
            continue;
        }

        _IMAGE_DOS_HEADER dosHeader;
        memcpy(&dosHeader, pAddr, sizeof(IMAGE_DOS_HEADER));

        if (dosHeader.e_lfanew < 0 || dosHeader.e_lfanew > nLen)
        {
            pAddr++;
            nOffset++;
            continue;
        }

        if ( ((DWORD)nOffset + dosHeader.e_lfanew + 10) < nLen)
        {
            LPBYTE pCurAddr = pAddr + dosHeader.e_lfanew;
            if (*pCurAddr == 0x50 && *(pCurAddr+1) == 0x45 && *(pCurAddr+2) == 0 && *(pCurAddr+3) == 0)
            {
                return true;
            }
        }

        pAddr++;
        nOffset++;
    }


    return false;
}



bool CheckBind(const WCHAR* pszExeFile)
{
    if (pszExeFile == NULL)
        return false;

    HANDLE hFile = CreateFile(pszExeFile, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (INVALID_HANDLE_VALUE == hFile)
    {
        return false;
    }

    int nFileSize = GetFileSize(hFile, NULL);

    HANDLE hFileMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
    if (hFileMapping == NULL || hFileMapping == INVALID_HANDLE_VALUE)
    {
        CloseHandle(hFile);
        return false;
    }

    LPBYTE pBaseAddr = (LPBYTE)MapViewOfFile(hFileMapping, FILE_MAP_READ, 0, 0, 0);
    if (pBaseAddr == NULL)
    {
        CloseHandle(hFileMapping);
        CloseHandle(hFile);
        return false;
    }

    LPBYTE pAddr = pBaseAddr;
    _IMAGE_DOS_HEADER dosHeader;
    memcpy(&dosHeader, pAddr, sizeof(IMAGE_DOS_HEADER));

    pAddr += dosHeader.e_lfanew;
    _IMAGE_NT_HEADERS peHeader;
    memcpy(&peHeader, pAddr, sizeof(_IMAGE_NT_HEADERS));

    //DWORD dwImageSize = peHeader.OptionalHeader.SizeOfImage;

    //获取区段个数
    DWORD nSecCount = peHeader.FileHeader.NumberOfSections;

    pAddr += sizeof(_IMAGE_NT_HEADERS);
    pAddr += sizeof(IMAGE_SECTION_HEADER) * nSecCount;

    int nLen = nFileSize - dosHeader.e_lfanew - sizeof(_IMAGE_NT_HEADERS) - sizeof(IMAGE_SECTION_HEADER) * nSecCount;
    bool bRet = FindPEHeader(pAddr, nLen);
	//找到第二个pe头说明有捆绑
    UnmapViewOfFile(pBaseAddr);
    CloseHandle(hFileMapping);
    CloseHandle(hFile);

    return bRet;
}

4.检查PE文件入口点是否异常

bool CheckEntryPoint(const WCHAR* pszExeFile)
{
	if (pszExeFile == NULL)
		return false;

	bool bRet = false;
	DWORD nEntryPoint = 0;
	PIMAGE_SECTION_HEADER pHeader = NULL;
	int nSecCount = 0;

	bRet = GetPeInfo(pszExeFile, nEntryPoint, pHeader, nSecCount);
	if (!bRet)
	{
		if (pHeader != NULL)
		{
			delete[] pHeader;
			pHeader = NULL;
		}	
		return false;
	}

	for (int i = 0; i < nSecCount; i++)
	{
		if (pHeader->Characteristics & 0x00000020 == 0)
		{
			pHeader++;
			continue;
		}

		if (nEntryPoint >= pHeader->VirtualAddress && nEntryPoint < (pHeader->VirtualAddress + pHeader->Misc.VirtualSize))
		{
			bRet = false;
			//PE入口点正常
		}
		else
		{
			bRet = true;
			//存在PE入口点异常
		}

		break;
	}

	delete[] pHeader;

	return bRet;
}



bool GetPeInfo(const WCHAR* pszExeFile, DWORD& dwEntryPoint, PIMAGE_SECTION_HEADER& pSecHeader, int& nSecCount)
{
	HANDLE hFile = CreateFile(pszExeFile, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (INVALID_HANDLE_VALUE == hFile)
	{
		return false;
	}

	HANDLE hFileMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
	if (hFileMapping == NULL || hFileMapping == INVALID_HANDLE_VALUE)
	{
		CloseHandle(hFile);
		return false;
	}

	LPBYTE pBaseAddr = (LPBYTE)MapViewOfFile(hFileMapping, FILE_MAP_READ, 0, 0, 0);
	if (pBaseAddr == NULL)
	{
		CloseHandle(hFileMapping);
		CloseHandle(hFile);
		return false;
	}

	LPBYTE pAddr = pBaseAddr;
	_IMAGE_DOS_HEADER dosHeader;
	memcpy(&dosHeader, pAddr, sizeof(IMAGE_DOS_HEADER));

	pAddr += dosHeader.e_lfanew;
	_IMAGE_NT_HEADERS peHeader;
	memcpy(&peHeader, pAddr, sizeof(_IMAGE_NT_HEADERS));

	dwEntryPoint = peHeader.OptionalHeader.AddressOfEntryPoint;

	//获取区段个数
	nSecCount = peHeader.FileHeader.NumberOfSections;

	//获取区段表头指针
	pSecHeader = new IMAGE_SECTION_HEADER[nSecCount];
	memset(pSecHeader, 0, sizeof(IMAGE_SECTION_HEADER)*nSecCount);
	pAddr += (sizeof(_IMAGE_NT_HEADERS) - sizeof(IMAGE_OPTIONAL_HEADER32) + peHeader.FileHeader.SizeOfOptionalHeader);
	memcpy(pSecHeader, pAddr, sizeof(IMAGE_SECTION_HEADER)*nSecCount);

	UnmapViewOfFile(pBaseAddr);
	CloseHandle(hFileMapping);
	CloseHandle(hFile);
	return true;
}
我在编程迷了路
关注
获取PE文件特征C++实现
DplaAnaconda的博客
09-19 94
请注意,上述示例代码仅仅是一个简单的起点,实际上,获取PE文件特征可能涉及到更多的细节和处理步骤。然而,在这篇文章中,我们只提供了一个基本的框架来帮助你开始获取PE文件特征。请注意,上述示例代码仅仅是一个简单的起点,实际上,获取PE文件特征可能涉及到更多的细节和处理步骤。接下来,我们可以编写一个函数来获取PE文件特征。该函数将接受一个PE文件的路径作为参数,并返回一个结构体,其中包含了文件的各种特征信息。该函数将接受一个PE文件的路径作为参数,并返回一个结构体,其中包含了文件的各种特征信息
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 7196
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
weixin_34401479的博客
07-26 821
PE是Portable Executable File Format(可移植的运行体)简写,它是眼下Windows平台上的主流可运行文件格式。 PE文件里包括的内容非常多,详细我就不在这解释了,有兴趣的能够參看之后列出的參考资料及其它相关内容。 近期我也在学习PE文件格式,參考了很多资料。用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资...
获取PE文件版本信息(Win32, C++)
FlameCyclone的博客
02-18 407
获取EXE/DLL文件版本信息
c++读取pe文件
03-09
读取32位pe文件节表,导入表,导出表。。。。。。。。。。。。。。。。。
C++通过读取二进制流的方式来解析PE(静态文件读取法)
最新发布
meis27461的博客
05-24 226
【代码】C++通过读取二进制流的方式来解析PE(静态文件读取法)
c++获取windows文件版本信息
12-07
// 获取PE文件头的版本 int fileFormatMajorVersion = ntHeaders->FileHeader.MajorVersion; int fileFormatMinorVersion = ntHeaders->FileHeader.MinorVersion; // 获取应用程序的版本 int appMajorVersion = ...
c++获取pe文件签名
05-23
总之,C++获取PE文件签名涉及到对PE文件格式的理解、Windows API的使用以及对安全性的考虑。通过解析文件结构、调用签名验证函数,并正确处理结果,我们可以编写一个程序来检查PE文件的数字签名。
C++判断pe文件实例
09-04
本文将详细介绍如何使用C++来判断一个文件是否为PE文件,以及涉及到的相关知识。 首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS)。DOS头通常包含...
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析  c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
C++ PE格式解析源码
03-18
C++ PE格式解析源码
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE文件信息解析(Win32, C++)
FlameCyclone的博客
02-05 599
PE文件信息解析助手类, 方便地解析PE文件常见信息
PE文件学习系列笔记四-C++实现PE文件的分析
weixin_30776273的博客
10-09 155
合肥程序员群:49313181。 合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q Q:408365330 E-Mail:egojit@qq.com 综述: 首先说明我也只是PE文件的初学者,我所写的都是自己的学习记录。前3节学习了PE的一些结构,其中包括DOS头和PE头部分。总是这样去学习这些机构和理论的分析我想大家和我一样毫无兴趣,提不起精神...
C++源码】PE文件结构中导出表的解析
ProgrammingLearner的博客
08-31 3526
C++源码】PE文件结构中导出表的解析 控制台版本
C++ 读取PE文件并十六进制打印输出
duhaomin的专栏
02-16 3939
分析PE结构的时候,想自己把里边的结构理解后打印LoadPE分析的东西,在此先把读取PE 结构的C++代码贴出来: #include #include #include #include #define MAX 16*10000 using namespace std; int value[MAX]; DWORD FileSize() { TCHAR szFileName[MAX_P
C/C++ 实现PE文件特征码识别
CSDN
09-14 7753
PE文件就是我们常说的EXE可执行文件,针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的,前提是要有特征库,PE特征识别有多种形式,第一种是静态识别,此方法就是只针对磁盘中文件特征码字段进行检测来判断编译器版本,此种方式优点是快,缺点是识别不准确,第二种则是动态识别,当程序被装入内存解码后在尝试对其进行识别,此方法最为准确,我们经常使用的PEID查壳工具是基于静态检测的方法。读取映射中的内存并返回一个句柄,后面的程序就可以通过该句柄操作打开后的文件了.函数创建文件的内存映像,最后使用。
PE文件结构分析程序(C++)
jzz5072的博客
01-18 831
该程序用与对PE文件的头文件以及数据目录表进行分析,并输出各个数据目录表以及头文件的关键字段 运行环境 Microsoft Visual Studio Professional 2017 Windows10 项目格式 头文件 Entry.h #pragma once #include <stdio.h> #include <Windows.h> //计算数据目录表起始位置到文件头的偏移 DWORD RvaToOffset(DWORD dwRva, char *buffer);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值