PE工具的编写(一)

最新推荐文章于 2022-12-21 14:32:30 发布
最新推荐文章于 2022-12-21 14:32:30 发布
阅读量1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45873163/article/details/109258111
版权

俗话说:“工欲善其事,必先利其器。”下面是与Windows PE有关的三个小工具开发。这三个分别是:
1、PEDump:PE文件字节码查看器
2、PEComp:PE文件比较器
3、PEInfo:PE文件结构查看器

编写相关的资源文件

整个过程分为两个阶段:
   (1)创建资源文件pe.rc
   (2)生成资源目标文件pe.res

1、创建资源文件pe.rc
在创建资源文件时,需要定义图中所有出现的菜单项,对话框,图标等,下面时资源文件的详细编码:

	#include <resource.h>

#define ICO_MAIN  1000
#define DLG_MAIN  1000
#define IDC_INFO  1001
#define IDM_MAIN  2000
#define IDM_OPEN  2001
#define IDM_EXIT  2002

#define IDM_1    4000
#define IDM_2    4001
#define IDM_3    4002
#define IDM_4    4003


ICO_MAIN  ICON  "main.ico"

DLG_MAIN DIALOG 50,50,544,199
STYLE DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
CAPTION "PE文件基本信息"
MENU IDM_MAIN
FONT 9,"宋体"
BEGIN
   CONTROL "",IDC_INFO,"RichEdit20A",196 | ES_WANTRETURN | WS_CHILD | ES_READONLY
               | WS_VISIBLE |WS_BORDER | WS_VSCROLL | WS_TABSTOP,0,0,540,396
END

IDM_MAIN menu discardable
BEGIN
  POPUP "文件(&F)"
  BEGIN
    menuitem "打开文件(&O)...",IDM_OPEN
    menuitem separator
    menuitem "退出(&x)",IDM_EXIT
  END

  POPUP "查看"
  BEGIN
    menuitem "源文件",IDM_1
    menuitem "窗口透明度",IDM_2
    menuitem separator
    menuitem "大小",IDM_3
    menuitem "宽度",IDM_4
  END

END

2、生成资源目标文件pe.res
资源目标文件生成以后,接下来的工作就是实现通用程序框架。主要分为三个阶段:
(1)编写源程序pe.asm
(2)编译生成目标文件pe.obj
(3)链接生成可执行文件pe.exe
1、编写源程序Pe.asm
首先打开记事本输入以下代码:

.386
.model flat,stdcall
option casemap:none

include    windows.inc
include    user32.inc
includelib user32.lib
include    kernel32.inc
includelib kernel32.lib
include    comdlg32.inc
includelib comdlg32.lib


ICO_MAIN equ 1000
DLG_MAIN equ 1000
IDC_INFO equ 1001
IDM_MAIN equ 2000
IDM_OPEN equ 2001
IDM_EXIT equ 2002
IDM_1    equ 4000
IDM_2    equ 4001
IDM_3    equ 4002

.data
hInstance   dd ?
hRichEdit   dd ?
hWinMain    dd ?
hWinEdit    dd ?
szFileName  db MAX_PATH dup(?)

.const
szDllEdit   db 'RichEd20.dll',0
szClassEdit db 'RichEdit20A',0
szFont      db '宋体',0


.code

;----------------
;初始化窗口程序
;----------------
_init proc
  local @stCf:CHARFORMAT
  
  invoke GetDlgItem,hWinMain,IDC_INFO
  mov hWinEdit,eax
  invoke LoadIcon,hInstance,ICO_MAIN
  invoke SendMessage,hWinMain,WM_SETICON,ICON_BIG,eax       ;为窗口设置图标
  invoke SendMessage,hWinEdit,EM_SETTEXTMODE,TM_PLAINTEXT,0 ;设置编辑控件
  invoke RtlZeroMemory,addr @stCf,sizeof @stCf
  mov @stCf.cbSize,sizeof @stCf
  mov @stCf.yHeight,9*20
  mov @stCf.dwMask,CFM_FACE or CFM_SIZE or CFM_BOLD
  invoke lstrcpy,addr @stCf.szFaceName,addr szFont
  invoke SendMessage,hWinEdit,EM_SETCHARFORMAT,0,addr @stCf
  invoke SendMessage,hWinEdit,EM_EXLIMITTEXT,0,-1
  ret
_init endp


;-------------------
; 窗口程序
;-------------------
_ProcDlgMain proc uses ebx edi esi hWnd,wMsg,wParam,lParam
  mov eax,wMsg
  .if eax==WM_CLOSE
    invoke EndDialog,hWnd,NULL
  .elseif eax==WM_INITDIALOG  ;初始化
    push hWnd
    pop hWinMain
    call _init
  .elseif eax==WM_COMMAND  ;菜单
    mov eax,wParam
    .if eax==IDM_EXIT       ;退出
      invoke EndDialog,hWnd,NULL 
    .elseif eax==IDM_OPEN   ;打开文件
    .elseif eax==IDM_1  
    .elseif eax==IDM_2
    .elseif eax==IDM_3
    .endif
  .else
    mov eax,FALSE
    ret
  .endif
  mov eax,TRUE
  ret
_ProcDlgMain endp

start:
  invoke LoadLibrary,offset szDllEdit
  mov hRichEdit,eax
  invoke GetModuleHandle,NULL
  mov hInstance,eax
  invoke DialogBoxParam,hInstance,\
         DLG_MAIN,NULL,offset _ProcDlgMain,NULL
  invoke FreeLibrary,hRichEdit
  invoke ExitProcess,NULL
  end start

2、编译生成目标文件pe.obj
在命令提示符下输入以下命令,编译源文件pe.asm:
asm文件所在路径>ml -c -coff pe.asm

3、链接生成可执行文件pe.exe
在命令提示符下输入以下命令:
obj文件所在路径> link -subsystem:windows pe.obj pe.res
上述命令指定了最终生成的EXE文件的运行平台为Windows,链接程序将根据pe.obj中的描述构造PE文件,并将相关资源内容附加到PE文件里,最终生成可执行的pe.exe
至此,一个基本的基于汇编语言的窗口程序就编写完成了。接下来的工作就是在此基础上进行拓展,开发三个基于Windows PE的小工具。

啥也不是哦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编写自定义PE结构的程序
05-15 773
一般高级编译器都是编译好的PE头部,例如MASM,TASM等一直都说NASM,FASM是低级编译器.可以自定义结构但是苦于无人发布相关文章说明..我这里就简单的用NASM写一下由于刚学PE结构许多东西都不太懂希望个位大侠指点如何打造一个迷你的PE结构..我暂只只能作到617字节下面随着学习的深入...还有更迷你的PE出现...代码可以直接编译..编译参数:nasmw -fbin MsgBoxA.a
PE文件解析工具源代码
01-10
没什么高深的技术性可言。仅仅是根据微软的Pe格式来解析exe文件而已。作为新手学习PE的一个参考吧。。内附vc base论坛的PE格式说明文档。witch 2013-1-10
窗口框架
小驹的专栏
08-14 1209
窗口框架 1 . pe.asm .386 .model flat,stdcall option casemap:none include windows.inc include user32.inc includelib user32.lib include kernel32.inc includelib kernel32.lib ICO_MAIN eq
PE查看工具编写
輚至消亡
07-02 851
1. 基础介绍 今天写了一个工具, 使用MFC编写。 该工具有以下功能: 查看PE基础信息 查看PE结构的节表信息 RVA到FOA的转换 添加一个新的空节区 2. 功能演示 界面如下: 演示一下添加新节的功能: 演示一下换算RVA与FOA的功能: 可以看到,其位于.idata节。 3. 核心代码 a. 内存映射技术 PVOID CPEViewDlg::FileSharing(LPCTSTR lpcszFilePathName) { HANDLE hFile = I.
开发 PE
weixin_35754962的博客
12-21 107
PE (Portable Executable) 是 Windows 操作系统中的可执行文件格式。它用于存储可在 Windows 中运行的应用程序。 要开发 PE 文件,你需要使用特定的工具和编程语言。常用的工具包括 Microsoft Visual Studio 和 MinGW,常用的编程语言包括 C++ 和 Assembly。 首先,你需要使用编程语言编写代码并编译生成可执行文件。然后,你可以...
delphi编写PE加壳工具
01-08
本文将深入探讨如何使用Delphi编程语言编写一个PE加壳工具。 Delphi是一款强大的面向对象的编程环境,基于Pascal语言,特别适合开发Windows桌面应用。要编写一个PE加壳工具,我们需要理解以下几个核心概念: 1. **...
PE信息查看工具
01-19
7. **编程语言状态**:根据PE文件的元数据,工具可能能够推断出程序是用何种编程语言编写的。 8. **编译时间**:PE文件的创建和编译时间可以揭示程序的生命周期信息。 标签中的“系统”、“文件”、“安全”和...
WimTool PE映像编写工具
02-25
6. **创建PE环境**:使用工具如WinPE Builder创建一个可启动的PE环境,将WimTool和定制的WIM文件放入PE环境中。 7. **安装系统**:通过PE环境启动计算机,使用WimTool在目标硬盘上部署定制的系统映像。 WimTool的...
pe工具X64-易语言
06-11
本文将深入探讨“PE工具X64-易语言”,它是一个基于易语言编写的64位PE文件处理工具,旨在帮助开发者理解和操作64位PE文件。 首先,我们需要明白64位PE文件与传统的32位PE文件的主要区别。在32位环境下,PE文件中的...
制作PE工具箱 、 PE工具箱应用
m0_46196876的博客
03-22 637
回顾 WSB 本地安全策略 1) 帐户策略:密码策略、帐户锁定策略 2) 本地策略:审核策略、用户权限分配、安全选项 打开本地安全策略 运行-secpol.msc 帐户策略 1) 密码策略 密码必须符合复杂性要求 密码长度最小值(0-14) 最长使用期限(0-999,默认42天,0永不过期) 最短使用期限(0-998,0表示随时更改密码) 强制密码历史(0表示曾经使用过的随便用) 2) 帐户锁定策略 锁定阈(yù)值 锁定时间(锁定时间为0表示管理员手动解锁) 重置帐户锁定计数器 注:管
PE手工编辑EXE 贺昌峰.rar(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 )
10-23
对一个EXE文件进行简单的修改:增加一个函数,并使程序运行后,该函数也能够执行。 目的: (1)对PE的结构有一个了解 (3) 对EXE文件的注入过程有一个了解 (4)对EXE中的重定位和导入、导出有一个理解 (5) 对汇编语言有一个学习和复习
Windows PE 开发官方指南
01-15
Windows PE 开发官方指南 讲述如何创建自己的的windows pe 系统。 高手必备!
PE Explorer
12-08
PE Explorer 官方版
lordpe(汉化)
12-12
LordPE的最新版本,改进了许多东东,PE 编辑器的功能更加强大,加入了各项目的16进制编辑和列表,除了修补了LDS(LordPE Dumper Server)的一些bugs,还增加了一个LDE(LordPE Dumper Engine),支持新的插件格式,功能增加了,还加入了一些yoda自己写的软件,对了,还有一项新的功能,就是:全球首先支持新的 pe 文件格式---pe+,但是只是支持编辑,还不支持脱壳等别的操作。配合手动脱壳工具(Ollydbg等)、ImportREC 等,学习调试手动脱壳必备的工具!
LoadPE PE 编辑工具
02-21
LoadPE PE 编辑工具 LoadPE PE 编辑工具
在masm下编译一个较小的PE文件
谢绝留言与私信
07-18 684
前言写一段masm32汇编程序 link要使用masm32自带的link(改名或指定全路径) 使用link编译选项 /MERGE, 合并的段名用Winhex或PE分析工具来看.代码片段echo off rem file buildcmd.bat rem brief build projetcall clearcmd.batMl32.exe /c /coff hw.asm if errorleve
PE Dump汇编程序
crkres9527
03-30 685
PE Dump 的实现是PE文件字码查看器,利用它可以查看和总计指定的PE文件的十六进制字节码,帮助我们更好地分析PE结构列一:是地址。地址的值是第(n*16+1)个字节在文件中的位置列二:是由空格分隔符分隔的16个字节的十六进制显示列三:这16个字节对应的ASCII码值。打开PE文件---》获取文件大小totalSize----》求循环显示16字节数据-----》显示剩余totalSize%16...
PE工具 编译工具(Compilers)_★〓劳尔工作室〓★
xu的blog
05-26 2137
导读: PE编辑工具Stud_PE v. 2.3.0.1PE工具,用来学习PE格式十分方便。http://www.cgsoftlabs.ro/汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840ProcDump32v1.6.2 FINALWindows下的脱壳工具并可进行PE编辑。可惜不更新了,己过
PE格式文件编译链接原理剖析
我的程序世界
03-04 1298
 (*1*): 写程序。a.cpp 和 foo.cpp其中a.cpp的内容为:extern void Foo();void main(){ Foo();}foo.cpp的内容为:#include "stdio.h"void Foo(){ printf("I am Foo!");}编译程序产生a.obj foo.obj a.exe.(*2*):Copy以上3个文件到../Visu
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI中的相关函数,我们可以打开并读取PE文件的内容。 接下来,我们需要解析PE文件的头部信息。PE文件的头部包含了一些关键信息,例如文件类型、节表、导入表、导出表等。通过读取并解析这些信息,我们可以获取到PE文件的一些基本属性和区段信息。 在解析PE文件的过程中,我们还需要处理可选头部信息,如DLL特性、数据目录等。这些信息对于理解和使用PE文件是非常重要的。 此外,我们还需要处理节表信息。PE文件的节表记录了PE文件中的各个区段,如代码段、数据段等。通过解析节表,我们可以获取到更加详细的关于各个区段的信息。 最后,我们可以结合以上解析的内容,提供一些实用的功能。例如,我们可以通过解析导入表,查找和打印出PE文件中使用的外部函数和库文件;我们还可以通过解析导出表,获取到PE文件中自身的导出函数等。 总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、实用的PE文件解析工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值