一个解析PE文件的小工具(可以检测一些可疑的api)

最新推荐文章于 2020-08-27 00:09:24 发布
最新推荐文章于 2020-08-27 00:09:24 发布
阅读量827 收藏 3
点赞数
分类专栏: c语言 PE文件结构 文章标签: PE 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/86530820
版权

文章目录

// 003_解析导入表.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>



DWORD RvaToOffset( IMAGE_NT_HEADERS* pNtHdr , DWORD dwRva ) {

	// 1. 找Rva所在的区段
	// 2. 用Rva减去所在区段的首Rva ,再用减出来的差,加上所在
	//    区段的首区段偏移
	IMAGE_SECTION_HEADER* pSechdr = NULL;
	pSechdr = IMAGE_FIRST_SECTION( pNtHdr );
	for( int i = 0 ; i < pNtHdr->FileHeader.NumberOfSections; ++i ) {
		if( dwRva >= pSechdr[ i ].VirtualAddress
			&& dwRva <= pSechdr[ i ].VirtualAddress + pSechdr[ i ].SizeOfRawData ) {

			dwRva -= pSechdr[ i ].VirtualAddress;
			dwRva += pSechdr[ i ].PointerToRawData;
			return dwRva;
		}
	}
	return -1;
}



int main( ) {
	
	//typedef struct _IMAGE_IMPORT_DESCRIPTOR {
	//	union {
	//		DWORD   Characteristics;            
	//		DWORD   OriginalFirstThunk; /*保存导入函数名称表(INT)的地址(RVA)*/        
	//	} DUMMYUNIONNAME;
	//	DWORD   TimeDateStamp;
	//	DWORD   ForwarderChain;// 是否是dll转发
	//	DWORD   Name;/*导入的模块名(DLL的名字)*/
	//	DWORD   FirstThunk;/*导入函数地址表(IAT)(RVA)*/
	//} IMAGE_IMPORT_DESCRIPTOR;
	// 解析导入表
	// 1. 读取文件到内存
	printf( "请输入要解析的PE文件的路径:" );
	char szPath[ MAX_PATH ];
	gets_s( szPath , MAX_PATH );

	HANDLE hFile = INVALID_HANDLE_VALUE;
	hFile = CreateFileA( szPath , GENERIC_READ , FILE_SHARE_READ ,
						 NULL , OPEN_EXISTING , FILE_ATTRIBUTE_NORMAL , NULL );
	if( hFile == INVALID_HANDLE_VALUE ) {
		printf( "文件不存在\n" );
		system( "pause" );
		return 0;
	}
	DWORD dwHeight = 0;
	DWORD dwFileSize = GetFileSize( hFile , &dwHeight );

	BYTE* pBuff = new BYTE[ dwFileSize ];

	ReadFile( hFile , pBuff , dwFileSize , &dwFileSize , NULL );

	// 2. 解析出Dos头,Nt头,扩展头
	IMAGE_DOS_HEADER* pDosHdr = NULL;
	IMAGE_NT_HEADERS* pNtHdr = NULL;
	IMAGE_OPTIONAL_HEADER* pOptHdr = NULL;
	IMAGE_DATA_DIRECTORY* pDataDir = NULL;
	IMAGE_EXPORT_DIRECTORY* pExortTable = NULL;


	pDosHdr = (IMAGE_DOS_HEADER*)pBuff;
	pNtHdr = (IMAGE_NT_HEADERS*)( (ULONG_PTR)pDosHdr + pDosHdr->e_lfanew );
	pOptHdr = &pNtHdr->OptionalHeader;

	// 3. 得到扩展头中的数据目录表
	pDataDir = pOptHdr->DataDirectory;

	// 4. 通过数据目录表中的第1个元素得到导入表的RVA
	DWORD dwImpRva = pDataDir[ 1 ].VirtualAddress;
	if( dwImpRva == 0 ) {
		printf( "没有导入表" );
		system( "pause" );
		return 0;
	}
	// 5. 将导入表的RVA转换成文件偏移
	DWORD dwImpOfs = RvaToOffset( pNtHdr , dwImpRva );

	// 6. 使用导入表结构体指针指向导入表所在的内存地址
	IMAGE_IMPORT_DESCRIPTOR* pImpTab = NULL;
	pImpTab = (IMAGE_IMPORT_DESCRIPTOR*)( dwImpOfs + (ULONG_PTR)pDosHdr );

	// 7. 遍历所有的导入表
	//    导入表是以一个全0元素作为结束的标志
	while( pImpTab->Name != 0 ) {

		// 7.1 获取这个导入所导入的DLL的名称,导入表里面的Name也是一个RVA
		ULONG_PTR dwNameOfs = RvaToOffset( pNtHdr , pImpTab->Name );
		char* pName = nullptr;
		pName = (char *)( dwNameOfs + (ULONG_PTR)pDosHdr );
		printf( "导入的DLL:%s\n" , pName );			//pName为导入的dll的名字
		//IMAGE_THUNK_DATA32
		// 7.2 遍历从这个dll导入的函数名称
		DWORD dwINToffset = RvaToOffset(pNtHdr, pImpTab->OriginalFirstThunk);

		// INT : 导入名称表
		// 这个表记录了所有导入函数名称的地址(RVA)
		// 每个地址都是4/8字节(如果是32位PE文件,就是4字节,如果是64位的PE文件就是8字节)
		ULONG_PTR* pInt = (ULONG_PTR*)( dwINToffset + (ULONG_PTR)pDosHdr );

		while( *pInt != 0 ) {
			// 导入函数有两种方式:
			// 1. 以序号导入
			// 2. 以名称导入
			// 如果INT表中保存的值,最高位是0的时候,说明这个值是一个函数名称的RVA
			// 否则这个值的低16位就是一个导入的序号。
			if( IMAGE_SNAP_BY_ORDINAL( *pInt ) ) {

				// 以序号方式导入
				// 以序号方式导入, 保存的是序号,需要只有2字节
				printf( "\t0x%04X\n" , *pInt & 0xFFFF );
			}
			else {
				// 以名称方式导入,数组保存的RVA,并非是一个字符串的RVA
				// 而是一个结构体(IMAGE_IMPORT_BY_NAME)的RVA
				IMAGE_IMPORT_BY_NAME* pImpByName = NULL;
				DWORD dwNameRva = *pInt;
				dwNameOfs = RvaToOffset( pNtHdr , dwNameRva );
				pImpByName = (IMAGE_IMPORT_BY_NAME*)( dwNameOfs + (ULONG_PTR)pDosHdr );
					//printf( "\t序号:%04X,名称:%s这是以名称方式导入的\n" ,
					//	pImpByName->Hint ,
					//	pImpByName->Name );
				char* api[] = {"CreateFile ","RreadFile" ,"WriteFile" , "CreateFileMapping", "MapViewOfFile","RegOpenKeyEx", "RegSetValueEx", "RegGetValue" ,"OpenSCManager", "CreateService", "StartService"
					,"CoCreateInstance", "DllCanUnloadNow", "DllGetClassObject","DllInstall","DllRegisterServer","DllUnregisterServer","AdjustTokenPrivileges", "AttachThreadInput", "bind", "BitBlt", "CallNextHookEx"
					, "CertOpenSystemStore", "CheckRemoteDebuggerPresent", "connect", "ConnectNamedPipe","ControlService","CreateMutex", "CreateProcess", "CreateRemoteThread","CreateToolhelp32Snapshot", "CryptAcquireContext"
					, "DeviceIoControl", "DllCanUnloadNow","DllGetClassObject ","EnableExecuteProtectionSupport", "EnumProcesses","EnumProcessModules","FindFirstFile", "FindNextFile", "FindResource", "FindWindow", "FtpPutFile"
					, "GetAdaptersInfo","GetAsyncKeyState", "GetDC", "GetForegroundWindow", "gethostbyname", "gethostname","GetKeyState", "GetModuleFileName", "GetProcAddress", "GetStartupInfo","GetSystemDefaultLangID"
					," GetTempPath", "GetThreadContext", "GetTickCount", "GetVersionEx","GetWindowsDirectory", "inet_addr", "InternetOpenA" , "InternetReadFile" , "InternetWriteFile","IsDebuggerPresent", "IsNTAdmin"
					, "IsWow64Process", "LdrLoadDll", "LoadLibraryA","LoadResource", "LsaEnumerateLogonSessions", "MapVirtualKey","MmGetSystemRoutineAddress", "Module32First", "Module32Next", "NetScheduleJobAdd","NetShareEnum"
					,  "NtQueryDirectoryFile","NtQueryInformationProcess"," NetScheduleJobAdd", "OleInitialize","OpenMutex","OpenProcess", "OpenSCManagerA", "OutputDebugString", "PeekNamedPipe", "Process32First"                
					,   "Process32Next", "QueryPerformanceCounter", "QueueUserAPC", "ReadProcessMemory", "recv", "RegisterHotKey", "RegOpenKey","ResumeThread", "RtlCreateRegistryKey"  , "RtlWriteRegistryValue" ," SamIConnect"    
					,"SamIGetPrivateDate", "SamQueryInformationUse", "send", "SetFileTime ", "SetThreadContext","SetWindowsHookEx", "SfcTerminateWatcherThread", "ShellExecute","StartServiceCtrlDispatcher", "SuspendThread"		
					, "system"," Thread32First","Thread32Next" , "Toolhelp32ReadProcessMemory" , "URLDownloadToFile ", "VirtualAllocEx", "VirtualProtectEx", "WideCharToMultiByte", "WinExec", "WlxLoggedOnSAS"						
					,"Wow64DisableWow64FsRedirection" ,"OpenFile", "GetModuleHandle", "InternetOpenA", "InternetOpenUrl","InternetWriteFile", "RegCreateKey", "RegCreateKeyEx", "RegDeleteKey", "RegQueryValue"						
					,"RegEnumKey", "RegEnumKeyEx", "RegEnumValue", "RegLoadKey", "RegReplaceKey", "RegRestoreKey"," RegConnectRegistry", "RegUnLoadKeyA" ," AttachThreadInput"," EnumProcesses","ZwQueryInformationProcess"			
					, "WriteProcessMemory","RpcServerRegisterIf", "RpcServerListen", "RpcServerUseProtseqEp", "RpcMgmtStopServerListening", "RpcServerUnregisterIf"," RpcStringBindingCompose"                                       
					,"RpcBindingFromStringBinding", "RpcStringFree", "GetThreadContext","CryptReleaseContext"," CryptEnumProviders", "CryptCreateHash", "CryptGetHashParam", "CryptDestroyHash", "CryptHashData", "CryptDeriveKey"		
					, "CryptGetProvParam", "CryptSetKeyParam"," CryptEncrypt", "CryptDecrypt", "CryptDestroyKey", "CryptGenKey"," CryptGetUserKey", "CryptContextAddRef", "CryptExportKey", "SendMessage", "SendMessageCallback"		
					, "SendNotifyMessage","SendMessageTimeout", "PostMessage", "PostThreadMessage", "PostQuitMessage", "PostQuitMessage", "BroadcastSystemMessage", "GetMessage"," PeekMessage", "WaitMessage", "DispatchMessage" };  
				for (int i = 0;i < 177;i++)
				{
					if (strcmp(pImpByName->Name, api[i]) == 0)
						printf("比较可疑的api为%s\n", api[i]);
				}
			}

			// 得到下一个导入函数的名称的地址
			++pInt;
		}
		// 得到下一个导入表的地址
		++pImpTab;
	}  

	system( "pause" );
    return 0;
}
richard1230
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题
dvlinker的技术专栏
12-21 9150
详细讲述如何使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题。
PE文件提取工具
01-20
PE文件 提取工具 逆缘论坛制作本人收藏现在共享给大家
判断应用程序是32位还是64位
jiangqin115的专栏
05-07 6226
VC++检测可执行程序DLL、EXE等是32位还是64位 1.首先介绍PE结构     Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。(不管是学习逆向、破解
PE教程2: 检验PE文件的有效性
benny5609的专栏
06-16 881
如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。下面我们就来实现前面的假设。我们要验证的重要数据结构就是 PE header。从编程角度看,PE header 实际就是一个 IMA
boost c++ && 判断PE文件为32位还是64位
dswang0722的博客
08-27 399
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、功能代码二、测试代码三、测试结果总结 前言 使用boost C++ 读取PE文件,通过NT头判断PE是32位还是64位 提示:以下是本篇文章正文内容,下面案例可供参考 一、功能代码 #include<Windows.h> #include<boost/filesystem.hpp> #include<boost/format.hpp> #define boost_file boos
远程线程注入引出的问题
weixin_33713707的博客
08-30 551
远程线程注入引出的问题   一、远程线程注入基本原理 远程线程注入——相信对Windows底层编程和系统安全熟悉的人并不陌生,其主要核心在于一个Windows API函数CreateRemoteThread,通过它可以在另外一个进程中注入一个线程并执行。在提供便利的同时,正是因为如此,使得系统内部出现了安全隐患。常用的注入手段有两种:一种是远程的dll的注入,另一种是远程代码的注入。后者...
二进制文件/PE文件对比工具非常好用
07-28
二进制文件比较工具,可以支持两个pe文件分析对比,内容是否有差异。可以快速定位出两个dll/exe是不是被修改多
VirtualAllocEx函数
weixin_30402343的博客
02-22 340
VirtualAllocEx 函数的作用是在指定进程的虚拟空间保留或提交内存区域,除非指定MEM_RESET参数,否则将该内存区域置0。 LPVOID VirtualAllocEx( HANDLE hProcess, // 申请内存所在的进程句柄 LPVOID lpAddress, // 保留页面的内存地址;一般用NULL自动分配 SIZE_T dwSize, // 欲分配的内...
20140624:(是否存在某个文件夹操作)PE下粗略判断某个分区是否是Windows系统盘的代码
勿忘初心,安得始终
06-24 700
PE下粗略判断某个分区是否是Windows系统盘”等价于“PE下某个分区否是Windows系统盘”
判断当前操作系统是否为pe环境
zing's blog
09-26 1213
#include <iostream> #include <string> #include <algorithm> #include <windows.h> //#include <stdio.h> #include <conio.h> #include <winreg.h> #pragma comment...
PE_Info.exe
05-31
由鱼C工作室开发,很好用的获取PE文件(可执行文件)数据的工具.
ExStudPE_V1.6.4.3_RENEWAL_最终完整版_含全部插件.7z
01-28
ExStudPE_V1.6.4.3_RENEWAL_最终完整版_含全部插件.7z ======================================================= ~ 强大的PE/PE64/NE/LE/COFF/LIB/ELF 格式分析、调试、编辑工具 ~ ExStudPE Visual Tools 是一个扩展StudPE、LordPE等软件的用于PE(32位)、PE+(64位)、NE、Elf(32位)、Coff、Lib格式二进制可执行目标文件(*.exe、*.dll、*.ocx、*.so、*.lib、*.obj、*.exp等)的分析、调试、十六进制编辑工具。 利用此工具可以方便的查找给定PE文件的一些常用的信息,如导入表、导出表、重定位表、资源、消息表、版本信息、PE附加数据等等。同时可以方便地实现给定程序代码的反汇编功能,同时提供了快速定位的有效解决方案。同时本程序也具有十六进制编辑器的基本功能。另外,本程序集成了对于目标文件的简单的调试功能(包括虚拟机调试与实体机调试),使用方便。特别适合于专业的PE分析研发人员使用。 不仅如此,新版本还增加了许多其他附加特性及插件,使用最新版本将会获得更好的操作体验。 本程序包括ANSI与Unicode两种版本,推荐使用稳定的Unicode版本。
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件...
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
解析so文件工具类,很实用的一个工具类.zip
01-14
解析so文件工具类,很实用的一个工具类.zip
XML文件解析编辑小工具
04-11
XML文件解析编辑小工具 firstobject xml editor 2.4,绿色小巧方便实用
ParsePe_等价替换PE文件指令_解析PE文件_
10-03
解析PE文件,并尝试 替换一些等价指令。目的是修改了一个PE文件的内容,但PE文件的任何功能不受影响。
如何使用vs在调试时查看内存--献给初学的你
热门推荐
richard1230的博客
04-06 3万+
鉴于原来写的那篇是没有图片的,当时写的时候markdown使用的也不是太熟练,真是惭愧,今天将原文奉上: 1.调试必须要在Debug状态下进行! 2.想要查看内存,局部变量等窗口的话,首先要确保在调试状态下(按F5或者按本地windows 调试器)进行,然后点击调试-》窗口-》内存即可;然后弹出一个窗口1,如下: 3.下面讲解怎么看这个内存: int i = 5; ...
如何使用vs在调试时查看内存
richard1230的博客
08-07 2万+
  请看这一篇吧:https://blog.csdn.net/richard1230/article/details/79834473 1.      调试必须要在Debug状态下进行! 2.想要查看内存,局部变量等窗口的话,首先要确保在调试状态下(按F5或者按本地windows 调试器)进行,然后点击调试-》窗口-》内存即可;然后弹出一个窗口1,如下 3.下面讲解怎么看这个内存: in...
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件...这样就可以开发一个功能丰富、实用的PE文件解析工具

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值