cutePE:自己写的PE文件结构查看器

最新推荐文章于 2023-02-26 14:05:43 发布
最新推荐文章于 2023-02-26 14:05:43 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 逆向与漏洞分析 文章标签: qt5 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spenghui/article/details/72781349
版权

(代码略搓,大神请飘走~~~)

cutePE基于Qt5.5开发,可以查看PE文件结构。开发过程如下:

0x01 读取文件

要【通过signature判断是否为PE文件】其实是件简单的事,but,首先得需要读取文件呀。所以第一步,实现Qt读取文件,以Hex形式打印:

#include <QCoreApplication>
#include <QFile>
#include <QDebug>
#include <iostream>

using namespace std;

int main(int argc, char *argv[])
{
    QCoreApplication a(argc, argv);

    QByteArray raw_bytes;
    QFile file("E:/myCode/binary_file_rw/notepad.exe");
    if(file.open(QIODevice::ReadOnly))
    {
        raw_bytes = file.readAll();
        string byte_string;
        for(int i=0;i<raw_bytes.count();i++){
            byte_string=QString::number(raw_bytes[i]&0x000000000000ff, 16).toUpper().toStdString();
            if(byte_string.length()==1){
                byte_string="0"+byte_string;
            }
            if(!(i%4) && (i%16))
                cout<<"\t";
            if(!(i%16))
                cout<<"\n";
            cout<<byte_string<<" ";
        }
        file.close();
    }

    return a.exec();
}

效果如图:
这里写图片描述

0x02 识别PE文件

不管是变形还是没变形的PE,起始两个byte肯定是 “MZ”,DOS Header结尾的4个byte肯定指向PE Header处,而PE Header起始两个byte肯定是 “PE\0\0”。以此可判断PE文件。
这里对之前的代码做了一丢丢改进,把读取到的byte_string通通存储到全局变量raw_bytes_string里,方便后续处理。bytes_string是一个以string为元素的容器。
同时增加了两个函数,便于对数据进行处理。

#include <QCoreApplication>
#include <QFile>
#include <QDebug>
#include <iostream>
#include <vector>

using namespace std;

vector <string> raw_bytes_string;

//获取raw_bytes_string中addr起始的bytes_length字节。is_reversed指定是否逆序输出字节
string getBytesFromRAW(long long addr,long long bytes_length,bool is_reversed){
    string bytes_string;
    if(is_reversed){//小端机逆序输出地址,方便后续操作
        for(int i=addr+bytes_length-1;i>addr-1;i--){
            bytes_string.append(raw_bytes_string[i]);
        }
    }else{
        for(int i=addr;i<addr+bytes_length;i++){
            bytes_string.append(raw_bytes_string[i]);
        }
    }

    return bytes_string;
}

long long hexString2LongLong(string& hexStr)
{
    hexStr=hexStr.erase(0,hexStr.find_first_not_of("0"));//去掉000000E0前面的000000
    return strtoll(hexStr.c_str(),NULL,16);
}

int main(int argc, char *argv[])
{
    QCoreApplication a(argc, argv);

    QByteArray raw_bytes;
    QFile file("C:/Windows/system32/notepad.exe");
    if(file.open(QIODevice::ReadOnly))
    {
        raw_bytes = file.readAll();
        string byte_string;
        for(int i=0;i<raw_bytes.count();i++){
            byte_string=QString::number(raw_bytes[i]&0x000000000000ff, 16).toUpper().toStdString();
            if(byte_string.length()==1){
                byte_string="0"+byte_string;
            }
            raw_bytes_string.push_back(byte_string);

            //打印整个文件
            //            if(!(i%4) && (i%16))
            //                cout<<"\t";
            //            if(!(i%16))
            //                cout<<"\n";
            //            cout<<byte_string<<" ";
        }
        file.close();

        //判断是否为PE文件
        if(raw_bytes_string[0]=="4D" && raw_bytes_string[1]=="5A"){//MZ
            string pe_header_offset_string=getBytesFromRAW(0x3c,4,true);
            long long pe_header_offset=hexString2LongLong(pe_header_offset_string);
            string pe_header_first_4_bytes=getBytesFromRAW(pe_header_offset,4,false);
            if(pe_header_first_4_bytes=="50450000"){//PE\0\0
                cout<<"it is a PE file!\n";
            }else{
                cout<<"Ops,it is NOT a PE file!\n";
            }
        }else{
            cout<<"Ops,it is NOT a PE file!\n";
        }
    }

    return a.exec();
}

把file路径替换成任何PE文件,exe或者dll,执行效果都是:
这里写图片描述

0x03 读取 & 显示PE文件结构

cutePE里,界面左的内容都是固定的,界面右的内容根据实际PE文件内容变化。涉及到的主要的Qt控件是QTreeWidget(对应图左)、QTableWidget(对应图右)。
总的来说,实现过程有点像写八股文,照着PE文件结构来写就好了~当然具体的SectionTable定位等问题需要自己根据实际的SizeOfOptionlHeader和PE Header offset进行计算,不能照着一般PE文件来写,具体定位还得自己计算,毕竟万一是个变形PE呢。实现效果如下图:
这里写图片描述

代码放在这里了,其实程序还有很多可以优化的地方。现在程序对于PE文件的处理性能不是很理想,随便碰到一个稍微大点的PE就会崩溃。因为我在PE文件初始加载过程中(加载过程有好几道处理工序),把PE文件所有字节都赋给了栈上的变量。。。所以,你懂的……我比较懒,基本功能实现后,也没再进行优化。界面嘛,,本人审美有限,也没怎么调。

fky1e
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEV - PE文件分析工具
x_xx_xxx_xxxx的博客
04-09 3792
PEV 支持 Linux、Windows、MAC OS X  三种操作平台对PE文件进行分析。下载地址://本人推荐 :github 的代码,因为 这个 readme 更完整。https://github.com/merces/pev.githttps://sourceforge.net/projects/pev/files/官方在线指导:https://libpe.readthedocs.io/...
PE查看器PExplorer)
08-06
更适合底层研究的工作人员,希望大家会喜欢。
PEViewerPE文件查看器
最新发布
qq_36286899的博客
02-26 730
PE文件查看器源码及思路,PE文件查看器的实现
iczelion pe tutcn1
jimgreen的专栏
08-29 953
 PE教程1: PE文件格式一览考虑到早期PE教程1是自己所有教程中最糟糕的一篇,此番决心彻底重一篇以飨读者。PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(
PE查看工具编
輚至消亡
07-02 859
1. 基础介绍 今天了一个工具, 使用MFC编。 该工具有以下功能: 查看PE基础信息 查看PE结构的节表信息 RVA到FOA的转换 添加一个新的空节区 2. 功能演示 界面如下: 演示一下添加新节的功能: 演示一下换算RVA与FOA的功能: 可以看到,其位于.idata节。 3. 核心代码 a. 内存映射技术 PVOID CPEViewDlg::FileSharing(LPCTSTR lpcszFilePathName) { HANDLE hFile = I.
pe文件查看器(petool).zip
11-19
1. **PE文件结构查看**:它可以显示PE文件的所有关键部分,如DOS头、NT头、节表、导出和导入表、资源、异常处理等。这对于理解文件的编译和链接过程,以及程序运行时的依赖关系至关重要。 2. **命令行参数支持**:...
PE文件结构详解
08-25
PE文件结构详解 PE文件结构是Windows平台上可执行文件的标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOS头、PE头、节表和节体。 PE文件结构 PE文件结构可以...
PE查看器_PE查看器_
10-01
1. **PE文件结构**:包括DOS头、NT头、节区表、导入表、导出表、资源表、异常处理表、线程局部存储表等组成部分。理解这些结构对于解析PE文件至关重要。 2. **节区(Section)**:PE文件由多个节区组成,每个节区...
PDF文件结构查看器
02-13
PDF文件结构查看器是一款专为分析PDF文档设计的工具,它可以帮助用户深入理解PDF文件的内部构造,并进行数据提取。PDF(Portable Document Format)是一种广泛使用的文档格式,它能够跨平台保持一致的显示效果,因此...
PeViewer - PE格式文件查看器 - 中文版
11-20
"查看Windows平台的PE格式文件的节区信息" 指出PeViewer能够详细展示PE文件中的节区信息,这是PE文件结构中的重要组成部分,包含了程序的代码、数据和资源等。 **标签解读:** "PE文件" 是Windows操作系统中执行...
PE文件查看器
08-14
PEiD是很好用的查壳工具,可以很简单的知道软件是不是加了壳,有了这个PEiD 0.95,现在有软件很多都加了壳,给破解汉化带来非常大的不便,PEiD几乎可以侦测出所有的壳,其数量已超过470 种PE文档 的加壳类型和签名,另外还可识别出exe文件是用什么语言编的,比如:VC++、Delphi、VB或Delphi等
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
PE查看器HXD
07-27
PE查看器HXD
PE文件修改器(EXE文件查看工具)v2.1单文件绿色版
08-22
PE文件修改器(EXE文件查看工具)v2.1单文件绿色版 ============================================================ 发布时文件名:   PEshell-v2.1[crc-8f55854e].exe 软件介绍:   PE文件修改器(EXE文件查看工具)   WINXP,WIN7x86,WIN7x64系统下测试稳定。(仅用于学习交流)   此小工具,可修改EXE文件图标,导出EXE文件图标,EXE文件注入进程,EXE文件注入DLL,合并EXE文件。 注:   用于打造个性化EXE文件,但仅适用于修改普通32位可执行EXE文件。   绿色版无毒请放心使用!   这类软件杀软误报纯属正常! ============================================================
PE文件查看器(PEInfo)v1.0.0.1绿色免费版
07-28
PE文件查看器(PEInfo)是一款Windows可执行文件信息查看软件,可查看.exe .dll .sys .ocx等PE格式的程序内部信息。
PE查看器(C++)--下
qq_38611124的博客
05-13 426
GetFirstSectionHeader(Based)这个函数忘了,在这里补上PIMAGE_SECTION_HEADER GetFirstSectionHeader(LPVOID Based) { PIMAGE_NT_HEADERS pNH=NULL; PIMAGE_SECTION_HEADER pSH=NULL; pNH=GetNtHe...
PE文件查看学习
weixin_43266544的博客
05-05 359
PE学习: xxx.h #include<Windows.h> #include"resource.h" #include<iostream> #pragma comment(lib,"Msimg32.lib") #define FILEBUFF "C:/LenovoSoftstore/Install/xxx/xxx.exe"//文件路径 #define fileBuff "C:/LenovoSoftstore/Install/xxx/副本xxx.exe"//保存文件路径 #d
快速查询PE文件知识点和PE文件解析(下)
m0_58089591的博客
05-15 573
延迟加载导入表 延迟加载导入表(Delay Load Import Table)是PE中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所起的作用和结构与导入表数据基本一致,所以称为延迟加载导入表。 延迟加载导入的概念:系统开始运行程序时被指定的延迟加载的 DLL是不被载入的,只有等到程序调用了该动态链接库的函数时,系统才将该链接库载入内存空间,并执行相关函数代码 typedef struct _IMAGE_DELAYLOAD_DESCRIPTOR { union {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值