【滴水三期】32/64位——PE文件头字段打印与解析

最新推荐文章于 2024-09-02 23:29:10 发布
最新推荐文章于 2024-09-02 23:29:10 发布
阅读量886 收藏 17
点赞数 8
分类专栏: 逆向 WIN32 API  文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunqingyu888/article/details/140885862
版权

一、【作业描述】

1、编写程序读取一个exe文件,输出所有的PE头信息;

2、使用第三方的PE工具,对比如下信息,看是否一致;

二、【PE头字段解析】

注:海哥发的PE结构 PDF也不是特别全的,可以去<winNT.h>头文件自己查看相关结构,这样能更清晰一些。

PE头字段解析说明:标黄色的为海哥画的重要要背的,个人认为了解即可弄清偏移量是咋回事就好。其中的重点,后期主要操作的资源都在这个存放各种表的结构里面: _IMAGE_DATA_DIRECTORY DataDirectory[16];

 

struct _IMAGE_FILE_HEADER {描述一个可执行文件的基本属性和结构
0x00 WORD Machine;目标机器类型
0x02 WORD NumberOfSections;PE文件中包含的节的数量
0x04 DWORD TimeDateStamp;文件的编译时间戳
0x08 DWORD PointerToSymbolTable;符号表信息不包含在最终的可执行文件中。如果是.OBJ文件,则指向符号表的RVA(相对虚拟信息);如果是可执行文件则值为0。
0x0c DWORD NumberOfSymbols;如果是.obj文件,表示符号表中的符号数量
0x10 WORD SizeOfOptionalHeader;可选头结构体的大小(字节)
0x12 WORD Characteristics;是否只读
};
struct _IMAGE_OPTIONAL_HEADER {提供可执行文件的详细信息:文件布局、内存需求、入口点、数据目录等信息。
0x00 WORD Magic;区分32位还是64位文件
0x02 BYTE MajorLinkerVersion;链接器主要版本
0x03 BYTE MinorLinkerVersion;链接器次要版本
0x04 DWORD SizeOfCode;代码节的总大小,无影响
0x08 DWORD SizeOfInitializedData;已初始化数据节的总大小,无影响
0x0c DWORD SizeOfUninitializedData;未初始化数据节的总大小,无影响
0x10 DWORD AddressOfEntryPoint;程序入口点、相对于映像基地址的RVA
0x14 DWORD BaseOfCode;代码节相对于映像基地址的RVA 无影响
64位没有此项;0x18 DWORD BaseOfData;数据节相对于映像基地址的RVA 无影响
64位——ULONGLONG类型0x1c DWORD ImageBase;映像在内存中的首选基地址
0x20 DWORD SectionAlignment;内存中节的对齐大小
0x24 DWORD FileAlignment;文件中节的对齐大小
0x28 WORD MajorOperatingSystemVersion;目标操作系统的版本
0x2a WORD MinorOperatingSystemVersion;目标操作系统的版本
0x2c WORD MajorImageVersion;映像的版本
0x2e WORD MinorImageVersion;映像的版本
0x30 WORD MajorSubsystemVersion;目标子系统的版本
0x32 WORD MinorSubsystemVersion;目标子系统的版本
0x34 DWORD Win32VersionValue;通常保留为0
0x38 DWORD SizeOfImage;映像在内存中占用的大小,必须是SectionAlignment整数倍。
0x3c DWORD SizeOfHeaders;文件头部+节表按照FileAlignment对齐后的总大小
0x40 DWORD CheckSum;文件的校验和 ,一些系统文件、驱动程序有要求,用来判断文件是否被修改,或NTdll,系统会检查。可逆
0x44 WORD Subsystem;映像的子系统类型(如控制台程序还是GUI程序)
0x46 WORD DllCharacteristics;DLL的特性。如是否支持搞地质映射或是否使用NX兼容性
64位——ULONGLONG类型0x48 DWORD SizeOfStackReserve;栈的预留大小
64位——ULONGLONG类型0x4c DWORD SizeOfStackCommit;栈的提交大小
64位——ULONGLONG类型0x50 DWORD SizeOfHeapReserve;堆的预留大小
64位——ULONGLONG类型0x54 DWORD SizeOfHeapCommit;堆的提交大小
0x58 DWORD LoaderFlags;保留使用,目前总是0
0x5c DWORD NumberOfRvaAndSizes;后面的数据目录数组中的条目数量
0x60 _IMAGE_DATA_DIRECTORY DataDirectory[16];用于存储导入表、导出表、资源、异常处理等的RVA和大小

三、代码如下:

#include <windows.h>
#include <winNT.h>
#include <stdio.h>

//这里我之前犯了一个错误,windows.h 包含winNT.h 头,所以windows.h必须要在winNT.h头前面,否则会引起冲突。单独使用windows.h头有些无法输出出来
// 
//#include <stdio.h>
//#include <windows.h>
//#include <time.h>
//#include <winNT.h>
//#include <pshpack1.h>
//#include <wintrust.h>
//读取一个exe文件,输出所有PE头信息。
/*
* 1、以二进制模式打开文件
* 2、存储到一个buffer中
* 3、判断前两个字符是否为5A 4D
* 4、如果是,则是PE文件,否则输出不是标准可执行文件
* 5、顺着往下走
*/


int main(){
    
    FILE* pfile = NULL;
    //测试64位、32位程序 ;1:64  、2:32  
    //fopen_s(&pfile, "C:\/Users\/Administrator\/source\/repos\/文件内存读写\/x64\/Debug\\notepad_fileRW.exe", "rb");
    fopen_s(&pfile, "C:\/Windows\/syswow64\/odbcad32.exe", "rb");
        if (!pfile) {
            printf("Failed to open file.\n");
            return 1;
        }

        fseek(pfile,0,SEEK_END);
        size_t file_size=ftell(pfile);
        rewind(pfile);

        char* file_buffer;
        file_buffer=(char*)calloc(file_size,1);
        PIMAGE_DOS_HEADER dos_header;


        int check_fread=fread_s(file_buffer, file_size, 1, file_size,pfile);
        if (check_fread!= file_size)
        {
            printf("file read erro");  
            fclose(pfile);
            free(file_buffer);
        }
        dos_header = (PIMAGE_DOS_HEADER)file_buffer;
        fclose(pfile);

        if (dos_header->e_magic != IMAGE_DOS_SIGNATURE) {
            printf("Not a valid PE file.\n");
            free(file_buffer);
            return 1;
        }
        //在打印16进制数字时,%x 默认输出小写字母,%X默认输出大写字母。
        //dos_header
        printf("e_magic: 【%04X】\n", dos_header->e_magic);
        printf("e_lfanew: 【%04X】\n", dos_header->e_lfanew);

        //NT_header
        PIMAGE_NT_HEADERS nt_header;
        file_buffer =file_buffer + dos_header->e_lfanew;
        nt_header = (PIMAGE_NT_HEADERS)file_buffer;
        printf("Signature:【%04X】\n",nt_header->Signature);

        //file_header
        PIMAGE_FILE_HEADER file_header;
        file_header = (PIMAGE_FILE_HEADER)(file_buffer + sizeof(nt_header->Signature));
        printf("Machine:【%04X】\n", file_header->Machine);
        printf("NumberOfSections:【%04X】\n", file_header->NumberOfSections);
        printf("TimeDateStamp:【%08X】\n", file_header->TimeDateStamp);
        printf("PointerToSymbolTable:【%08X】\n", file_header->PointerToSymbolTable);
        printf("NumberOfSymbols:【%08X】\n", file_header->NumberOfSymbols);
        printf("SizeOfOptionalHeader:【%04X】\n", file_header->SizeOfOptionalHeader);
        //还可以继续分解Characteristics
        printf("Characteristics:【%04X】\n", file_header->Characteristics);
 
        //optional_header
        PIMAGE_OPTIONAL_HEADER optional_header;
        PIMAGE_OPTIONAL_HEADER64 optional_header_64;
        //file_header++ ;这里的file_header 是IMAGE_FILE_HEADER型的,占14H个字节,后面的运算也是按照这个类型算的,所以只需向后加1即可。卡了30分钟才解决。
        optional_header = (PIMAGE_OPTIONAL_HEADER)(++file_header);// sizeof(IMAGE_FILE_HEADER);
       

        printf("Magic:【%02X】\n", optional_header->Magic);
        int magic=sizeof(optional_header->Magic);
        printf("SizeOfCode:【%04X】\n", optional_header->SizeOfCode);
        printf(":SizeOfInitializedData【%04X】\n", optional_header->SizeOfInitializedData);
        printf("SizeOfUninitializedData:【%04X】\n", optional_header->SizeOfUninitializedData);
        printf("AddressOfEntryPoint:【%04X】\n", optional_header->AddressOfEntryPoint);
        printf("BaseOfCode:【%04X】\n", optional_header->BaseOfCode);
       
        
        //64位PE的imageBase是 Ulonglong型的,这里需要处理一下;%I64X是打印输出ulonglong型的16位数据的格式化符
        if (optional_header->Magic ==0x20B)
        {
            optional_header_64 = (PIMAGE_OPTIONAL_HEADER64)(file_header);
            printf("=============================64位PE文件=========================================\n");
            printf("ImageBase:【%0I64X】\n", optional_header_64->ImageBase);
            printf("SectionAlignment:【%08X】\n", optional_header_64->SectionAlignment);
            printf("FileAlignment:【%08X】\n", optional_header_64->FileAlignment);
            printf("SizeOfImage:【%08X】\n", optional_header_64->SizeOfImage);
            printf("SizeOfHeaders:【%08X】\n", optional_header_64->SizeOfHeaders);
            printf("CheckSum:【%08X】\n", optional_header_64->CheckSum);
            printf("SizeOfStackReserve:【%0I64X】\n", optional_header_64->SizeOfStackReserve);
            printf("SizeOfStackCommit:【%0I64X】\n", optional_header_64->SizeOfStackCommit);
            printf("SizeOfHeapReserve:【%0I64X】\n", optional_header_64->SizeOfHeapReserve);
            printf("SizeOfHeapCommit:【%0I64X】\n", optional_header_64->SizeOfHeapCommit);
            printf("NumberOfRvaAndSizes:【%08X】\n", optional_header_64->NumberOfRvaAndSizes);
            printf("=============================64位PE文件=========================================\n");

        }
        else
        {
            //32位PE
            printf("=============================32位PE文件=========================================\n");
            printf("BaseOfData:【%04X】\n", optional_header->BaseOfData);
            printf("ImageBase:【%04X】\n", optional_header->ImageBase);
            printf("SectionAlignment:【%04X】\n", optional_header->SectionAlignment);
            printf("FileAlignment:【%04X】\n", optional_header->FileAlignment);
            printf("SizeOfImage:【%04X】\n", optional_header->SizeOfImage);
            printf("SizeOfHeaders:【%04X】\n", optional_header->SizeOfHeaders);
            printf("CheckSum:【%04X】\n", optional_header->CheckSum);
            printf("SizeOfStackReserve:【%04X】\n", optional_header->SizeOfStackReserve);
            printf("SizeOfStackCommit:【%04X】\n", optional_header->SizeOfStackCommit);
            printf("SizeOfHeapReserve:【%04X】\n", optional_header->SizeOfHeapReserve);
            printf("SizeOfHeapCommit:【%04X】\n", optional_header->SizeOfHeapCommit);
            printf("NumberOfRvaAndSizes:【%04X】\n", optional_header->NumberOfRvaAndSizes);
            printf("=============================32位PE文件=========================================\n");
        }
       
     
  
        // 在释放free(file_buffer); 之前,应先将file_buffer = NULL; 否则会报“Expression:is_block_type_valid(header->_block_use)”错误
        file_buffer = NULL;
        free(file_buffer);
       
	return 0;
}

四、010editor  介绍

本人使用的是010 editor当做第三方PE工具的,因为确实可以这么做到,真的很强大,强烈推荐,不过官网下载是英文版的,其中熟悉软件用了不少时间。效果如下图:

本人在编辑的时候可能会受到自身逻辑限制,无法想到一些重要的情况,欢迎各位一起学习的小伙伴多多批评指正。

JXU1Q
关注
  • 8
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向笔记】总览一
qq_46441427的博客
01-09 2027
目录逆向学习笔记概述进制数据表示PE文件结构 逆向学习笔记概述 根据滴水逆向海哥的视频进行大致总结的一个笔记 进制 二进制:计算机中通常以二进制进行表示(高低电平) 十六进制:二进制过于麻烦,以十六进制进行表示 数据表示 如图,虽然是16进制,但是实际上在计算机中还是以2进制来表示 为什么是以两个十六进制数为一组?这涉及到存储单元的问题 8 bit = 1 Byte 2 Byte = 1 Word 2 Word = 1 DWord 一个二进制数是1bit。也就是说,两个十六进制数即为1Byte。 因此
PE打印
qq_41232519的博客
09-22 519
文章目录 一、GetLogicalDrives() #include <windows.h> DWOR dwtLogicalDrives = GetLogicalDrives(); //返回一个数字 13 1101 1为存在,0为不存在,从右到左 ,A存在,B不存在,C存在,D存在
滴水三期32/64位——PE文件节表打印解析
sunqingyu888的博客
08-03 486
滴水三期32/64位——PE文件节表打印解析
PE文件-文件
weixin_45012273的博客
11-06 154
文件格式 文件是NT的第二个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节表的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号表偏移 DWORD NumberOfSymbols; //5.
PE文件(一)PE
qq_63329753的博客
02-13 3706
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
滴水逆向三期实践6:扩大节
Rivival_S 的博客
09-29 716
扩大节: 1、拉伸到内存(只是逻辑上,实际代码操作并不需要这一步),需要注入的代码为 ShellCode 2、分配一块新的空间:SizeOfImage + sizeof ( ShellCode) 3、扩大节,修改最后一个节的 SizeOfRawData 和 VirtualSize OrgSecSize= max ( SizeOfRawData 或 VirtualSize内存对齐后的值 ) ∵有些初始化数据未全部写入文件,VirtualSize可能比SizeOfRawData...
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出...
滴水三期完整版(96课时)
04-20
第35讲:2015-03-12(PE字段说明) 第36讲:2015-03-13(PE节表) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:...
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
"滴水逆向3期作业"是一个关于逆向工程的学习项目,重点在于理解C++源码中如何处理文件,特别是与PE(Portable Executable)文件格式相关的操作。PE文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和...
C语言操作符详解1(含进制转换,原反补码)
hdxbufcbjuhg的博客
09-02 1313
左移操作符对一个十进制整数的影响是有规律的,无论正负数,都可以对原数值起到乘以2的移位次方的作用,比如将10左移了1位,那么就对原数值乘以了2的一次方,变成了20,依次类推,如果是-10左移了1位,那么就会变成-20对一个无符号数进行右移操作,会对它进行除以2的移位次方,比如将10右移一位,就对它除以了2的一次方,最后变成了5,那如果这个数不是偶数怎么办呢?比如123向右移一位,它除以2就是61.5,最后结果会返回这个数两边较小的整数,61.5的两边分别是61和62,最终得到小的那个数61,所以综上,
C++】深入理解C++模板:从基础到进阶
2403_86785171的博客
09-01 661
模板是C++中用于泛型编程的工具。它允许你编写可以处理任意类型的函数和类,而不必重复编写相似的代码。函数模板和类模板。
C++】智能指针——auto_ptr,unique_ptr,shared_ptr
2301_79796701的博客
09-01 1269
1.智能指针对象中引用计数是多个智能指针对象共享的,两个线程中智能指针的引用计数同时 ++或--,这个操作不是原子的,引用计数原来是1,++了两次,可能还是2.这样引用计数就错 乱了。旧的智能指针的会转移给新的智能指针,而旧的智能指针的会被置空。解决方案:在引用计数的场景下,把节点中的_prev和_next改成weak_ptr就可以了,weak_ptr不会增加引用计数,代码示意。该问题是有类似于链表节点的结构引起的,当外部的智能指针都释放了,就拿不内部的智能指针,那么节点就不会释放。使用方法参考官方文档。
Linux C 内核编程 /proc 编程例子
最新发布
yong1585855343的博客
09-02 404
Linux 内核编程 /proc 例子代码
c++11新特性-智能指针
SuperYang_的博客
09-01 1138
智能指针RAII(Resource Acquisition Is Initialization),是一种利用对象的生命周期来管理资源的技术。如果我们采用传统的new/delete来申请和释放资源,如果忘记调用delete,或者在调用delete之前程序抛出异常,都会导致内存泄漏问题,如代码1.1,Func函数中的new p2和Div都可能抛异常,导致后面的delete没有执行从而引发内存泄漏,采用智能指针对资源进行管理,能够杜绝这类问题。代码1.1:因异常引发的内存泄漏throw "除0错误";
C++友类匿名对象,运算符重载
m0_75109289的博客
09-02 248
【代码】C++友类匿名对象,运算符重载。
《从C/C++到Java入门指南》- 26.record 类+多态
09-02 337
由于record类比较简单,将他和多态放在一节中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值