通过PE结构遍历EXE所依赖的DLL

已于 2022-11-15 16:29:14 修改
阅读量395 收藏
点赞数
文章标签: windows c++ 开发语言
于 2022-11-15 15:39:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012415226/article/details/127866917
版权
该博客介绍了如何使用C++和Windows API遍历PE(Portable Executable)文件结构,以获取可执行文件(exe)依赖的DLL库。通过创建文件映射、读取PE头信息,以及解析导入目录,实现DLL名称的提取,可用于检查和管理exe的依赖项。
摘要由CSDN通过智能技术生成

网上搜到的都是用工具depends 或者 VS 命令去遍历exe所依赖的dll.

搜集整理的一下

PE结构

前三个部分是数据组织结构部分,节表数据才是PE真正的数据部分

 

 

下面是某人写的遍历PE结构获取exe依赖的方法:

所需头文件以及链接库

#include <winnt.h>
#include <dbghelp.h>

#pragma  comment(lib, "dbghelp.lib")
 

void printDependsDlls(const TCHAR* filePath)
{
	//通过PE的格式来找到引用的dll
	HANDLE hFile = CreateFile(filePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("hFile create failed!!!");
		return;
	}
	HANDLE hFileMap = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);
	if (hFileMap == NULL || hFileMap == INVALID_HANDLE_VALUE)
	{
		printf("create maping failed!!!");
		return;
	}
	LPBYTE lpbaseAddress = (LPBYTE)MapViewOfFile(hFileMap, FILE_MAP_READ, 0, 0, 0);
	if (lpbaseAddress == NULL)
	{
		printf("colud not map view of file");
		return;
	}

	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)lpbaseAddress;

	PIMAGE_NT_HEADERS pNtHeaders = ImageNtHeader(lpbaseAddress);

	DWORD rva_import_table = pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
	if (rva_import_table == 0)
	{
		UnmapViewOfFile(lpbaseAddress);
		CloseHandle(hFileMap);
		CloseHandle(hFile);
		return;
	}
	PIMAGE_IMPORT_DESCRIPTOR pImageTable = (PIMAGE_IMPORT_DESCRIPTOR)ImageRvaToVa(pNtHeaders,lpbaseAddress, rva_import_table, NULL);
	IMAGE_IMPORT_DESCRIPTOR null_iid;
	memset(&null_iid, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR));

	for (int i=0; memcmp(pImageTable+i, &null_iid, sizeof(null_iid)) != 0; ++i)
	{
		LPCSTR szDllName = (LPCSTR)ImageRvaToVa(pNtHeaders, lpbaseAddress, pImageTable[i].Name, NULL);
        //此处为获取到的szDllName字符串存储到CStringlist列表
		//CString strDll(szDllName);
		//m_strDlllist.AddTail(strDll);
		printf("szDllName%s", szDllName);
		printf("\n");
	}

	UnmapViewOfFile(lpbaseAddress);
	CloseHandle(hFileMap);
	CloseHandle(hFile);
}

把获取的dll字符串存入 CStringlist列表;可以拿来检测过滤exe所依赖的dll是否缺失

ly_Enhs
关注
通过分析PE文件查找dll依赖库,并将dll分类,copy到PE目录,方便部署
02-11
详细说明:https://blog.csdn.net/corrupt/article/details/128981246 - 通过分析PE文件所有的依赖库(同depend工具) - 按照windows默认的dll加载顺序查找dll路径 - 比对dll库类型,分为 ~~~ 'ignor' : 可忽略的,默认都是system32目录;但有些开发库安装时也会默认安装到system32路径,导致误判为‘ignor’ 'runtime':运行时库。主要是使用virtual studio 开发的应用程序,不同的vs版本对应不同的vs runtime库。最好的方法是官网下载安装。 'depend':依赖库。这部分dllPE文件的静态依赖库,如果PE文件使用loadlibray方式显示加载dll,工具无法检测。 ~~~
输出pe文件dllexe等)依赖dll、导入表、实验代码
最新发布
why_are_you_so的博客
03-25 393
DOS头,NT头,节表以及具体节DOS头结构体:IMAGE_DOS_HEADER,其中e_lfanew指明了NT头位置,相关结构体都能在 winnt.h 看到。NT头结构体:IMAGE_NT_HEADERS32关注中的ImageBase及成员ImageBase:映象(加载到内存中的PE文件)的基地址,这个基地址是建议,对于DLL来说,如果无法加载到这个地址,系统会自动为其选择地址。一些指令的操作数跟此地址在同一个地址空间。:一个IMAGE_DATA_DIRECTORY数组,指向了导入表,导出表。
获取PE文件导入的dll列表(Win32, C++)
FlameCyclone的博客
11-17 312
最近需=编写检查某个PE文件(exe或者dll)依赖dll有哪些, 于是查找资料尝试编写了这段代码, 经测试, 在x64或者x86环境下均可获取x64和x86的PE文件dll列表.
[源码和文档分享]根据PE文件格式从导入表中获取加载DLL遍历导入函数名称和地址...
qq_38474647的博客
12-30 233
背景 了解 PE 文件格式,对于做一些数据分析都是比较重要的基础。在 PE 文件格式中,理解导入表以及导出表的工作原理,又是重中之重。理解了 PE 格式的导入表,就可以修改 PE 格式进行 DLL 注入,也可以修改导入表实现 API HOOK 等。理解了 PE 格式的导出表,可以不需要 WIN32 API 函数就可以根据 DLL 加载基址定位出导出函数的名...
EXE运行依赖DLL文件提取工具.rar
09-02
软件介绍: 制作绿色软件必备的一款小工具,用于查看并提取EXE文件运行所需要的全部DLL文件,运行后,选择EXE进程,点击查看加载文件,可以查看EXE文件加载的所有DLL文件加载DLL可直接复制到指定文件夹中。
DLL依赖检测
12-03
5. **遍历依赖链**:对于每个找到的DLL依赖,递归地重复上述过程,以检测这些DLL可能依赖的其他DLL。 6. **处理找不到的依赖**:如果在系统路径中找不到某个DLL,可能会导致程序无法运行。因此,检测过程中需要检查...
精选_根据PE文件格式从导入表中获取加载DLL遍历导入函数名称和地址_源码打包
03-09
标题中的“精选_根据PE文件格式从导入表中获取加载DLL遍历导入函数名称和地址_源码打包”表明这是一个关于解析PE(Portable Executable)文件格式的编程实践,特别是关注如何从PE文件的导入表中提取DLL(动态...
语言源码易语言PE结构查看源码.rar
03-30
PE文件格式是Windows操作系统中的可执行文件格式,包括.exe、.dll等。下面我们将详细探讨易语言PE结构的相关知识点。 1. 易语言基础: 易语言的核心理念是“易学易用”,其语法简洁明了,采用了直观的中文词汇,...
windowsPE结构查看VC源码
11-25
文件头(File Header)和可选头(Optional Header)提供了关于PE文件整体布局和性质的关键信息,如目标处理器类型、文件类型(DLLEXE)、入口点地址等。 1. **PE头信息**: - 文件头:包括魔术数字(Magic ...
Qt编写的查看dll依赖.rar
10-25
例如,可以编写一个Qt应用,通过执行系统命令如`dumpbin`或` Depends.exe`(系统自带的依赖查看工具)来获取DLL依赖信息。这些命令可以使用QProcess的startDetached()或start()方法来执行,并通过标准输入/输出...
exe依赖dll提取软件
01-22
exe 依赖 dll 提取,Qt打包神器, 可执行程序依赖dll自动提取
depends工具辅助提取dll文件
12-25
depends工具不能直接提取dll,用这个辅助小软件可以快速提取dll,使用方法为,配合depends小工具复制每个dll全路径到任意txt文档,每一行一个路径,然后用此软件打开该txt,就可以快速复制dll了,如果复制失败会产生log.log文件可以查看详情。
内存 遍历工具 EXE文件
03-17
内存 遍历工具 可以遍历内存的数值 遍历工具 EXE文件
PE结构图,理清exe dll结构.zip
08-20
从网上收集的,希望对大家有帮助
查看exe文件依赖dll文件
qiya_pk的专栏
05-19 491
1. 打开命令行:Microsoft Visual Studio 2005->工具->Visual Studio 2005 命令提示 2.dumpbin/dependents [文件路径] 例如,dumpbin/dependents C:\Qt\Qt5.12.8\Tools\QtCreator\bin\qtcreator.exe
教你使用windeployqt工具来进行Qt的打包发布
君君的博客
11-17 1009
Qt 官方开发环境使用的动态链接库方式,在发布生成的exe程序时,需要复制一大堆 dll,如果自己去复制dll,很可能丢三落四,导致exe在别的电脑里无法正常运行。 因此 Qt 官方开发环境里自带了一个工具:windeployqt.exe。 问题的提出 既然是要发布自己的程序,那么就需要,在Release中编译运行。具体方法如下图所示。 1.点击qt界面左下角的图标; 2.选择Release; 3.点击编译运行即可; 生成的程序运行正常之后,找到项目的生成目录。比...
exe可执行文件依赖dll查找、复制、打包
W_AYF0726的博客
07-07 4232
首先,打开vs2013工具,如果查看b.exe加载了哪些动态库,可以使用:dumpbin /imports b.exe &gt;2.txt此时exe文件依赖dll都会写入2.txt。将2.txt文件dll文件名整理,只保留dll文件中,按行存储;按一下格式写txt,其中,"D:\Opencv 2.4.10\opencv\build\x86\vc12\bin“为dll所在文件夹,C:\Use...
查看dll依赖的利器 Process Explore
高恩阳的博客
03-27 452
到官网上下载,绿色运行 打开procexp.exe,通过菜单View==》Lower Pane View==》DLLs勾选,显示dll窗口
遍历全盘exe文件,给遍历到的exe文件添加一个新节
foxriver_886的专栏
05-04 606
_call    MACRO    procedure,parameters:VARARG     LOCAL    param,reversed     reversed    TEXTEQU            %    for  param,         reversed  CATSTR  ,,reversed     endm     %    for  param,
通过中序前序遍历重构二叉树层次结构
"在Java编程中,我们遇到一个问题:给定一棵二叉树的中序遍历字符串和前序遍历字符串,要求恢复该树按照层次进行的遍历字符串。这个问题涉及到二叉树的重构,特别是基于二叉树的两种基本遍历方式——前序遍历(根-左...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值