Windows PE文件导入函数查看器(C++/C)

最新推荐文章于 2024-07-18 08:08:49 发布
最新推荐文章于 2024-07-18 08:08:49 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 动态链接库 文章标签: library windows c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012842205/article/details/39121717
版权
本文介绍了一款使用C++编写的工具,用于检查PE文件的合法性和列出其导入函数的地址和名称。通过验证Dos头和NT头的签名,确认文件合法性,并解析DataDirectory获取导入函数信息。
摘要由CSDN通过智能技术生成

本文记录了此工具的实现原理和源代码(用C++编写),因个人能力有限,已经尽力做好,若有错误处,请不吝赐教!谢谢各位前辈!

1、实现功能:

          PE文件有效性监测:通过检查PE文件Dos头中的e_magic位是否等于IMAGE_DOS_SIGNATURE(#define IMAGE_DOS_SIGNATURE  0x5A4D  -- <winnt.h>)确定dos头合法。再次检测NT头中的Signature是否等于IMAGE_NT_SIGNATURE(#define IMAGE_NT_SIGNATURE  -- <winnt.h>)确定nt头合法性,以此完成文件合法性检测。

          列出PE文件中所有的导入函数地址和函数名(符号)。通过得到文件中的可选头指针,得到可选头域中的DataDirectory((IMAGE_IMPORT_DESCRIPTOR)域首地址,之后就可以查到文件中导入函数表的首地址,访问其中各个域得到到处函数的函数名和函数真实地址。

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

/*
 ls all import fxn
*/
void 
ls_import_fxn(LPCTSTR){
	/* load pe file */
	HMODULE hMod=(HMODULE)LoadLibrary(path);
        if(hMod==INVALID_HANDLE_VALUE){
            printf("error load lib...\r\
最低0.47元/天 解锁文章
_nMaple_
关注
专栏目录
C++动态库编程】C++名称改编、标准C接口、extern “C”、函数调用约定以及def文件详解
dvlinker的技术专栏
08-27 3万+
本文通过一个具体的dll动态库编程实例,详细讲述动态库导出接口相关的导入导出声明、标准C接口、extern "C"作用、函数调用约定声明、跨语言调用dll接口以及def文件等内容。
PE导入表解析和注入
windows小菜鸡的博客
08-19 655
1、导入导入表是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT表,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT表,其内容结构与OriginalFirstThunk指向的INT表一模一样 2、程序启动
Depends C++DLL导出函数查看器
08-23
Depends是一个的实用工具,扫描任何32位或64位Windows模块( EXE文件, DLL的,控件,系统等) ,并建立所有相关模块的层次树图。 可以查看C++导出DLL的导出函数信息,同时也可以查看EXE文件的依赖关系,是C++\C#开发人员必备工具。
Windows PE文件浅析
最新发布
qq_15054345的博客
07-18 574
4、数据目录:Windows下的可执行文件PE中的一种,这种文件除了包含代码及数据段的相关数据以外还包含了许多与文件执行有关的其他数据。Windows操作系统在加载可执行文件时,会为这些具有不同属性怼的数据分别分配标记有不同属性的页面(当然,相同属性的数据可能会被放到同一个页面中),以确保程序运行时的安全。相对虚拟内存地址RVA是相对于基地址的偏移,几RVA是虚拟内存中用来定位某个特定未知的,该地址的值是这个特定位置距离某个模块基地址的偏移量。RVA是相对于模块而言的,VA是相对于进程而言的。
c ++函数功能查询器_C ++ 17新功能和技巧
cunhan4654的博客
08-25 1990
c ++函数功能查询器Download structured_bindings - 1 KB 下载结构化绑定-1 KB Download if-init-statement - 1 KB 下载if-init-statement-1 KB Download switch-init-statement - 1 KB 下载switch-init-statement-1 KB Download na...
PE文件导出函数查看器
03-23
查看PE文件导出的函数,很好用.图形界面,功能单一,但是很实用!
导入导出函数查看工具
10-31
Delphi写的导入导出函数查看工具 直接使用流读取文件,按PE文件格式进行解析
C++dll查看器
11-24
一个简单的dll查看器,可以查看dll里面的方法
PE查看器_PE查看器_
10-01
标题中的"PE查看器"指的是一个用于分析和检查PE(Portable Executable)文件格式的工具。PE文件格式是Windows操作系统中用于执行程序的标准格式。它包括了程序的代码、数据、资源以及运行时所需的元数据。这个查看器...
PEExplorer_8307.rar_C/C++__C/C++_
08-09
PEExplorer是一款功能强大的Windows可执行文件(.exe和.dll)分析工具,专为C/C++程序员设计。它能够帮助开发者深入理解PE(Portable Executable)文件格式,这是Windows操作系统中用于存放可执行程序和动态链接库的...
dll 函数查看工具 接口查看工具
12-04
dll 函数查看工具 接口查看工具 dll 函数查看工具 接口查看工具 dll 函数查看工具 接口查看工具
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
暴雪.MPQ文件查看器源碼C++
11-19
查看魔獸3MPQ文件 裏的3D模型。源碼可以編譯。
dll内置函数查看器
05-04
可以直接查看dll文件内部函数。可查看引入函数,引出函数
修改windows PE文件的VC源码.zip
06-18
本压缩包"修改windows PE文件的VC源码.zip"提供了一个使用Microsoft Visual C++(VC++)进行PE文件修改的实际案例,主要涉及显示进程的PID(Process ID)、SIZE等相关信息。以下将详细解析这个项目中的关键知识点: ...
Depends.exe —— PE依赖模块、导入导出函数查询
逆枫 -- C++/Qt工程师、创业者
07-13 3670
1,简介 Depends.exe 是用来反编译VC程序的工具,可以查看PE模块的导入模块以及导入和导出的函数,以及动态剖析PE模块的依赖性和解析C++函数名称。 简单地说,一般用来看exe依赖哪些dll、dll有哪些导出函数。 2,下载地址 直接搜索,很多下载地址。 百度网盘:http://pan.baidu.com/s/1eSylaxk 3,常见使用
Windows核心编程_PE文件格式解析
17岁boy的博客
06-12 1937
接上一篇的理论知识:PE文件格式 这一篇是实战,其实读取非常简单,WIndows也为我们提供了内存对齐的结构体: //DOS头 PIMAGE_DOS_HEADER //NT头(包括PE标识+Image_File_Header+OptionHeader) PIMAGE_NT_HEADERS //标准PE头 PIMAGE_FILE_HEADER 其实PIMAG...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值