Windows PE文件导入函数查看器(C++/C)

本文介绍了一款使用C++编写的工具,用于检查PE文件的合法性和列出其导入函数的地址和名称。通过验证Dos头和NT头的签名,确认文件合法性,并解析DataDirectory获取导入函数信息。
摘要由CSDN通过智能技术生成

本文记录了此工具的实现原理和源代码(用C++编写),因个人能力有限,已经尽力做好,若有错误处,请不吝赐教!谢谢各位前辈!

1、实现功能:

          PE文件有效性监测:通过检查PE文件Dos头中的e_magic位是否等于IMAGE_DOS_SIGNATURE(#define IMAGE_DOS_SIGNATURE  0x5A4D  -- <winnt.h>)确定dos头合法。再次检测NT头中的Signature是否等于IMAGE_NT_SIGNATURE(#define IMAGE_NT_SIGNATURE  -- <winnt.h>)确定nt头合法性,以此完成文件合法性检测。

          列出PE文件中所有的导入函数地址和函数名(符号)。通过得到文件中的可选头指针,得到可选头域中的DataDirectory((IMAGE_IMPORT_DESCRIPTOR)域首地址,之后就可以查到文件中导入函数表的首地址,访问其中各个域得到到处函数的函数名和函数真实地址。

#include <windows.h>
#include <stdio.h>
#include <stdlib.h>

/*
 ls all import fxn
*/
void 
ls_import_fxn(LPCTSTR){
	/* load pe file */
	HMODULE hMod=(HMODULE)LoadLibrary(path);
        if(hMod==INVALID_HANDLE_VALUE){
            printf("error load lib...\r\
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值