PE解析

最新推荐文章于 2024-05-27 09:49:11 发布
最新推荐文章于 2024-05-27 09:49:11 发布
阅读量387 收藏 1
点赞数
分类专栏: 安全开发 文章标签: 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/useror/article/details/90200362
版权 
// PE解析1.cpp : 定义控制台应用程序的入口点。
//1·获取文件到内存
//2·判断是否是PE文件
//3·解析字段
//
//f1·RVAtoFOA

#include "stdafx.h"
#include<windows.h>


char* ReadFileToMem(char* pFilePath)
{
	HANDLE hFile = CreateFileA(pFilePath,
		GENERIC_READ,
		FILE_SHARE_WRITE | FILE_SHARE_READ,//设置共享属性 默认为0会独占
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL
		);
	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("File open failed\n");
		return 0;
	}
	//获取文件大小
	DWORD dwFileSize = GetFileSize(hFile, NULL);
	//申请内存空间
	char* pFileBuf = new char[dwFileSize] {};
	//读文件数据
	DWORD dwRead;
	BOOL bRet =
		ReadFile(hFile, pFileBuf, dwFileSize, &dwRead, NULL);

	if (bRet)
	{
		return pFileBuf;
	}
	delete pFileBuf;
	return 0;
}

/*2·判断是否是PE文件*/
BOOL IsPeFile(char* pFileBuf)
{
	PIMAGE_DOS_HEADER pDos=(PIMAGE_DOS_HEADER)pFileBuf;
	PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pFileBuf);

	if ((pDos->e_magic!=IMAG
最低0.47元/天 解锁文章
useror
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEPsal分析
liuzhongshan的博客
05-19 1179
网络连接 部署 代码分析 数据结构 syn_table poll_resources active_queueready_queue 线程 queuer listener poller time_sch workers 说明网络连接PEPsal只是直接把从C到S的TCP连接切割成了两段(TCP Spacing),除此之外什么都没有做。 通过iptables配置,拦截C到S的TCP握手SYN包,与C建
PE结构解析
Hello_MyDream的博客
06-16 2万+
一. DOS头原来为DOS系统使用,现在只需要记住如下两项。 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 如上图所示,DOS头一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
PE文件结构解析
城南以南花亦开
09-02 9881
PE(Portable Executable)文件,即可移植的可执行文件,是 Windows 操作系统上主流的可执行文件。
【Python PE解析器】——制作解析PE文件软件 并进行编译EXE程序 并打包为单个安装程序(全程详细包资料)
热门推荐
₰₯₮ 的博客
04-11 8万+
好久都没更新博客了,最近是真的很忙,每天抽出1小时写博客,有的时候更本没时间,今天写一个解析PE的一个软件,过程和内容很干,干货干货 之前有很多人加我要资料和软件,我从来没说过要钱什么的,只要给个关注和点赞,就可以了,需要什么资料,只要我可以给,我会不要一分钱免费给你们资料,欢迎大家来评论博主😊 点个赞留个关注吧!! 资料(百度网盘) 提取码:i4pt PE解析 软件和源代码包文件 提取码:07bh PE解析器软件安装包 提取码:r9og 破解版打包软件--打包为安装包 先看视频,双击打开
探索PE解析器:强大的安全分析工具
最新发布
gitblog_00098的博客
05-27 260
探索PE解析器:强大的安全分析工具 项目地址:https://gitcode.com/saferwall/pe 在网络安全领域,理解并分析可执行文件(Portable Executable, PE)的内部结构是至关重要的。为此,我们向您推荐一个由资深安全专家设计和维护的开源项目——Portable Executable Parser,这是一个专为Go语言编写的PE文件解析库,特别适用于恶意软件分...
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5589
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
PE_修正重定位表
qq_42363151的博客
09-25 297
PE
病毒实验四
weixin_34402090的博客
03-07 259
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
PEInfo.zip_peinfo_pe解析
09-23
标题中的"PEInfo.zip_peinfo_pe解析"指出我们要探讨的主题是关于PE文件的解析,这主要涉及Windows操作系统中的可执行文件格式。PE(Portable Executable)格式是Microsoft为32位和64位Windows系统设计的文件格式,...
认知4.074节课PE项目源码_PE解析器_
09-29
本资源“认知4.074节课PE项目源码_PE解析器”显然是一份关于PE解析器的源代码,旨在帮助学习者了解如何对PE文件进行解析。 首先,我们需要理解PE文件的基本结构。PE文件由几个主要部分组成:DOS头、PE头、节区表和...
PE解析器python脚本
03-17
标题中的“PE解析器python脚本”指的是一个使用Python编程语言编写的程序,它的主要功能是解析PE(Portable Executable)文件格式。PE文件格式是Windows操作系统中的可执行文件和动态链接库(DLL)的标准格式。这个...
三个PE解析器代码学习
04-29
标题 "三个PE解析器代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
DIYPE解析器(做事无痕)
02-05
DIYPE解析器,又被称为“做事无痕”,是一款专门针对PE(Portable Executable)文件格式进行解析的工具。在IT领域,尤其是系统分析、逆向工程和恶意软件检测中,PE解析器扮演着至关重要的角色。PE文件格式是Windows...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7433
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
PE文件-NT头
weixin_45012273的博客
11-06 325
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
PE文件结构详解 --(完整版)
freeking101的博客
11-02 3万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2926
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT头结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
导入表注入
qq_41232519的博客
10-14 553
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加节 3、定位导入表 4、将导入表移动到新增的节里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8161
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
Windows Pe资源文件解析
05-30
1. 使用 PE 解析器打开 Windows PE 文件,找到资源节的偏移量和大小。通常资源节的名称是`.rsrc`,其在节表中的偏移量可以通过解析 PE 头文件中的节表结构体得到。 2. 根据偏移量和大小,将资源节从 PE 文件中读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值