解析PE头(上课代码)

最新推荐文章于 2022-10-27 14:14:14 发布
最新推荐文章于 2022-10-27 14:14:14 发布
阅读量203 收藏
点赞数
原文链接:http://www.cnblogs.com/Alyoyojie/p/5329316.html
版权 
// 02 解析PE头.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"
bool  IsPeFile(TCHAR* szPath)
{
    BOOL bSuccess = TRUE;
    //1 将PE文件读取到内存
    HANDLE hFile = CreateFile(
        szPath,
        GENERIC_READ,
        FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
        NULL, OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL
        , NULL
        );
    DWORD dwSize = GetFileSize(hFile, NULL);
    DWORD dwRubbish = 0;
    unsigned char * pBuf = new unsigned char[dwSize];
    ReadFile(hFile, pBuf, dwSize, &dwRubbish, NULL);
    //2 判断是否是PE文件
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBuf;
    if (pDos->e_magic != IMAGE_DOS_SIGNATURE)
    {    
        bSuccess = FALSE;
        goto Error;

    }
    PIMAGE_NT_HEADERS  pNt = (PIMAGE_NT_HEADERS)(pBuf + pDos->e_lfanew);
    if (pNt->Signature != IMAGE_NT_SIGNATURE)
    {
        bSuccess = FALSE;
        goto Error;
    }

Error:

    if (pBuf!=NULL)
    {    
        delete []pBuf;
    }
    if (hFile!=INVALID_HANDLE_VALUE)
    {    
        CloseHandle(hFile);
    }
    return bSuccess;
}

DWORD RvaToOffect(DWORD rva ,unsigned char* pFile)
{
    //1 找到NT头
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFile;
    PIMAGE_NT_HEADERS  pNt = (PIMAGE_NT_HEADERS)(pFile + pDos->e_lfanew);
    //2 找到数据目录表
    PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(pNt);
    //3 判断要转换的位置是不是PE头部
    if (rva< pSection->VirtualAddress)
    {
        return rva;
    }
    //4 在数据目录表中遍历,进行计算
    for (int i = 0; i < pNt->FileHeader.NumberOfSections; i++)
    {
        if (
            (rva >= pSection->VirtualAddress)&&
            (rva <= pSection->VirtualAddress+pSection->Misc.VirtualSize)
            )
        {
            return rva - pSection->VirtualAddress + pSection->PointerToRawData;
        }
        pSection++;
    }
    return -1;
}


int _tmain(int argc, _TCHAR* argv[])
{
    BOOL bSuccess = IsPeFile(L"D:\\Test.exe");
    if (bSuccess == TRUE)
    {
        //1 将PE文件读取到内存
        HANDLE hFile = CreateFile(
            L"D:\\Test.exe",
            GENERIC_READ,
            FILE_SHARE_READ | FILE_SHARE_WRITE | FILE_SHARE_DELETE,
            NULL, OPEN_EXISTING,
            FILE_ATTRIBUTE_NORMAL
            , NULL
            );
        DWORD dwSize = GetFileSize(hFile, NULL);
        DWORD dwRubbish = 0;
        unsigned char * pBuf = new unsigned char[dwSize];
        ReadFile(hFile, pBuf, dwSize, &dwRubbish, NULL);
        //2 找到NT头
        PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBuf;
        PIMAGE_NT_HEADERS  pNt = (PIMAGE_NT_HEADERS)(pBuf + pDos->e_lfanew);
        //2.1 找到文件头
        PIMAGE_FILE_HEADER  pFileHeader = &pNt->FileHeader;
        printf("运行平台:%x\n", pFileHeader->Machine);
        printf("区段数量:%x\n", pFileHeader->NumberOfSections);


        //2.2找到扩展头、
        PIMAGE_OPTIONAL_HEADER pOptionHeader =
            &pNt->OptionalHeader;
        printf("入口点:%x\n", pOptionHeader->AddressOfEntryPoint);
        printf("加载基址:%x\n", pOptionHeader->ImageBase);
        printf("文件对齐:%x\n", pOptionHeader->FileAlignment);
        printf("内存对齐:%x\n", pOptionHeader->SectionAlignment);
        //.......

        //2.3找到数据目录表
        PIMAGE_DATA_DIRECTORY  pDataDir = pOptionHeader->DataDirectory;
        printf("导出表的地址是:%x     ",pDataDir[0].VirtualAddress);//导出表的RVA
        printf("导出表的大小是:%x\n",pDataDir[0].Size);                   //导出表这个数据的大小
        printf("导入表的地址是:%x     ", pDataDir[1].VirtualAddress);//导入表的RVA
        printf("导入表的大小是:%x\n", pDataDir[1].Size);                   //导入表这个数据的大小
        pDataDir[2];//资源
        pDataDir[3];//异常
        pDataDir[4];//安全结构
        pDataDir[5];//重定位
        pDataDir[6];//调试信息
        //.......


        //2.4找到区段表
         PIMAGE_SECTION_HEADER pSection =   IMAGE_FIRST_SECTION(pNt);
         for (int i = 0; i < pFileHeader->NumberOfSections;i++)
         {
             printf("区段名:%s  ,起始RVA:%x,在映像中的大小:%x,起始Offect%x,在文件中的大小%x\n",
                 pSection->Name, pSection->VirtualAddress, pSection->Misc.VirtualSize,
                 pSection->PointerToRawData, pSection->SizeOfRawData);
             pSection++;
         }
         DWORD Offect = RvaToOffect(0x2010, pBuf);
         printf("%x", Offect);
    }

    return 0;
}

 

转载于:https://www.cnblogs.com/Alyoyojie/p/5329316.html

林尧彬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
滴水三期:day41.2-PE阶段所有代码汇总(PE文件分析器基本C代码
Edimade的博客
04-22 412
1.功能说明 > 2.代码
解析PE文件代码
qq_43445167的博客
07-03 624
图形界面暂时没做出来 暑假学学QT 读文件只能在主函数里写文件路径 , 是有点low… (流下了没技术的泪水) 文件代码: #pragma once #include<Windows.h> class CPe { private: PTCHAR ptcFilePath; //PE文件路径 IMAGE_DOS_HEADER pe_cDosHeader; I...
手动解析PE文件(含打印PE文件信息的C练习代码
lygl35的博客
06-17 992
1、DOS _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
PE解析-字段说明
qq_51600802的博客
10-27 2148
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
pe(32位)导入表解析代码
JTB_xia的博客
06-12 118
#include <iostream> #include <Windows.h> #include <fstream> #include "ku.h" using namespace std; int main(int argc, char** argv) { if (argc != 2) { return 1; } UINT l; cout.setf(ios::hex, ios_base::showbase.
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件...
三个PE解析代码学习
04-29
标题 "三个PE解析代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
最新发布
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
PE 输入表 解析 python
11-03
PE文件可选映像中数据目录表的第二成员指向输入表,输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个...
PE文件解析工具源代码
01-10
- 这个PE文件解析工具可能包含了读取和解析PE、节区、导入/导出表等功能,便于查看和理解文件内部结构。 - 另外,压缩包内附带的VC Base论坛PE格式说明文档,可以帮助读者深入理解PE文件的细节。 4. **学习价值...
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析  c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
PE文件导出表解析代码实现
做一个快乐学习者
05-01 508
PE文件导出表结构 typedef struct _IMAGE_EXPORT_DIRECTORY { //保留。恒为0x00000000 DWORD Characteristics; //导出表的创建时间(GMT) DWORD TimeDateStamp; //导出表的主版本号 WORD MajorVersion; //导出表的子版本号 WORD Mi...
pe结构分析-解析pe(一)
freshfox的博客
09-28 711
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
PE部的解析(总结于小甲鱼)
imHaoHao的博客
10-29 1223
上次讲到DOS现在讲下紧跟在DOS部后面的PEPE映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
PE知识复习之PE的各种属性解析
weixin_30649641的博客
08-05 414
一丶DOS结构体 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file ...
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8431
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
PE文件格式总结 - DOS文件PE文件、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值