dump pe file info

最新推荐文章于 2023-10-19 21:17:06 发布
最新推荐文章于 2023-10-19 21:17:06 发布
阅读量72 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/sincoder/blog/81357
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

#include <windows.h>
#include <ImageHlp.h>
#include <wchar.h>

LPVOID LoadFile(wchar_t *pFileName,DWORD *psize)
{
    HANDLE hFile, hMap ;
    LPVOID pData;
    hFile = hMap = pData = NULL;
    hFile = CreateFileW(pFileName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,NULL);
    if(hFile == INVALID_HANDLE_VALUE)
    {
        return NULL;
    }
    hMap = CreateFileMappingW(hFile,NULL,PAGE_READONLY,0,0,NULL);
    if(hMap == NULL)
    {
        goto clean;
    }
    if(psize)
        *psize = GetFileSize(hFile, NULL);
    pData = MapViewOfFile(hMap,FILE_MAP_READ,0,0,0);
clean:
    if(hMap)
        CloseHandle(hMap);
    if(hFile != INVALID_HANDLE_VALUE)
        CloseHandle(hFile);
    return pData;
}

void UnLoadFile(LPVOID lpData)
{
    UnmapViewOfFile(lpData);
}

void ShowNtHeaderInfo(IMAGE_NT_HEADERS *pNtHeaders)
{
    if(pNtHeaders->Signature != IMAGE_NT_SIGNATURE) 
    {
        wprintf(L"NT Signature mismatch\n");
        goto out;
    }
    wprintf(L"----------------------------------------\n");
    wprintf(L"Image file header info:\n");
    wprintf(L"----------------------------------------\n");
    wprintf(L"\tMachine                       0x%04X\n",pNtHeaders->FileHeader.Machine);
    wprintf(L"\tNumberOfSections              %u\n",pNtHeaders->FileHeader.NumberOfSections);
    wprintf(L"\tTimeDateStamp                 0x%08X\n",pNtHeaders->FileHeader.TimeDateStamp);
    wprintf(L"\tPointerToSymbolTable          0x%08X\n",pNtHeaders->FileHeader.PointerToSymbolTable);
    wprintf(L"\tNumberOfSymbols               %u\n",pNtHeaders->FileHeader.NumberOfSymbols);
    wprintf(L"\tSizeOfOptionalHeader          %u\n",pNtHeaders->FileHeader.SizeOfOptionalHeader);
    wprintf(L"\tCharacteristics               0x%04X\n",pNtHeaders->FileHeader.Characteristics);
    wprintf(L"----------------------------------------\n");
    wprintf(L"Image optional header:\n");
    wprintf(L"----------------------------------------\n");
    wprintf(L"\tMagic:                        0x%04X\n",pNtHeaders->OptionalHeader.Magic);
    wprintf(L"\tMajorLinkerVersion:           %u\n",pNtHeaders->OptionalHeader.MajorLinkerVersion);
    wprintf(L"\tMinorLinkerVersion:           %u\n",pNtHeaders->OptionalHeader.MinorLinkerVersion);
    wprintf(L"\tSizeOfCode:                   %u\n",pNtHeaders->OptionalHeader.SizeOfCode);
    wprintf(L"\tSizeOfInitializedData:        %u\n",pNtHeaders->OptionalHeader.SizeOfInitializedData);
    wprintf(L"\tSizeOfUninitializedData:      %u\n",pNtHeaders->OptionalHeader.SizeOfUninitializedData);
    wprintf(L"\tAddressOfEntryPoint:          0x%08X\n",pNtHeaders->OptionalHeader.AddressOfEntryPoint);
    wprintf(L"\tBaseOfCode:                   0x%08X\n",pNtHeaders->OptionalHeader.BaseOfCode);
    wprintf(L"\tBaseOfData:                   0x%08X\n",pNtHeaders->OptionalHeader.BaseOfData);
    wprintf(L"\tImageBase:                    0x%08X\n",pNtHeaders->OptionalHeader.ImageBase);
    wprintf(L"\tSectionAlignment:             0x%08X\n",pNtHeaders->OptionalHeader.SectionAlignment);
    wprintf(L"\tFileAlignment:                0x%08X\n",pNtHeaders->OptionalHeader.FileAlignment);
    wprintf(L"\tMajorOperatingSystemVersion:  %u\n",pNtHeaders->OptionalHeader.MajorOperatingSystemVersion);
    wprintf(L"\tMinorOperatingSystemVersion:  %u\n",pNtHeaders->OptionalHeader.MinorOperatingSystemVersion);
    wprintf(L"\tMajorImageVersion:            %u\n",pNtHeaders->OptionalHeader.MajorImageVersion);
    wprintf(L"\tMinorImageVersion:            %u\n",pNtHeaders->OptionalHeader.MinorImageVersion);
    wprintf(L"\tMajorSubsystemVersion:        %u\n",pNtHeaders->OptionalHeader.MajorSubsystemVersion);
    wprintf(L"\tMinorSubsystemVersion:        %u\n",pNtHeaders->OptionalHeader.MinorSubsystemVersion);
    wprintf(L"\tWin32VersionValue:            0x%08X\n",pNtHeaders->OptionalHeader.Win32VersionValue);
    wprintf(L"\tSizeOfImage:                  %u\n",pNtHeaders->OptionalHeader.SizeOfImage);
    wprintf(L"\tSizeOfHeaders:                %u\n",pNtHeaders->OptionalHeader.SizeOfHeaders);
    wprintf(L"\tCheckSum:                     0x%08X\n",pNtHeaders->OptionalHeader.CheckSum);
    wprintf(L"\tSubsystem:                    0x%04X\n",pNtHeaders->OptionalHeader.Subsystem);
    wprintf(L"\tDllCharacteristics:           0x%08X\n",pNtHeaders->OptionalHeader.DllCharacteristics);
    wprintf(L"\tSizeOfStackReserve:           %u\n",pNtHeaders->OptionalHeader.SizeOfStackReserve);
    wprintf(L"\tSizeOfStackCommit:            0x%08X\n",pNtHeaders->OptionalHeader.SizeOfStackCommit);
    wprintf(L"\tSizeOfHeapReserve:            %u\n",pNtHeaders->OptionalHeader.SizeOfHeapReserve);
    wprintf(L"\tSizeOfHeapCommit:             0x%08X\n",pNtHeaders->OptionalHeader.SizeOfHeapCommit);
    wprintf(L"\tLoaderFlags:                  0x%08X\n",pNtHeaders->OptionalHeader.LoaderFlags);
    wprintf(L"\tNumberOfRvaAndSizes:          %u\n",pNtHeaders->OptionalHeader.NumberOfRvaAndSizes);
    wprintf(L"----------------------------------------\n");
    wprintf(L"Image Directory Entries:\n");
    wprintf(L"----------------------------------------\n");
    wprintf(L"                     SIZE\t\tRVA\n");
    wprintf(L"export:              %-8u\t\t0x%08X\n",
    pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].Size,
    pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
    wprintf(L"import:              %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
    wprintf(L"resource:            %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress);
    wprintf(L"exception:           %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION].VirtualAddress);
    wprintf(L"security:            %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_SECURITY].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_SECURITY].VirtualAddress);
    wprintf(L"basereloc:           %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
    wprintf(L"debug:               %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG].VirtualAddress);
    wprintf(L"copyright:           %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_ARCHITECTURE].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_ARCHITECTURE].VirtualAddress);
    wprintf(L"global ptr:          %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR].VirtualAddress);
    wprintf(L"tls:                 %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_TLS].VirtualAddress);
    wprintf(L"load config:         %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG].VirtualAddress);
    wprintf(L"bound import:        %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT].VirtualAddress);
    wprintf(L"IAT:                 %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress);
    wprintf(L"delay import:        %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT].VirtualAddress);
    wprintf(L"COM descriptor:      %-8u\t\t0x%08X\n",
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR].Size,
        pNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR].VirtualAddress);
out:
    return;
}

int main(int argc, wchar_t **argv)
{
    IMAGE_NT_HEADERS *pNtHeaders;
    IMAGE_DOS_HEADER *pDosHeader;
    pDosHeader = (PIMAGE_DOS_HEADER)LoadFile(L"c:\\windows\\system32\\ntdll.dll",NULL);
    if(pDosHeader == NULL)
    {
        wprintf(L"Load file failed!\n");
        return -1;
    }
    pNtHeaders = (PIMAGE_NT_HEADERS)(PIMAGE_NT_HEADERS)(((DWORD) pDosHeader) + pDosHeader->e_lfanew);
    ShowNtHeaderInfo(pNtHeaders);
    UnLoadFile(pDosHeader);
    return 0;
}

转载于:https://my.oschina.net/sincoder/blog/81357

weixin_33725807
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【C++软件调试技术】dump文件类型与dump文件生成方法详解
dvlinker的技术专栏
07-27 2万+
dump文件类型与dump文件生成方法详解
PE映像文件从内存中DUMP到磁盘
04-16 1618
了解了EXE和DLL里面的奥秘,你将成为一名知识更加渊博的程序员!”可以看到,作为网络安全爱好者的我们,掌握和熟练利用PE(Portable Executable)文件格式的知识将必定能为我们学习黑客技术和攻防知识打下良好的基础。在网络攻防的对抗中,常常接触到有关PE文件格式方面的技术,比如缓冲区溢出技术中编写Win32 ShellCode时利用PE文件结构的特征查找API函数地址就是一个很经典的
内存DumpPE
不会写代码的丝丽
03-12 1084
https://docs.microsoft.com/en-us/windows/win32/debug/pe-format https://blog.csdn.net/weixin_43655282/article/details/104291312 https://zhuanlan.zhihu.com/p/31967907 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QwpoOrBd-1646929463326)(https://upload.wikimedia.org
PE格式学习笔记(一)
seabeam的专栏
02-09 770
1.概述   PE文件格式,全称Portable Executable,是一种使用在WIN32下的可执行文件格式。之前有在MS-DOS下的MZ格式与16位WIN下的NE格式。具体定义可以在winnt.h文件的Image Format部分中可以找到。64位WINDOWS只是对该格式某些域进行了或删除或扩展的修改,称为PE32+格式。PE格式经历了近20年仍保持其精华可见其设计的精妙。之所
病毒分析常用技巧-修复内存dump文件
Sven的忘却日记
11-13 3872
病毒常用的技俩之一就是创建一个傀儡进程,借助傀儡进程,执行自己的恶意代码。 其实现方法: 1.以挂起方式创建一个进程 2.写入一个PE文件到这个挂起的进程的内存,可能会使用API WriteProcessMemory或MapViewOfSection那一套API来完成这个操作 3.调用ResumeThread恢复进程执行 对付这种我们可以在它写入数据到目标进程时下断点,例如WriteProcess...
LordPE(PE文件分析、修改、脱壳软件)
06-18
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。
21.1 使用PEfile分析PE文件
热门推荐
CSDN
08-10 1万+
PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具,用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口,使得用户可以通过`Python`脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
21.1 Python 使用PEfile分析PE文件
最新发布
CSDN
10-19 7514
PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具,用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口,使得用户可以通过`Python`脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
使用PEfile分析PE文件
Gefangenes的博客
08-15 372
PeFile模块是Python中一个强大的便携式第三方PE格式分析工具,用于解析和处理Windows可执行文件。该模块提供了一系列的API接口,使得用户可以通过Python脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
标题中的"pedump_src.rar"是一个压缩包文件,其中包含了"PE格式"的相关资源,特别是"Pe-file_infector"和"pe_dump"工具的源码。"pedump"可能是一个用于分析和理解PE(Portable Executable)文件格式的实用程序。PE...
PEDUMP文件分析器1.92版 (代码及论文)
01-13
不知道大家有没有用过PEDUMP,一个很好用的PE文件分析软件,不过那个软件是在DOS的命令行程序,并且是英文的,由于编EXE文件加密器的时候很想用一个这样的程序帮助分析,于是研究了PE文件的结构,做出了现在这个PE文件分析器,提供给那些想快些了解PE结构或者编制这方面的程序的朋友一个工具。我正在加强其功能,主要是用在反编译方面太弱了,希望得到高手的帮助。新版本的1.53版加强了文件导出功能,可以和M$的PUDUMP分析结果媲美:)1.91版,最大的改动就是增加了资源分析显示部分,用法察看自带的ReadMe.txt,可以用来改资源了。1.92版改进一点点小问题,增加毕业论文。
PEDUMP文件分析器1.92版
07-27
不知道大家有没有用过PEDUMP,一个很好用的PE文件分析软件,不过那个软件是在DOS的命令行程序,并且是英文的,由于编EXE文件加密器的时候很想用一个这样的程序帮助分析,于是研究了PE文件的结构,做出了现在这个PE文件分析器,提供给那些想快些了解PE结构或者编制这方面的程序的朋友一个工具。 我正在加强其功能,主要是用在反编译方面太弱了,希望得到高手的帮助。 新版本的1.53版加强了文件导出功能,可以和M$的PUDUMP分析结果媲美:) 1.91版,最大的改动就是增加了资源分析显示部分,用法察看自带的ReadMe.txt,可以用来改资源了。 1.92版改进一点点小问题,增加毕业论文。
pyexefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件)文件
04-07
pefile 最初由Ero Carrera编写,是一个多平台Python模块,用于解析和处理。 PE标头中包含的大多数信息以及所有部分的详细信息及其数据都是可访问的。 Windows头文件中定义的结构将作为PE实例中的属性进行访问。 ...
File Format Identifier 1.5.3
03-06
一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据...
PE资源修复
07-18
PEFile --- 指向你需要进行资源修正的 PE 文件路径指针; ErrBuff --- 指向一块至少具有 80 个字节空间的 Buffer 指针,在执行该函数返回错误时,接收 错误消息。 该函数适用任何 Win32 平台的编程语言去调用。 ...
PEDump
07-29
6. **coffsymboltable.cpp**: COFF(Common Object File Format)是PE文件格式的基础,此文件可能处理COFF符号表,这对于理解代码的变量和函数定义至关重要。 7. **OBJDUMP.cpp**: 对象文件(OBJ)通常是编译器生成...
PE Dump汇编程序
crkres9527
03-30 695
PE Dump 的实现是PE文件字码查看器,利用它可以查看和总计指定的PE文件的十六进制字节码,帮助我们更好地分析PE结构列一:是地址。地址的值是第(n*16+1)个字节在文件中的位置列二:是由空格分隔符分隔的16个字节的十六进制显示列三:这16个字节对应的ASCII码值。打开PE文件---》获取文件大小totalSize----》求循环显示16字节数据-----》显示剩余totalSize%16...
dumpfile 转txt
10-16
dumpfile转换为txt文件通常需要进行以下步骤: 1. 打开dumpfile:使用相应的软件打开原始的dumpfile文件,这通常是一个二进制文件。 2. 解析dumpfile:通过对dumpfile文件进行解析,可以将其中的数据进行分析和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值