pefile解析PE格式

最新推荐文章于 2024-04-11 21:42:03 发布
最新推荐文章于 2024-04-11 21:42:03 发布
阅读量1.2k 收藏 1
点赞数
文章标签: json
原文链接:http://www.cnblogs.com/long123king/p/3614288.html
版权 
import os,sys
import pefile
import pydasm
import struct

#print sys.argv

def show_section(pe):
    print "[sections layout:]"
    print "#"*45
    print "%10s %10s %10s %10s" % ("section", "addr", "real_size", "alloc_size" )
    print "-"*45
    for section in pe.sections:
        print "%10s %10x %10x %10x" % (section.Name.strip('\x00'), section.VirtualAddress, section.Misc_VirtualSize, section.SizeOfRawData)
    print "\n"
    

def show_imports(pe):
    pe.parse_data_directories()

    print "[imports:]"
    print "#"*45
    for entry in pe.DIRECTORY_ENTRY_IMPORT:
        print "%s" % entry.dll.center(45, "-")
        print "%10s %30s" % ("addr", "function")
        print "-"*45
        for imp in entry.imports:
            print "%10x %30s" % (imp.address, imp.name)
    print "\n"

def show_exports(pe):
    pe.parse_data_directories()

    print "[exports:]"
    print "#"*45
    print "%10s %30s" % ("addr", "function")
    print "-"*45
    for exp in pe.DIRECTORY_ENTRY_EXPORT.symbols:
        print "%10x %30s" % (pe.OPTIONAL_HEADER.ImageBase + exp.address, exp.name)
    print "\n"

def show_disasm(pe, off_img, count):
    print "[disasm %08x - %08x]" % (off_img, off_img + count)
    print "-"*45
    image_base = pe.OPTIONAL_HEADER.ImageBase
    data = pe.get_memory_mapped_image()[off_img:off_img+count]
    offset = 0
    while offset < len(data):
        i = pydasm.get_instruction(data[offset:], pydasm.MODE_32)
        raw = ""
        for k in range(0,i.length):
            raw += "%2X " % (struct.unpack("B", data[offset+k])[0])
        print "%25s   %-20s" % ( raw, pydasm.get_instruction_string(i, pydasm.FORMAT_INTEL, image_base+off_img))
        offset += i.length
    
def show_entry(pe):
    print "[entry]"
    print "#"*45

    off_entry = pe.OPTIONAL_HEADER.AddressOfEntryPoint
    show_disasm(pe, off_entry, 100)
    
if __name__ == "__main__":
    try:
        filename = sys.argv[1]
    except:
        sys.exit(1)
       
    pe = pefile.PE(filename)

    show_section(pe)
    
    show_imports(pe)

    show_exports(pe)
    
    show_entry(pe)

  

转载于:https://www.cnblogs.com/long123king/p/3614288.html

weixin_33841503
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python使用pefile出错解决方案
zzlh5686的博客
09-12 1404
python使用pefile 解析打印 #-- encoding: gb2312 -- import threading import Queue import os, string, shutil,re import pefile if name == “main”: PEfile_Path = r"C:\md335.exe" pe = pefile.PE(PEfile_Path) print ...
PE文件结构详解(四)PE导入表
zdwcmy的专栏
06-17 393
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入表。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入表有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
python之pefile模块(解析PE
B_H_L的专栏
07-18 1万+
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查壳脱壳等。 搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。 这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。 开发包的下载地址 http://code.google.c
PE格式:手写PE结构解析工具
CSDN
11-15 5450
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据.
python文件读写_Python读写PE文件模块pefile
weixin_39917576的博客
11-23 524
代码:print hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)实验二代码:import os, string, shutil,reimport pefile ##记得import pefilePEfile_Path = r"C:\temp\test.exe"pe = pefile.PE(PEfile_Path)print PEfile_Pathfor se...
pefile:pefile是一个Python模块,用于读取和使用PE(便携式可执行文件)文件
05-06
pefile 掌握 开发 pefile是一个多平台Python模块,用于解析和使用。 PE文件头中包含的大多数信息以及所有部分的详细信息和数据都是可访问的。 Windows头文件中定义的结构将作为PE实例中的属性进行访问。 字段/属性的命名将尝试遵循那些标头中的命名方案。 只有为方便起见而添加的快捷方式才会脱离该约定。 pefile需要对PE文件的布局有一些基本的了解-借助它,可以探索PE文件格式的几乎每个功能。 特征 pefile使某些任务成为可能: 检查头 分析部分数据 检索嵌入式数据 可疑和格式错误的警告 PE的基本屠宰,例如PE的和 此功能不会重新排列PE文件结构,以便为新字段腾出空间,因此请谨慎使用。 覆盖字段大部分应该是安全的。 带有打包程序检测 生成 请参阅以获取一些演示如何使用pefile的代码段。 以下是使用pefile生成的转储针对不同类型的文件的外观的
C++ PE格式解析源码
03-18
**C++ PE格式解析源码** PE(Portable Executable)格式是Windows操作系统中用于执行程序的文件格式。本文将深入探讨PE格式,并基于C++语言介绍如何解析这种格式。 首先,PE格式是Microsoft为Windows操作系统设计...
PE文件解析
12-01
- **DOS头**: PE文件以传统的MS-DOS头开始,这是为了能在不支持PE格式的DOS系统上运行兼容程序。 - **PE头(NT头)**: DOS头后面是PE头,包括COFF(Common Object File Format)头和NT特定的头。COFF头包含有关...
PE-FIle-format.rar_PE file format
09-20
- **Loader**:操作系统中的加载器负责解析PE文件,分配内存,处理重定位,建立运行时环境,然后调用程序入口点执行。 了解PE文件格式对于系统编程、逆向工程、软件安全分析等领域至关重要。通过深入学习,我们...
pefile源码库
03-01
`pefile`是一个Python库,专门用于解析Microsoft Windows的Portable Executable (PE) 文件格式。这个源码库为开发者提供了一种方便的方式来读取、分析和操作PE文件,包括可执行程序、动态链接库(DLL)和其他相关...
pefile source code
04-20
The Portable Executable File Format from Top to Bottom 附带源码
pefile-2019.4.18.tar.gz
08-01
安装方法:1.减压文件到目录下。2.cmd到减压的目录下。3、执行python setup.py install
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
以下是对PE文件格式的详细解析。 ### 1. PE文件结构 PE文件由多个部分组成,主要分为DOS头、PE头和节区表等关键部分。 - **DOS头**:PE文件起始于一个DOS程序头,这是为了保持与早期DOS系统的兼容性。它包含一个...
Python-capstone实现反汇编-逆向分析-pefile
插件开发
09-26 915
它可以支持多种硬件构架,如ARM、ARM64、MIPS、X86。该框架使用C语言实现,但支持C++、Python、Ruby、OCaml、C#、Java和Go语言,具有很好的扩展性。因此,该框架被256种工具所集成,如Cuckoo、Binwalk、IntelliJ IDEA。渗透测试人员一额可以通过Python、Ruby语言编写脚本,引入Capstone引擎,从而构建自己的反汇编工具。Capstone作为一个轻量级的多平台、多架构的反汇编框架,该模块支持目前所有通用操作系统,反汇编架构几乎全部支持。
Python 使用PEfile分析PE文件
最新发布
Gefangenes的博客
04-11 226
PeFile模块是Python中一个强大的便携式第三方PE格式分析工具,用于解析和处理Windows可执行文件。该模块提供了一系列的API接口,使得用户可以通过Python脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
pe文件解析:读取pe信息获取文件资源
热门推荐
天道酬勤
03-01 1万+
查看过关于pe文件分析的文章: (1)http://www.vckbase.com/document/viewdoc/?id=1334 (2)http://www.vckbase.com/document/viewdoc/?id=1335 (3)http://www.cppblog.com/aurain/archive/2009/06/29/88771.html (4)http
Python下pefile的使用
BetaBin
04-24 9280
其实在pefile主页的Wiki上已经详细介绍了,https://code.google.com/p/pefile/wiki/UsageExamples#Listing_the_exported_symbols这里给出

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值