俩种方式实现 PEdump

最新推荐文章于 2024-08-12 16:55:46 发布
最新推荐文章于 2024-08-12 16:55:46 发布
阅读量338 收藏
点赞数
文章标签: c/c++ 操作系统
原文链接:http://blog.51cto.com/haidragon/2103932
版权

方式一
思路把 pe 文件打开,然后通过ReadFile读到一个缓冲区里(内存上)
优点一直保存在那
缺点 得先读完(这一般不算什么读的速度非常快)
俩种方式实现 PEdump

方式二(这里多了步打开文件管理器)
思路把pe 文件打开,然后通过MapViewOfFile映射到内存(返回首地址Return value

If the function succeeds, the return value is the starting address of the mapped view.)
优点动态加载
缺点 由于操作系统只能同时做一件事 因此如果你点击了其它地方他就停止加载。再次点击窗口又开始加载。
俩种方式实现 PEdump
俩种方式都是首地址加加(第一种前辍加加报错,后辍加加不报错,然而MapViewOfFile的返回值做++不管你前后都会报错 这种方式就可以lpMemory = (char*)lpMemory + 1; 我理解不了,如果说返回是常量不能修改为什么这种方式就可以)注意在汇编与 c 语言里不会报错
c++版

// PE练习.cpp : 定义控制台应用程序的入口点。
//
#include<Windows.h>
#include<iostream>
using namespace std;
void _openFile();
DWORD dwStop;
DWORD dwFileSize;
BYTE* g_pFileImageBase = 0;
PIMAGE_NT_HEADERS g_pNt = 0;
void ReadFileToMem(char* szFilePath)
{
    //打开文件获取文件句柄
    HANDLE hFile = CreateFile((LPCTSTR)szFilePath, GENERIC_READ, FALSE,
        NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        printf("文件打开失败\n");
        return;
    }
    //获取文件大小
    dwFileSize = GetFileSize(hFile, NULL);
    g_pFileImageBase = new BYTE[dwFileSize]{};
    DWORD dwRead;
    //将文件读取到内存中
    bool bRet =
        ReadFile(hFile, g_pFileImageBase, dwFileSize, &dwRead, NULL);
    if (!bRet)
    {
        delete[] g_pFileImageBase;
    }
    //关闭句柄
    CloseHandle(hFile);
}
bool IsPEFile()
{
    //使用PIMAGE_DOS_HEADER(占64字节)解释前64个字节
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)g_pFileImageBase;
    //判断PE文件的标识是否正确,有一个不对,那么它就不是PE文件
    if (pDos->e_magic != IMAGE_DOS_SIGNATURE)//0x5A4D('MZ')
    {
        return false;
    }
    g_pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + g_pFileImageBase);
    if (g_pNt->Signature != IMAGE_NT_SIGNATURE)//0x00004550('PE')
    {
        return false;
    }
    return true;
}

void ShowNtImportance()
{
    printf("入口点RVA:%08X", g_pNt->OptionalHeader.AddressOfEntryPoint);
    printf("文件默认加载:%08X", g_pNt->OptionalHeader.ImageBase);

    printf("文件区段个数:%d", g_pNt->FileHeader.NumberOfSections);
    //....
}

void ShowDirTable()
{
    //获取目录表个数
    int nCountOfDirTable = g_pNt->OptionalHeader.NumberOfRvaAndSizes;
    printf("数据目录表个数:%d", g_pNt->OptionalHeader.NumberOfRvaAndSizes);
    for (int i = 0; i < nCountOfDirTable;i++)
    {
        //如果VirtualAddress不为0,说明此表存在
        if (g_pNt->OptionalHeader.DataDirectory[i].VirtualAddress)
        {
            //....
        }
    }
}

void ShowSectionTable()
{
    //获取区段个数
    int nCountOfSection = g_pNt->FileHeader.NumberOfSections;
    //得到首个区段的位置
    PIMAGE_SECTION_HEADER pSec = IMAGE_FIRST_SECTION(g_pNt);
    //保存区段名字(区段名字可能不是以0为结尾的)
    char strName[9] = {};
    for (int i = 0; i < nCountOfSection;i++)
    {
        memcpy(strName, pSec->Name, 8);
        printf("第%d个区段名:%s", i + 1, strName);
        printf("区段RVA:%08X", pSec->VirtualAddress);
        //....
        //下一个区段地址
        pSec++;
    }
}

DWORD RVAtoFOA(DWORD dwRVA)
{
    //此RVA落在哪个区段中
    //找到所在区段后,
    //减去所在区段的起始位置,加上在文件中的起始位置
    int nCountOfSection = g_pNt->FileHeader.NumberOfSections;
    PIMAGE_SECTION_HEADER pSec = IMAGE_FIRST_SECTION(g_pNt);

    DWORD dwSecAligment = g_pNt->OptionalHeader.SectionAlignment;
    for (int i = 0; i < nCountOfSection; i++)
    {
        //求在内存中的真实大小
        DWORD dwRealVirSize = pSec->Misc.VirtualSize % dwSecAligment ?
            pSec->Misc.VirtualSize / dwSecAligment * dwSecAligment + dwSecAligment
            : pSec->Misc.VirtualSize;
        if (dwRVA >= pSec->VirtualAddress &&
            dwRVA < pSec->VirtualAddress + dwRealVirSize)
        {
            //FOA = RVA - 内存中区段的起始位置 + 在文件中区段的起始位置 
            return dwRVA - pSec->VirtualAddress + pSec->PointerToRawData;
        }
        //下一个区段地址
        pSec++;
    }
}
// DWORD FOAtoRVA(DWORD dwFOA)
// {
// 
// }

int main() {
//方式1--------------------------------------------------------------------------------
    //ReadFileToMem("C:\\Users\\allenboy\\Desktop\\fun.exe");
    //int i = 0;
    //int j = 0;
    //while (j<dwFileSize)
    //{
    //  printf("%x ", *(char *)g_pFileImageBase);
    //  ++i;
    //  if (i == 16) {
    //      printf("\n");
    //      i = 0;
    //  }
    //  ++j;
    //  (char *)g_pFileImageBase++;
    //}
//方式2--------------------------------------------------------------------------------
    _openFile();
    cin.get();
    return 0;
}

/*
打开PE文件并处理
*/
void _openFile()
{
    OPENFILENAME stOF;
    HANDLE hFile, hMapFile;
    DWORD totalSize;        //文件大小
    LPVOID lpMemory;        //内存映像文件在内存的起始位置

    char szFileName[MAX_PATH] = { 0 };  //要打开的文件路径及名称名
    char bufTemp1[10];                  //每个字符的十六进制字节码
    char bufTemp2[20];                  //第一列
    char lpServicesBuffer[100];     //一行的所有内容
    char bufDisplay[50];                //第三列ASCII码字符
    DWORD dwCount;                      //计数,逢16则重新计
    DWORD dwCount1;                     //地址顺号
    DWORD dwBlanks;                     //最后一行空格数

    char szExtPe[] = TEXT("PE Files\0*.exe;*.dll;*.scr;*.fon;*.drv\0All Files(*.*)\0*.*\0\0");

    RtlZeroMemory(&stOF, sizeof(stOF));
    stOF.lStructSize = sizeof(stOF);
    //stOF.hwndOwner = (HWND)GetModuleHandle(NULL);
    stOF.lpstrFilter = szExtPe;
    stOF.lpstrFile = szFileName;
    stOF.nMaxFile = MAX_PATH;
    stOF.Flags = OFN_PATHMUSTEXIST | OFN_FILEMUSTEXIST;
    if (GetOpenFileName(&stOF))     //让用户选择打开的文件
    {
        hFile = CreateFile(szFileName, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
            NULL, OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (hFile != INVALID_HANDLE_VALUE)
        {
            totalSize = GetFileSize(hFile, NULL);//获取文件大小
            if (totalSize)
            {
                hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);//内存映射文件
                if (hMapFile)
                {
                    lpMemory = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, 0);//获得文件在内存的映象起始位置
                    if (lpMemory)
                    {
                        //开始处理文件

                        //缓冲区初始化
                        RtlZeroMemory(bufTemp1, 10);
                        RtlZeroMemory(bufTemp2, 20);
                        RtlZeroMemory(lpServicesBuffer, 100);
                        RtlZeroMemory(bufDisplay, 50);

                        dwCount = 1;

                        //将第一列写入lpServicesBuffer
                        dwCount1 = 0;
                        sprintf(bufTemp2, "%08x  ", dwCount1);
                        lstrcat(lpServicesBuffer, bufTemp2);    //函数功能:该函数将一个字符串附加在另一个字符串后面。

                        dwBlanks = (16 - totalSize % 16) * 3;//求最后一行的空格数

                        while (TRUE)
                        {
                            if (totalSize == 0)//最后一行
                            {
                                while (dwBlanks)//填充空格
                                {
                                    lstrcat(lpServicesBuffer, TEXT("#"));
                                    --dwBlanks;
                                }

                                lstrcat(lpServicesBuffer, TEXT("  "));//第二列与第三列中间的空格                            
                                lstrcat(lpServicesBuffer, bufDisplay);//第三列内容                           
                                lstrcat(lpServicesBuffer, TEXT("\n"));//回车换行符号
                                break;
                            }

                            //翻译成可以显示的ascii码字,写入第三列的值
                            if (*(char *)lpMemory > 0x20 && *(char *)lpMemory < 0x7e)
                            {
                                bufDisplay[dwCount - 1] = *(char *)lpMemory;
                            }
                            else
                            {
                                bufDisplay[dwCount - 1] = 0x2e;//如果不是ASCII码值,则显示“.”
                            }

                            sprintf(bufTemp1, "%02X ", *(TBYTE *)lpMemory);//字节的十六进制字符串到@bufTemp1中                          
                            lstrcat(lpServicesBuffer, bufTemp1);//将第二列写入lpServicesBuffer

                            if (dwCount == 16)//已到16个字节,
                            {
                                lstrcat(lpServicesBuffer, TEXT("  "));//第二列与第三列中间的空格
                                lstrcat(lpServicesBuffer, bufDisplay);//显示第三列字符 
                                lstrcat(lpServicesBuffer, TEXT("\n"));//回车换行

                                printf("%s",lpServicesBuffer);
                                RtlZeroMemory(lpServicesBuffer, 100);

                                if (dwStop == 1)
                                {
                                    break;
                                }

                                sprintf(bufTemp2, "%08X  ", (++dwCount1) * 16); // 显示下一行的地址
                                lstrcat(lpServicesBuffer, bufTemp2);

                                dwCount = 0;
                                RtlZeroMemory(bufDisplay, 50);
                            }
                            --totalSize;
                            ++dwCount;
                            //((char *)lpMemory)++;

                            lpMemory = (char*)lpMemory + 1;

                            //break;

                        }

                    //  _appendInfo(lpServicesBuffer); //添加最后一行
                        printf("%s", lpServicesBuffer);
                        UnmapViewOfFile(lpMemory);
                    }
                    CloseHandle(hMapFile);
                }
            }
            CloseHandle(hFile);
        }
    }
}

--------------------------------------c版只能运行第二种第一种用的 c++写的在 c 里注释了

// PE练习.cpp : 定义控制台应用程序的入口点。
//
#include<Windows.h>
#include<stdio.h>
//#include<iostream>
//using namespace std;
void _openFile();
DWORD dwStop;
BYTE* g_pFileImageBase = 0;
PIMAGE_NT_HEADERS g_pNt = 0;
void ReadFileToMem(char* szFilePath)
{
    //打开文件获取文件句柄
    HANDLE hFile = CreateFile((LPCTSTR)szFilePath, GENERIC_READ, FALSE,
        NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    if (hFile == INVALID_HANDLE_VALUE)
    {
        printf("文件打开失败\n");
        return;
    }
    //获取文件大小
    DWORD dwFileSize = GetFileSize(hFile, NULL);
    //g_pFileImageBase = new BYTE[dwFileSize]{};
    DWORD dwRead;
    //将文件读取到内存中
    BOOL bRet =
        ReadFile(hFile, g_pFileImageBase, dwFileSize, &dwRead, NULL);
    if (!bRet)
    {
        //delete[] g_pFileImageBase;
    }
    //关闭句柄
    CloseHandle(hFile);
}
BOOL IsPEFile()
{
    //使用PIMAGE_DOS_HEADER(占64字节)解释前64个字节
    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)g_pFileImageBase;
    //判断PE文件的标识是否正确,有一个不对,那么它就不是PE文件
    if (pDos->e_magic != IMAGE_DOS_SIGNATURE)//0x5A4D('MZ')
    {
        return FALSE;
    }
    g_pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + g_pFileImageBase);
    if (g_pNt->Signature != IMAGE_NT_SIGNATURE)//0x00004550('PE')
    {
        return FALSE;
    }
    return TRUE;
}

void ShowNtImportance()
{
    printf("入口点RVA:%08X", g_pNt->OptionalHeader.AddressOfEntryPoint);
    printf("文件默认加载:%08X", g_pNt->OptionalHeader.ImageBase);

    printf("文件区段个数:%d", g_pNt->FileHeader.NumberOfSections);
    //....
}

void ShowDirTable()
{
    //获取目录表个数
    int nCountOfDirTable = g_pNt->OptionalHeader.NumberOfRvaAndSizes;
    printf("数据目录表个数:%d", g_pNt->OptionalHeader.NumberOfRvaAndSizes);
    for (int i = 0; i < nCountOfDirTable;i++)
    {
        //如果VirtualAddress不为0,说明此表存在
        if (g_pNt->OptionalHeader.DataDirectory[i].VirtualAddress)
        {
            //....
        }
    }
}

void ShowSectionTable()
{
    //获取区段个数
    int nCountOfSection = g_pNt->FileHeader.NumberOfSections;
    //得到首个区段的位置
    PIMAGE_SECTION_HEADER pSec = IMAGE_FIRST_SECTION(g_pNt);
    //保存区段名字(区段名字可能不是以0为结尾的)
    //char strName[9] = {};
    char strName[9];
    for (int i = 0; i < nCountOfSection;i++)
    {
        memcpy(strName, pSec->Name, 8);
        printf("第%d个区段名:%s", i + 1, strName);
        printf("区段RVA:%08X", pSec->VirtualAddress);
        //....
        //下一个区段地址
        pSec++;
    }
}

DWORD RVAtoFOA(DWORD dwRVA)
{
    //此RVA落在哪个区段中
    //找到所在区段后,
    //减去所在区段的起始位置,加上在文件中的起始位置
    int nCountOfSection = g_pNt->FileHeader.NumberOfSections;
    PIMAGE_SECTION_HEADER pSec = IMAGE_FIRST_SECTION(g_pNt);

    DWORD dwSecAligment = g_pNt->OptionalHeader.SectionAlignment;
    for (int i = 0; i < nCountOfSection; i++)
    {
        //求在内存中的真实大小
        DWORD dwRealVirSize = pSec->Misc.VirtualSize % dwSecAligment ?
            pSec->Misc.VirtualSize / dwSecAligment * dwSecAligment + dwSecAligment
            : pSec->Misc.VirtualSize;
        if (dwRVA >= pSec->VirtualAddress &&
            dwRVA < pSec->VirtualAddress + dwRealVirSize)
        {
            //FOA = RVA - 内存中区段的起始位置 + 在文件中区段的起始位置 
            return dwRVA - pSec->VirtualAddress + pSec->PointerToRawData;
        }
        //下一个区段地址
        pSec++;
    }
}
// DWORD FOAtoRVA(DWORD dwFOA)
// {
// 
// }

int main1() {
    /*ReadFileToMem("C:\\Users\\allenboy\\Desktop\\fun.exe");
    int i = 0;
    while ((char *)g_pFileImageBase++)
    {
    printf("%x ", *(char *)g_pFileImageBase);
    ++i;
    if (i == 16) {
    printf("\n");
    i = 0;
    }
    }*/
    _openFile();
    //cin.get();
    getchar();
    return 0;
}

/*
打开PE文件并处理
*/
void _openFile()
{
    OPENFILENAME stOF;
    HANDLE hFile, hMapFile;
    DWORD totalSize;        //文件大小
    LPVOID lpMemory;        //内存映像文件在内存的起始位置

    char szFileName[MAX_PATH] = { 0 };  //要打开的文件路径及名称名
    char bufTemp1[10];                  //每个字符的十六进制字节码
    char bufTemp2[20];                  //第一列
    char lpServicesBuffer[100];     //一行的所有内容
    char bufDisplay[50];                //第三列ASCII码字符
    DWORD dwCount;                      //计数,逢16则重新计
    DWORD dwCount1;                     //地址顺号
    DWORD dwBlanks;                     //最后一行空格数

    char szExtPe[] = TEXT("PE Files\0*.exe;*.dll;*.scr;*.fon;*.drv\0All Files(*.*)\0*.*\0\0");

    RtlZeroMemory(&stOF, sizeof(stOF));
    stOF.lStructSize = sizeof(stOF);
    //stOF.hwndOwner = (HWND)GetModuleHandle(NULL);
    stOF.lpstrFilter = szExtPe;
    stOF.lpstrFile = szFileName;
    stOF.nMaxFile = MAX_PATH;
    stOF.Flags = OFN_PATHMUSTEXIST | OFN_FILEMUSTEXIST;
    if (GetOpenFileName(&stOF))     //让用户选择打开的文件
    {
        hFile = CreateFile(szFileName, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
            NULL, OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL);
        if (hFile != INVALID_HANDLE_VALUE)
        {
            totalSize = GetFileSize(hFile, NULL);//获取文件大小
            if (totalSize)
            {
                hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);//内存映射文件
                if (hMapFile)
                {
                    lpMemory = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, 0);//获得文件在内存的映象起始位置
                    if (lpMemory)
                    {
                        //开始处理文件

                        //缓冲区初始化
                        RtlZeroMemory(bufTemp1, 10);
                        RtlZeroMemory(bufTemp2, 20);
                        RtlZeroMemory(lpServicesBuffer, 100);
                        RtlZeroMemory(bufDisplay, 50);

                        dwCount = 1;

                        //将第一列写入lpServicesBuffer
                        dwCount1 = 0;
                        sprintf(bufTemp2, "%08x  ", dwCount1);
                        lstrcat(lpServicesBuffer, bufTemp2);    //函数功能:该函数将一个字符串附加在另一个字符串后面。

                        dwBlanks = (16 - totalSize % 16) * 3;//求最后一行的空格数

                        while (TRUE)
                        {
                            if (totalSize == 0)//最后一行
                            {
                                while (dwBlanks)//填充空格
                                {
                                    lstrcat(lpServicesBuffer, TEXT("#"));
                                    --dwBlanks;
                                }

                                lstrcat(lpServicesBuffer, TEXT("  "));//第二列与第三列中间的空格                            
                                lstrcat(lpServicesBuffer, bufDisplay);//第三列内容                           
                                lstrcat(lpServicesBuffer, TEXT("\n"));//回车换行符号
                                break;
                            }

                            //翻译成可以显示的ascii码字,写入第三列的值
                            if (*(char *)lpMemory > 0x20 && *(char *)lpMemory < 0x7e)
                            {
                                bufDisplay[dwCount - 1] = *(char *)lpMemory;
                            }
                            else
                            {
                                bufDisplay[dwCount - 1] = 0x2e;//如果不是ASCII码值,则显示“.”
                            }

                            sprintf(bufTemp1, "%02X ", *(TBYTE *)lpMemory);//字节的十六进制字符串到@bufTemp1中                          
                            lstrcat(lpServicesBuffer, bufTemp1);//将第二列写入lpServicesBuffer

                            if (dwCount == 16)//已到16个字节,
                            {
                                lstrcat(lpServicesBuffer, TEXT("  "));//第二列与第三列中间的空格
                                lstrcat(lpServicesBuffer, bufDisplay);//显示第三列字符 
                                lstrcat(lpServicesBuffer, TEXT("\n"));//回车换行

                                                                      //_appendInfo(lpServicesBuffer);//写入内容        //一行的所有内容)
                                printf("%s", lpServicesBuffer);
                                RtlZeroMemory(lpServicesBuffer, 100);

                                if (dwStop == 1)
                                {
                                    break;
                                }

                                sprintf(bufTemp2, "%08X  ", (++dwCount1) * 16); // 显示下一行的地址
                                lstrcat(lpServicesBuffer, bufTemp2);

                                dwCount = 0;
                                RtlZeroMemory(bufDisplay, 50);
                            }
                            --totalSize;
                            ++dwCount;
                            ++((char *)lpMemory);
                            //break;

                        }

                        //  _appendInfo(lpServicesBuffer); //添加最后一行
                        printf("%s", lpServicesBuffer);
                        UnmapViewOfFile(lpMemory);
                    }
                    CloseHandle(hMapFile);
                }
            }
            CloseHandle(hFile);
        }
    }
}

转载于:https://blog.51cto.com/haidragon/2103932

weixin_34232617
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE Dump汇编程序
crkres9527
03-30 693
PE Dump实现PE文件字码查看器,利用它可以查看和总计指定的PE文件的十六进制字节码,帮助我们更好地分析PE结构列一:是地址。地址的值是第(n*16+1)个字节在文件中的位置列二:是由空格分隔符分隔的16个字节的十六进制显示列三:这16个字节对应的ASCII码值。打开PE文件---》获取文件大小totalSize----》求循环显示16字节数据-----》显示剩余totalSize%16...
WINDOWS+PE权威指南读书笔记(19)
沐一 · 林 的博客
01-26 678
目录 三个小工具的编写 构造基本窗口程序: 构造窗口界面: 编写相关的资源文件: 通用程序框架的实现PEDump实现: 编程思路: PEDump 代码中的数据结构: PEDump 编码: 运行PEDumpPEComp 的实现: 编程思路: 定义资源文件: PEComp 编码: 运行 PEComp: PElnfo 的实现PElnfo 编码: 运行 PElnfo: 小结: 三个小工具的编写 这三个小工具分别是: 口 PEDump: PE 文件字节码
PeDump小工具的制作】
记录生命的轨迹
08-10 106
工具的制作
PEDUMP - Win32/Win64 EXE/OBJ/LIB/DBG file dumper - 2001 Matt Pietrek
10-04
PEDUMP - Win32/Win64 EXE/OBJ/LIB/DBG file dumper - 2001 Matt Pietrek 支持win64文件.
PEDUMPPE文件解读的源程序, 可以获取所有的PE文件内容
11-04
PEDUMPPE文件解读的源程序, 可以获取所有的PE文件内容
pedump.zip_pecoff_pedump
09-14
总的来说,“pedump.zip_pecoff_pedump”是一个强大的工具,它为开发者和安全专家提供了一种直观的方式来探索和理解PECOFF格式的文件。通过使用pedump,我们可以更深入地洞察程序的内部运作,提高我们的分析能力和...
pedump.rar
07-16
这可能出于安全考虑,比如为了隐藏真实文件的性质或内容,或者可能是恶意软件的一种策略,以规避反病毒软件的检测。"伪写"(Obfuscation)是黑客常用的技术,用于混淆代码,使得分析者难以理解程序的真实行为。 ...
PEDump.rar_PEDUMP._pe_pedu_pedump_rxmi
09-20
标题中的"PEDump.rar_PEDUMP._pe_pedu_pedump_rxmi"表明这是一个关于PE文件分析的资源包,其中包含了"PEDump"这个工具的相关代码和资料。PE是Portable Executable的缩写,它是Windows操作系统中可执行文件的标准格式...
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
PEDUMP程序自从1994年的版本以来,已经有了明显的改善。它可以显示在PE里的每一个数据类型,包括: IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位   debug目录   延迟装入输入表   绑定输入描述符   ...
PEDump
07-29
标题 "PEDump" 提供的信息表明,这是一份与处理PE(Portable Executable)文件格式相关的源代码。在Windows操作系统中,PE文件格式是用于可执行文件、动态链接库(DLL)和其他类型模块的标准格式。这个项目可能是一...
PEDUMP文件分析器1.92版 (代码及论文)
01-13
不知道大家有没有用过PEDUMP,一个很好用的PE文件分析软件,不过那个软件是在DOS的命令行程序,并且是英文的,由于编EXE文件加密器的时候很想用一个这样的程序帮助分析,于是研究了PE文件的结构,做出了现在这个PE文件分析器,提供给那些想快些了解PE结构或者编制这方面的程序的朋友一个工具。我正在加强其功能,主要是用在反编译方面太弱了,希望得到高手的帮助。新版本的1.53版加强了文件导出功能,可以和M$的PUDUMP分析结果媲美:)1.91版,最大的改动就是增加了资源分析显示部分,用法察看自带的ReadMe.txt,可以用来改资源了。1.92版改进一点点小问题,增加毕业论文。
PEDump Delphi版的PE文件结构分析工具
06-26
PEDump Delphi版的PE文件结构分析工具! 值得下载看看!资源免费,大家分享!! 更多免费资源 http://ynsky.download.csdn.net/
PE映像文件从内存中DUMP到磁盘
04-16 1613
了解了EXE和DLL里面的奥秘,你将成为一名知识更加渊博的程序员!”可以看到,作为网络安全爱好者的我们,掌握和熟练利用PE(Portable Executable)文件格式的知识将必定能为我们学习黑客技术和攻防知识打下良好的基础。在网络攻防的对抗中,常常接触到有关PE文件格式方面的技术,比如缓冲区溢出技术中编写Win32 ShellCode时利用PE文件结构的特征查找API函数地址就是一个很经典的
窥探PE文件内幕:Win32 PE 文件格式之旅1
zhangxinrun的专栏
08-23 1274
<br />Matt Pietrek <br />1994 年3月 <br />Matt Pietrek 是Windows Internals (Addison-Wesley, 1993)的作者。他就职于Nu-Mega 技术有限公司,可通过CompuServe: 71774,362联系到他。 <br />这篇文章出自1994年3月发行的Microsoft系统期刊。版权所有﹫1994 Miller Freeman, Inc.保留所有权利。未经Miller Freeman同意,这篇文章的任何部分不得以任何形式被
pedump.c
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-19 1361
// $Id: pedump.c 17587 2005-08-28 15:29:36Z hpoussin $ // // This program was written by Sang Cho, assistant professor at // the department of //
C++笔记5•内存管理•
最新发布
qq_64446190的博客
08-12 1120
内存管理
Windows PE文件分析器:功能与设计详解
PE文件分析器的设计初衷是为了弥补传统DOS工具(如PEDUMP)在Windows环境中操作的不便,特别是当需要频繁对比不同版本的PE文件以检测微小差异或内部变化时。它提供了一个直观的图形用户界面,使得在Windows环境下对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值