c语言程序分析工具,C语言编写控制台下PE分析工具(一)

最新推荐文章于 2021-07-07 10:48:32 发布
最新推荐文章于 2021-07-07 10:48:32 发布
阅读量257 收藏
点赞数
文章标签: c语言程序分析工具

定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。

typedef struct _MAP_FILE_STRUCT

{

HANDLE hFile; //文件句柄

HANDLE hMapping;//映射文件句柄

LPVOID ImageBase;//映像基址

} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;

一、加载要打开的文件

采用内存映射的方式将文件加载到内存中,内存映射函数包括:CreateFileMapping, OpenFileMapping, MapViewOfFile, UnmapViewOfFile和FlushViewOfFile。

定义一个函数,如果是一个PE文件则返回true, 否则返回false:

//加载文件

bool LoadFile(LPTSTR lpFileName, PMAP_FILE_STRUCT pstMapFile)

{

if (lpFileName == nullptr)

{

return false;

}

HANDLE hFile;

HANDLE hMapping;

LPVOID ImageBase;

memset(pstMapFile, 0, sizeof(MAP_FILE_STRUCT));

//1、只读方式打开文件,返回文件句柄

hFile = CreateFile(lpFileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);

if (!hFile)

{

return false;

}

//2、创建内存映射文件对象

hMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, 0);

if (!hMapping)

{

CloseHandle(hFile);

return false;

}

//3、创建内存映射文件的视图

ImageBase = MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0);

if (!ImageBase)

{

CloseHandle(hFile);

CloseHandle(hMapping);

return false;

}

pstMapFile->hFile = hFile;

pstMapFile->hMapping = hMapping;

pstMapFile->ImageBase = ImageBase;

return true;

}

二、程序执行完毕后,回收资源

void UnLoadFile(PMAP_FILE_STRUCT pstMapFile)

{

if (pstMapFile->hFile)

{

CloseHandle(pstMapFile->hFile);

}

if (pstMapFile->hMapping)

{

CloseHandle(pstMapFile->hMapping);

}

if (pstMapFile->ImageBase)

{

//撤销映射并使用CloseHandle函数关闭内存映射文件对象句柄

UnmapViewOfFile(pstMapFile->ImageBase);

}

}

三、文件格式检测

bool IsPEFile(LPVOID ImageBase)

{

PIMAGE_DOS_HEADER pDH = nullptr;

PIMAGE_NT_HEADERS32 pNtH = nullptr;

if (!ImageBase)

{

return false;

}

pDH = (PIMAGE_DOS_HEADER)ImageBase;

if (pDH->e_magic != IMAGE_DOS_SIGNATURE)  //"MZ"

{

return false;

}

//pDH->e_lfanew保存PIMAGE_NT_HEADERS32的偏移地址,加上基址pDH即为MAGE_NT_HEADERS的地址

pNtH = (PIMAGE_NT_HEADERS32) ( (DWORD)pDH + pDH->e_lfanew);

if (pNtH->Signature != IMAGE_NT_SIGNATURE) //"PE"

{

return false;

}

return true;

}

四、读取FileHeader和OptionalHeader的内容

1、获取指向IMAGE_NT_HEADERS结构的指针

PIMAGE_NT_HEADERS GetNtHeaders(LPVOID ImageBase)

{

PIMAGE_DOS_HEADER pDH = nullptr;

PIMAGE_NT_HEADERS pNtH = nullptr;

if (!IsPEFile(ImageBase))

{

return nullptr;

}

pDH = (PIMAGE_DOS_HEADER)ImageBase;

pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH->e_lfanew);

return pNtH;

}

2、获取指向IMAGE_FILE_HEADER结构的指针

PIMAGE_FILE_HEADER GetFileHeader(LPVOID ImageBase)

{

PIMAGE_NT_HEADERS pNtH = GetNtHeaders(ImageBase);

if (!pNtH)

{

return nullptr;

}

return &(pNtH->FileHeader);

}

3、获取指向IMAGE_OPTIONAL_HEADER结构的指针

PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID ImageBase)

{

PIMAGE_NT_HEADERS pNtH = GetNtHeaders(ImageBase);

if (!pNtH)

{

return nullptr;

}

return &(pNtH->OptionalHeader);

}

4、输出文件头信息

void ShowFileHeaderInfo(PMAP_FILE_STRUCT stMapFile)

{

char strTmp[1024] = {0};

PIMAGE_FILE_HEADER pFH = nullptr;

PIMAGE_OPTIONAL_HEADER pOH = nullptr;

pFH = GetFileHeader(stMapFile->ImageBase);

if (!pFH)

{

printf("Get File Header failed!\n");

return;

}

//时间转换

time_t t = pFH->TimeDateStamp;

char strTime[26] = {0};

tm* ptmBegin = localtime(&t);

strftime(strTime, 26, "%Y/%m/%d %H:%M:%S", ptmBegin);

//将信息按十六进制格式化

char *strFileHeaderFormat ="\

IMAGE_FILE_HEADER:\n\

Machine:                   %04lX\n\

NumberOfSections:          %04lX\n\

TimeDateStamp:             %s (%04lX)\n\

PointerToSymbolTable:      %08X\n\

NumberOfSymbols:           %08lX\n\

SizeOfOptionalHeader:      %04lX\n\

Characteristics:           %04lX\n\n\

";

sprintf(strTmp, strFileHeaderFormat, pFH->Machine, pFH->NumberOfSections, strTime, pFH->TimeDateStamp, pFH->PointerToSymbolTable, pFH->NumberOfSymbols,

pFH->SizeOfOptionalHeader, pFH->Characteristics);

printf("%s", strTmp);

memset(strTmp, 0, sizeof(strTmp));

char *strFileOptHeaderFormat = "\

IMAGE_OPTIONAL_HEADER:\n\

Entry Point:              %08lX\n\

Image Base:               %08lX\n\

Code Base:                %08lX\n\

Data Base:                %08lX\n\

Image Size:               %08lX\n\

Headers Size:             %08lX\n\

Section Alignment:        %08lX\n\

File Alignment:           %08lX\n\

Subsystem:                %08lX\n\

Check Sum:                %04lX\n\

Dll Flags:                %04lX\n\

";

pOH= GetOptionalHeader(stMapFile->ImageBase);

if (!pOH)

{

printf("Get File Optional Header failed!\n");

return;

}

sprintf(strTmp, strFileOptHeaderFormat, pOH->AddressOfEntryPoint, pOH->ImageBase, pOH->BaseOfCode, pOH->BaseOfData,

pOH->SizeOfImage, pOH->SizeOfHeaders, pOH->SectionAlignment, pOH->FileAlignment, pOH->Subsystem, pOH->CheckSum, pOH->DllCharacteristics);

printf("%s", strTmp);

}

主函数:

MAP_FILE_STRUCT stMapFile = { nullptr, nullptr, nullptr };

int main()

{

LPTSTR filePath = TEXT("D:\\PEInfo_example.exe");

UnLoadFile(&stMapFile);

if (!LoadFile(filePath, &stMapFile))

{

return -1;

}

if (!IsPEFile(stMapFile.ImageBase))

{

UnLoadFile(&stMapFile);

return -1;

}

ShowFileHeaderInfo(&stMapFile);

UnLoadFile(&stMapFile);

return 0;

}

结果如下:

0818b9ca8b590ca3270a3433284dd417.png

weixin_39754398
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件格式分析源码(C)
02-20
使用C语言分析Windows的PE文件格式源码, 函数封装在pe/pe.h中,PE File.c是一个简单的测试代码
论用C语言写一个PE文件解释器(1)
Air_cat的博客
05-08 400
论用C语言写一个PE文件解释器(1) 因为在初学PE文件格式的时候吃了很多的苦,这里想用一种通俗易懂的方式来讲解这么个东西。 而这第一篇,准备先不或琐碎或系统性地讲一讲知识性的东西;我们来谈一谈PE文件结构的本质 1.什么是PE文件? PE文件的全称是 Portable Executable File – 可移植的可执行文件。最常见的就比如我们的exe文件,还有如dll,sys,com文件。 2....
编码实现PE文件解析(C源代码)
zjc742206723的专栏
07-15 1823
#include #include LPTSTR lpcTheFile = TEXT("c:\\i.exe"); int main(void) { HANDLE hMapFile; HANDLE hFile; DWORD dwFileSize; DWORD dwSysGran; SYSTEM_INFO SysInfo; HANDLE lpMapAddress;
pe文件简单分析
ll2323001的专栏
05-23 1131
原文:http://bbs.pediy.com/showthread.php?p=867885 前面几篇文章中我已经对PE文件的结构作了一个比较详细的讲解,如果大家还有不清楚的,请参考相关资料,谢谢,下面我开始讲解PE文件编程方面的知识~~这样理论结合实际,我想大家会有一个更深切的理解! 首先我想对《加密与解密》第三版上的PE分析工具实例进行讲解,因为考虑到大多数人还是对C语言
C语言编写控制台PE分析工具(三)
CHkylin的博客
08-26 1196
七、获取输出表信息 1、获取数据目录中元素的入口 LPVOID GetDirectoryEntryToData(LPVOID ImageBase, USHORT DirectoryEntry) { DWORD dwDataStartRVA; PIMAGE_NT_HEADERS pNtH = nullptr; PIMAGE_OPTIONAL_HEADER pOH = nullptr;
c语言程序分析需求分析工具,几款软件需求分析工具 - osc_66bgndnm的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_35867508的博客
05-18 235
Axure RP Pro 5Axure RP 能帮助网站需求设计者,迅捷而轻便的创立 基于目录组织的原型文档、功能解释、交互界面以及带注释的wireframe网页,并可积极生成用于演示的网页文件和word文档,以供给演示与开发。Axure RP 的个性是:迅速创立带注释的wireframe文件,并可依据所设置的工夫周期,软件积极保留文档,确保文件平安。在不写任何一条html与javascrīpt语...
C语言编写控制台PE分析工具(二)
CHkylin的博客
08-26 1126
C语言编写PE格式分析工具
C语言程序设计》课程习题答题、考试答题和评阅工具
07-02
C语言程序设计》课程课后作业和考试答题器。要求编程工具VisualC++2010。自动评分,包括编程题。
C语言程序分析器的设计与实现
04-16
本文提出了一种基于VC6.0开发环境的C语言程序分析器的设计方案,该分析器通过对程序进行扫描,统计出程序中函数的个数,平均函数的长度,代码注释的多少以及空行的多少,来对数据加以分析,完成对程序的总体评价。...
Linux shell编写C语言词法分析
01-10
使用Linux shell脚本实现的C语言词法分析器,源码有注释,实现所用知识点及使用方法请见文档。可作为大学生在校作业,亦可为编写shell脚本的程序员提供参考。
PE文件解析器的原理(C语言代码)
01-16
C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
C语言性能分析工具_valgrind的安装_配置_使用方法
03-16
C语言性能分析工具
C语言头文件包含关系分析工具
10-12
c# 简易绘制C语言头文件包含关系图 详细说明可以查看我的blog http://www.cnblogs.com/geeking/ 本工具使用了DotNetBar中的TreeGX控件。下载地址: http://down2.cr173.com/soft1/DotNetBarSetup.zip
基于Java实现C语言程序的词法分析器【100011630】
04-06
本次实验使用Java语言编写,简单实现了对C语言程序的词法分析程序的输入是program.c文件,内含一段C语言代码,程序的输出是控制台和output.txt文件,内容是Token序列、符号表和常量表。
图解VC++版PE文件解析器源码分析
bcbobo21cn的专栏
07-13 4123
该源码下载自 http://download.csdn.net/download/witch_soya/4979587 1 Understand 分析的图表
PE文件之旅(C语言描述) -- 第一篇 Sections
prince_K的专栏
03-26 1583
无论是作为一名或者立志成为一名拥有真正技术的Top Cracker(当然我是属于后者啦,哈),对PE文件格式的熟悉绝对是必须要研究通透和掌握的技术,这一点相信应该没有什么争议吧(当然如果不研究Windows平台下解密那就另说了)?看过网上好多的PE文件教程,理论居多,只是看好象都明白,到了应用的时候,比如脱壳,对于IAT表在脑海中仍然是稀里糊涂一片(呵呵,至少我是这样D,菜啊~), 学习就是
打印PE文件导入表(C语言代码)
lygl35的博客
07-07 386
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
C语言编程获取PE文件导入函数
一根火柴博客
02-02 905
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageN
spring framework如何编写控制台应用程序
最新发布
06-01
Spring Framework 并不仅仅适用于 Web 应用程序,它也可以用于控制台应用程序。下面是一个简单的示例,演示如何使用 Spring Framework 编写控制台应用程序。 1. 首先,您需要创建一个新的 Maven 项目,并添加 Spring Framework 的相关依赖。在 `pom.xml` 文件中添加以下依赖项: ```xml <dependencies> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifactId> <version>5.3.9</version> </dependency> </dependencies> ``` 2. 创建一个简单的 Java 类,这个类将是您的控制台应用程序的入口点。在这个类中,您需要创建一个 Spring 应用程序上下文,加载您的配置文件,并获取您需要的 bean 实例。 ```java import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; public class ConsoleApplication { public static void main(String[] args) { ApplicationContext context = new ClassPathXmlApplicationContext("applicationContext.xml"); MyService service = context.getBean(MyService.class); service.doSomething(); } } ``` 3. 创建一个 Spring 配置文件,这个文件将描述您的应用程序的组件和依赖关系。在这个文件中,您需要定义您的 bean 实例。 ```xml <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <bean id="myService" class="com.example.MyService"> <!-- 添加其他属性依赖关系 --> </bean> </beans> ``` 在上面的示例中,我们定义了一个名为 `myService` 的 bean,它是一个 `MyService` 类型的实例。您可以为这个 bean 添加其他属性依赖关系,例如其他的 bean 引用和值类型属性。 4. 创建您的服务类。这是一个简单的示例: ```java public class MyService { public void doSomething() { System.out.println("Hello, world!"); } } ``` 在上面的示例中,我们定义了一个 `MyService` 类,它有一个方法 `doSomething()`,它将输出一条简单的消息。 5. 最后,您可以在控制台中运行您的应用程序。如果一切正常,应该会输出 "Hello, world!"。 这是一个简单的示例,演示如何使用 Spring Framework 编写控制台应用程序。当然,实际应用程序可能更加复杂,但基本的原理是相同的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值