c语言程序分析工具,C语言编写控制台下PE分析工具(一)

最新推荐文章于 2021-07-07 10:48:32 发布
最新推荐文章于 2021-07-07 10:48:32 发布
阅读量270 收藏
点赞数
文章标签: c语言程序分析工具

定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。

typedef struct _MAP_FILE_STRUCT

{

HANDLE hFile; //文件句柄

HANDLE hMapping;//映射文件句柄

LPVOID ImageBase;//映像基址

} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;

一、加载要打开的文件

采用内存映射的方式将文件加载到内存中,内存映射函数包括:CreateFileMapping, OpenFileMapping, MapViewOfFile, UnmapViewOfFile和FlushViewOfFile。

定义一个函数,如果是一个PE文件则返回true, 否则返回false:

//加载文件

bool LoadFile(LPTSTR lpFileName, PMAP_FILE_STRUCT pstMapFile)

{

if (lpFileName == nullptr)

{

return false;

}

HANDLE hFile;

HANDLE hMapping;

LPVOID ImageBase;

memset(pstMapFile, 0, sizeof(MAP_FILE_STRUCT));

//1、只读方式打开文件,返回文件句柄

hFile = CreateFile(lpFileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);

if (!hFile)

{

return false;

}

//2、创建内存映射文件对象

hMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, 0);

if (!hMapping)

{

CloseHandle(hFile);

return false;

}

//3、创建内存映射文件的视图

ImageBase = MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0);

if (!ImageBase)

{

CloseHandle(hFile);

CloseHandle(hMapping);

return false;

}

pstMapFile->hFile = hFile;

pstMapFile->hMapping = hMapping;

pstMapFile->ImageBase = ImageBase;

return true;

}

二、程序执行完毕后,回收资源

void UnLoadFile(PMAP_FILE_STRUCT pstMapFile)

{

if (pstMapFile->hFile)

{

CloseHandle(pstMapFile->hFile);

}

if (pstMapFile->hMapping)

{

CloseHandle(pstMapFile->hMapping);

}

if (pstMapFile->ImageBase)

{

//撤销映射并使用CloseHandle函数关闭内存映射文件对象句柄

UnmapViewOfFile(pstMapFile->ImageBase);

}

}

三、文件格式检测

bool IsPEFile(LPVOID ImageBase)

{

PIMAGE_DOS_HEADER pDH = nullptr;

PIMAGE_NT_HEADERS32 pNtH = nullptr;

if (!ImageBase)

{

return false;

}

pDH = (PIMAGE_DOS_HEADER)ImageBase;

if (pDH->e_magic != IMAGE_DOS_SIGNATURE)  //"MZ"

{

return false;

}

//pDH->e_lfanew保存PIMAGE_NT_HEADERS32的偏移地址,加上基址pDH即为MAGE_NT_HEADERS的地址

pNtH = (PIMAGE_NT_HEADERS32) ( (DWORD)pDH + pDH->e_lfanew);

if (pNtH->Signature != IMAGE_NT_SIGNATURE) //"PE"

{

return false;

}

return true;

}

四、读取FileHeader和OptionalHeader的内容

1、获取指向IMAGE_NT_HEADERS结构的指针

PIMAGE_NT_HEADERS GetNtHeaders(LPVOID ImageBase)

{

PIMAGE_DOS_HEADER pDH = nullptr;

PIMAGE_NT_HEADERS pNtH = nullptr;

if (!IsPEFile(ImageBase))

{

return nullptr;

}

pDH = (PIMAGE_DOS_HEADER)ImageBase;

pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH->e_lfanew);

return pNtH;

}

2、获取指向IMAGE_FILE_HEADER结构的指针

PIMAGE_FILE_HEADER GetFileHeader(LPVOID ImageBase)

{

PIMAGE_NT_HEADERS pNtH = GetNtHeaders(ImageBase);

if (!pNtH)

{

return nullptr;

}

return &(pNtH->FileHeader);

}

3、获取指向IMAGE_OPTIONAL_HEADER结构的指针

PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID ImageBase)

{

PIMAGE_NT_HEADERS pNtH = GetNtHeaders(ImageBase);

if (!pNtH)

{

return nullptr;

}

return &(pNtH->OptionalHeader);

}

4、输出文件头信息

void ShowFileHeaderInfo(PMAP_FILE_STRUCT stMapFile)

{

char strTmp[1024] = {0};

PIMAGE_FILE_HEADER pFH = nullptr;

PIMAGE_OPTIONAL_HEADER pOH = nullptr;

pFH = GetFileHeader(stMapFile->ImageBase);

if (!pFH)

{

printf("Get File Header failed!\n");

return;

}

//时间转换

time_t t = pFH->TimeDateStamp;

char strTime[26] = {0};

tm* ptmBegin = localtime(&t);

strftime(strTime, 26, "%Y/%m/%d %H:%M:%S", ptmBegin);

//将信息按十六进制格式化

char *strFileHeaderFormat ="\

IMAGE_FILE_HEADER:\n\

Machine:                   %04lX\n\

NumberOfSections:          %04lX\n\

TimeDateStamp:             %s (%04lX)\n\

PointerToSymbolTable:      %08X\n\

NumberOfSymbols:           %08lX\n\

SizeOfOptionalHeader:      %04lX\n\

Characteristics:           %04lX\n\n\

";

sprintf(strTmp, strFileHeaderFormat, pFH->Machine, pFH->NumberOfSections, strTime, pFH->TimeDateStamp, pFH->PointerToSymbolTable, pFH->NumberOfSymbols,

pFH->SizeOfOptionalHeader, pFH->Characteristics);

printf("%s", strTmp);

memset(strTmp, 0, sizeof(strTmp));

char *strFileOptHeaderFormat = "\

IMAGE_OPTIONAL_HEADER:\n\

Entry Point:              %08lX\n\

Image Base:               %08lX\n\

Code Base:                %08lX\n\

Data Base:                %08lX\n\

Image Size:               %08lX\n\

Headers Size:             %08lX\n\

Section Alignment:        %08lX\n\

File Alignment:           %08lX\n\

Subsystem:                %08lX\n\

Check Sum:                %04lX\n\

Dll Flags:                %04lX\n\

";

pOH= GetOptionalHeader(stMapFile->ImageBase);

if (!pOH)

{

printf("Get File Optional Header failed!\n");

return;

}

sprintf(strTmp, strFileOptHeaderFormat, pOH->AddressOfEntryPoint, pOH->ImageBase, pOH->BaseOfCode, pOH->BaseOfData,

pOH->SizeOfImage, pOH->SizeOfHeaders, pOH->SectionAlignment, pOH->FileAlignment, pOH->Subsystem, pOH->CheckSum, pOH->DllCharacteristics);

printf("%s", strTmp);

}

主函数:

MAP_FILE_STRUCT stMapFile = { nullptr, nullptr, nullptr };

int main()

{

LPTSTR filePath = TEXT("D:\\PEInfo_example.exe");

UnLoadFile(&stMapFile);

if (!LoadFile(filePath, &stMapFile))

{

return -1;

}

if (!IsPEFile(stMapFile.ImageBase))

{

UnLoadFile(&stMapFile);

return -1;

}

ShowFileHeaderInfo(&stMapFile);

UnLoadFile(&stMapFile);

return 0;

}

结果如下:

0818b9ca8b590ca3270a3433284dd417.png

weixin_39754398
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编码实现PE文件解析(C源代码)
zjc742206723的专栏
07-15 1832
#include #include LPTSTR lpcTheFile = TEXT("c:\\i.exe"); int main(void) { HANDLE hMapFile; HANDLE hFile; DWORD dwFileSize; DWORD dwSysGran; SYSTEM_INFO SysInfo; HANDLE lpMapAddress;
PE学习之-最简单的程序
小发猫
05-24 2897
// _pefirst.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "afxwin.h"#include using std::cout;using std::endl;LPCTSTR lpszFileToOpen = _T("C://windows//notepad
C语言编写控制台PE分析工具(三)
CHkylin的博客
08-26 1206
七、获取输出表信息 1、获取数据目录中元素的入口 LPVOID GetDirectoryEntryToData(LPVOID ImageBase, USHORT DirectoryEntry) { DWORD dwDataStartRVA; PIMAGE_NT_HEADERS pNtH = nullptr; PIMAGE_OPTIONAL_HEADER pOH = nullptr;
用lex分析C源码中数据结构关系拓扑图
枪与玫瑰的专栏
07-06 2286
程序=数据结构+算法。最近在看ovs源码时,被其中c源码里面数据结构之间复杂的关系搞的晕头转向,所以强烈想自己写个工具来解析代码内数据结构之间的拓扑。 本来想找个现成工具来的,一直没有找到好用的工具,于是产生自己来写的想法。本文记录下该想法实现的思路及详细过程。 步骤如下: 1)用lex解析出C源码里面的struct体到文件,包括用lex去掉注释并匹配struct结构体的过程。 2
C语言编写控制台PE分析工具(二)
CHkylin的博客
08-26 1142
C语言编写PE格式分析工具
C语言程序设计》课程习题答题、考试答题和评阅工具
07-02
在Visual C++ 2010这一编程环境中,学生可以编写、编译和运行C语言程序,通过实际操作来学习语法和逻辑结构。此环境支持调试功能,有助于查找和修复代码中的错误,这是学习过程中的关键环节。 其次,工具还具备考试...
C语言程序分析器的设计与实现
04-16
本文提出了一种基于VC6.0开发环境的C语言程序分析器的设计方案,该分析器通过对程序进行扫描,统计出程序中函数的个数,平均函数的长度,代码注释的多少以及空行的多少,来对数据加以分析,完成对程序的总体评价。...
Linux shell编写C语言词法分析
01-10
Linux shell编写C语言词法分析器是一个有趣且实用的项目,它将shell脚本的灵活性与C语言的解析能力相结合,用于分析C语言源代码的结构。以下是对这个项目的详细说明,以及涉及到的关键知识点。 首先,词法分析是...
C语言头文件包含关系分析工具
10-12
c# 简易绘制C语言头文件包含关系图 详细说明可以查看我的blog http://www.cnblogs.com/geeking/ 本工具使用了DotNetBar中的TreeGX控件。下载地址: http://down2.cr173.com/soft1/DotNetBarSetup.zip
基于Java实现C语言程序的词法分析器【100011630】
最新发布
04-06
本次实验使用Java语言编写,简单实现了对C语言程序的词法分析程序的输入是program.c文件,内含一段C语言代码,程序的输出是控制台和output.txt文件,内容是Token序列、符号表和常量表。
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
论用C语言写一个PE文件解释器(1)
Air_cat的博客
05-08 422
论用C语言写一个PE文件解释器(1) 因为在初学PE文件格式的时候吃了很多的苦,这里想用一种通俗易懂的方式来讲解这么个东西。 而这第一篇,准备先不或琐碎或系统性地讲一讲知识性的东西;我们来谈一谈PE文件结构的本质 1.什么是PE文件? PE文件的全称是 Portable Executable File – 可移植的可执行文件。最常见的就比如我们的exe文件,还有如dll,sys,com文件。 2....
打印PE文件导入表(C语言代码)
lygl35的博客
07-07 393
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
C语言编程获取PE文件Option_Header
一根火柴博客
02-02 1376
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY); void viewOptionalHeaderSubsystem(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImage
COFF格式续篇—Lib文件的结构
redleaves的专栏
10-14 3551
    上一篇文章介绍了COFF目标文件的结构。如果你试着一个应用程序的连接器(Linker),就会发现,仅仅有目标文件是不够的。我们在连接程序时,不仅仅要用到目标文件,库文件也是必不可少的。    库文件是怎么样的结构呢?    其实,库文件的结构也很简单。它就是“一堆”目标文件的集合。把目标文件成库以后,我们在使用目标文件中所实现的功能时,连接程序会自动在库文件里查找相应的目标文件,并使用
学习PE文件格式后编写的简单代码(C代码)
黑子工作室
07-17 1844
/* * 近日学习pe文件格式,写了一个简单的分析程序 * 个人网站:http://ggg82.126.com * 电子邮件:ggg82@163.com * QQ:358416653 * * 本程序在win2000+vc6平台编译通过 * 学习参考:看学论坛 */#include #include #include #include #incl
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 1002
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
c语言 oem信息,自己打造一个 PeView 工具 C语言实现(基本上可以了)
weixin_34289439的博客
05-22 108
[C] 纯文本查看 复制代码#include #include #include #include #include // 计算数组长度#define GET_ARRAY_LEN(array) (sizeof(array) / sizeof(array[0]))/*打印 IMAGE_DOS_HEADER 信息PIMAGE_DOS_HEADER pDosHeader: IMAGE_DOS_HEADE...
C语言编程获取PE文件File_Header内容
一根火柴博客
02-02 2594
#include #include #include void viewImageFileCharacteristics(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNtHeaders; PIMAGE_FILE_HEAD
"C语言词法分析器实验报告及程序设计
词法分析程序的实现可以采用任何一种编程工具。 试验原理: 1. 算法的基本任务是从字符串表达的源程序中识别出具有独立意义的单词符号; 2. 其基本思想是根据扫描到单词符号的第一个字符的种类,拼出对应的单词...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值