php读取pe文件,C++ 读取PE文件信息(读取PE导入表等)

最新推荐文章于 2024-05-10 09:37:58 发布
最新推荐文章于 2024-05-10 09:37:58 发布
阅读量325 收藏
点赞数 1
文章标签: php读取pe文件

[C++] 纯文本查看 复制代码// ReadPEInfo.cpp : 定义控制台应用程序的入口点。

//

#include "stdafx.h"

#include

#include

#include

#include

void ReadNTPEInfo(PIMAGE_NT_HEADERS pImageNtPE);

ULONG RvaToOffset(IMAGE_NT_HEADERS * pNtHeader,ULONG Rva);

#define pNtHeaders pImageNtHeaders

int _tmain(int argc, _TCHAR* argv[])

{

char file[]="win32.exe";

//DOS头

PIMAGE_DOS_HEADER pImageDosHeader;

//NT头(包括PE标识+Image_File_Header+OptionHeader)

PIMAGE_NT_HEADERS pImageNtHeaders;

//标准PE头、

PIMAGE_FILE_HEADER pImageFileHeader;

//扩展PE头

IMAGE_OPTIONAL_HEADER32 pImageOptionHeaders;

HANDLE hFile;

HANDLE hMapObject;

//DOS头

PUCHAR uFileMap;

hFile= CreateFile(file,GENERIC_READ,0,NULL,OPEN_EXISTING,0,0);

if(hFile==NULL)

{

printf("打开文件失败\n");

system("pause");

return 0;

}

hMapObject=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);

if(hMapObject==NULL)

{

printf("创建文件映射内核对对象失败\n");

system("pause");

return 0;

}

//PE基址

uFileMap=(PUCHAR)MapViewOfFile(hMapObject,FILE_MAP_READ,0,0,0);

if(uFileMap==NULL)

{

printf("映射到进程地址空间失败\n");

system("pause");

return 0;

}

pImageDosHeader=(PIMAGE_DOS_HEADER)uFileMap;

if(pImageDosHeader->e_magic!=IMAGE_DOS_SIGNATURE)

{

printf("不是PE结构\n");

system("pause");

return 0;

}

//定位到NT PE头

pImageNtHeaders=(PIMAGE_NT_HEADERS)((PUCHAR)uFileMap+pImageDosHeader->e_lfanew);

//导入表的相对虚拟地址(RVA)

ULONG rva_ofimporttable=pImageNtHeaders->OptionalHeader.DataDirectory[1].VirtualAddress;

//根据相对虚拟(rva)地址计算偏移地址(offset)

ULONG offset_importtable=RvaToOffset(pImageNtHeaders,rva_ofimporttable);

if(!offset_importtable)

{

printf("获取导入表偏移地址失败\n");

system("pause");

return 0;

}

PIMAGE_THUNK_DATA s;

//取得导入表的地址

IMAGE_IMPORT_DESCRIPTOR *pImportTable=(IMAGE_IMPORT_DESCRIPTOR *)((char*)uFileMap+offset_importtable);

IMAGE_IMPORT_DESCRIPTOR null_iid;

IMAGE_THUNK_DATA null_thunk;

memset(&null_iid, 0, sizeof(null_iid));

memset(&null_thunk, 0, sizeof(null_thunk));

//每个元素代表了一个引入的DLL。

for(int i=0; memcmp(pImportTable + i, &null_iid, sizeof(null_iid))!=0; i++)

{

char *dllName= (char*)(uFileMap+RvaToOffset(pImageNtHeaders,pImportTable[i].Name));

//拿到了DLL的名字

printf("模块[%d]: %s\n", i, (char*)dllName);

PIMAGE_THUNK_DATA32 pThunk=(PIMAGE_THUNK_DATA32)(uFileMap+RvaToOffset(pImageNtHeaders,pImportTable[i].FirstThunk));

while(pThunk->u1.Ordinal!=NULL)

{

PIMAGE_IMPORT_BY_NAME pname=(PIMAGE_IMPORT_BY_NAME)(uFileMap+RvaToOffset(pImageNtHeaders,pThunk->u1.AddressOfData));

printf("函数编号: %d 名称: %s\n",pname->Hint,pname->Name);

pThunk++;

}

}

system("pause");

return 0;

}

void ReadNTPEInfo(PIMAGE_NT_HEADERS pImageNtPE)

{

printf("运行平台: 0x%04X\n",pImageNtPE->FileHeader.Machine);

printf("节数量: %d\n",pImageNtPE->FileHeader.NumberOfSections);

printf("PE属性: 0x%04X\n",pImageNtPE->FileHeader.Characteristics);

}

//计算Offset

ULONG RvaToOffset(IMAGE_NT_HEADERS * pNtHeader,ULONG Rva)

{

//PE节

IMAGE_SECTION_HEADER *p_section_header;

ULONG sNum,i;

//取得节表项数目

sNum=pNtHeader->FileHeader.NumberOfSections;

//取得第一个节表项

p_section_header=(IMAGE_SECTION_HEADER *)

((BYTE *)pNtHeader+sizeof(IMAGE_NT_HEADERS));

for(i=0;i

{

//printf("PE 节名称: %s\n",p_section_header->Name);

if((p_section_header->VirtualAddress<=Rva)&&RvaVirtualAddress+p_section_header->SizeOfRawData))

{

return Rva-p_section_header->VirtualAddress+p_section_header->PointerToRawData;

}

p_section_header++;

}

return 0;

}

weixin_39854951
关注
PE文件导入表解析(C++
05-01
1. 打开并读取PE文件:使用`ifstream`类打开文件,并以二进制模式读取其内容。首先读取DOS头,然后找到NT头的偏移量。 2. 解析Image_NT_Headers:获取`OptionalHeader`字段,从中读取`DataDirectory`数组,找到导入...
php 解析pe版本号,PE 文件解析2-获取PE头、区段、数据目录
weixin_28976179的博客
03-16 351
本帖最后由 appsion 于 2020-10-31 12:33 编辑PE 文件解析2 -获取PE头、区段、数据目录新手学习PE文件解析记录,持续更新. 部分参考来源于网络, 无法逐一标注, 如果侵权,请及时联系. 如有错误请指正,误喷.上文链接:https://www.52pojie.cn/thread-1294150-1-1.html2.png (61.5 KB, 下载次数: 0)2020...
PE文件结构的介绍并使用C++读取PE文件信息
陈子青的博客
07-11 1680
PE文件结构分为五个部分:DOS文件头DOS加载模块PE文件头区段表区段 windows环境中会直接跳过前两个部分直接从PE文件头开始,所以直接略过这两个部分。PE文件头大小为224字节左右,因为有个可选头所以实际长度不定。里面包含许多关于PE文件的整体信息,这些信息主要是描述PE文件的大概情况,但是更细节信息在区段表中。如上图所示,PE文件头分为三个结构,第一个为签名字段,第二个为文件头字段,第三个为可选头字段。signature字段 在一个PE文件中Signature字段被设置为4550h,ASCII码
php 解析pe版本号,PE格式解析
weixin_34342860的博客
03-16 260
一、区段名及其含义二、区段类别及分布三、区段表解析四、导入表解析一、区段名及其含义.text默认的代码区块,它的内容全是指令代码,链接器把所有目标文件的text块连接成一个大的.text块,使用Borland C++,编译器产生的代码存放在CODE的区域里.data默认的读/写数据块,全局变量,静态变量一般放在这个区段.rdata默认只读数据区块,但程序中很少用到该块中的数据,一般两种情况用到,一...
探索PE二进制文件的秘密:readpe
最新发布
gitblog_00027的博客
05-10 259
探索PE二进制文件的秘密:readpe 项目地址:https://gitcode.com/mentebinaria/readpe 在网络安全和软件分析领域,理解PE(Portable Executable)二进制文件的内部结构至关重要。今天,我们向您推荐一款强大的开源命令行工具——readpe,它为PE文件分析提供了一整套跨平台解决方案。 项目介绍 readpe是一款功能齐全的多平台命令行工具,专...
PEV - PE文件分析工具
x_xx_xxx_xxxx的博客
04-09 3815
PEV 支持 Linux、Windows、MAC OS X  三种操作平台对PE文件进行分析。下载地址://本人推荐 :github 的代码,因为 这个 readme 更完整。https://github.com/merces/pev.githttps://sourceforge.net/projects/pev/files/官方在线指导:https://libpe.readthedocs.io/...
获得PE文件导入模块和导入函数
宇文的专栏
03-17 1007
 #include "windows.h"#include "iostream.h"#include "Dbghelp.h"#include "Psapi.h"#pragma comment(lib,"Psapi.lib")#pragma comment(lib,"Dbghelp.lib")#define SizeOfArray 32//枚举模块的数组大
c++读取pe文件
03-09
读取32位pe文件节表,导入表,导出表。。。。。。。。。。。。。。。。。
C++读取TXT文件识别特定内容修改
04-14
由于近期需要将一份Word文档转到Markdown格式,但是文件内容较大,自动转换...程序中实现了UTF-8格式转GBK格式,使用stream对TXT进行读取并识别,获取到需要的信息后对信息进行更改,最后依据一级标题对文件进行拆分。
C++读取INI配置文件类实例详解
09-04
本篇将深入探讨如何在C++中实现一个读取和写入INI配置文件的类——CIniFile。 首先,CIniFile类的定义包含了一些核心成员函数,用于操作INI文件。`Create()`函数用于初始化类实例,并指定要操作的INI文件名。`...
基于C++实现读取指定路径文件
08-18
C++编程中,读取指定路径的文件是一项常见的任务,尤其在处理文件系统操作时。C++标准库虽然提供了基本的文件I/O操作,但并没有内置直接读取目录和文件列表的功能。为了实现这一功能,我们可以借助第三方库,如...
PE文件解析(4):导入表的解析
ylh的博客
11-01 880
数据目录表的第二个元素记录着导入包的位置,导出表我们上节课已经解析过 了,今天我们来解析导入表。,得到了导入表的在文件中的偏移地址: 1b17c - 1b000 + 8000 =导入表记录了一个exe或者一个dll所用到的其他模块导出的函数。
Windows PE文件导入函数查看器(C++/C)
ez scope
09-07 1536
本文记录了此工具的实现原理和源代码
PE导入表解析和注入
windows小菜鸡的博客
08-19 655
1、导入导入表是在可选PE头得数据目录项得第二项 其结构如下 其中name是一个RVA,是DLL的名字 OriginalFirstThunk指向INT表,为 IMAGE_THUNK_DATA32的结构。这个结构的值中如果最高位为1 ,那么除去最高位的值函数的导出序号,否则为指向IMAGE_IMPORT_BY_NAME的RVA 其结构如下 其中Hint值无关紧要。 ** FirstThunk** 指向的是IAT表,其内容结构与OriginalFirstThunk指向的INT表一模一样 2、程序启动
读取PE文件头的简单实现
dasgk的专栏
07-13 2933
// 读取PE文件头.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; int _tmain(int argc, _TCHAR* argv[]) { HANDLE hFile=CreateFile(L"D:\\project\\Proc_Url\\Debug\
C语言实现遍历PE文件导入
溡漪幽博客
09-16 294
C++ 编程实现遍历PE文件导入表,可以遍历延迟导入的函数
WINNT.H内的_IMAGE_IMPORT_BY_NAME 变长数组示例
MessCodes
02-16 2958
研究WINNT.H里面的导入名表结构体_IMAGE_IMPORT_BY_NAME 时,发现一个问题,结构体成员Name数组竟然是1,但是实际上反汇编看到是一个不同长度的字符串。怎么实现的呢?很多人在网上提到如下说法,但没有深入分析为什么。这里就给出一个参考例子。说明怎么搭建那个名字表的。当然这个名字表都是由 typedef struct _IMAGE_THUNK_DATA32 {
导入表注入
weixin_43990313的博客
07-29 461
导入表注入 思路 构造新的节表,存放导入表结构,在这之后构造INT、IAT、IMAGE_IMPORT_BY_NAME结构。同时注意FOA到RVA的转化。 导入表注入 1.创建新节表并移动导入表copy(不需要修复) 2.创建导入表之后添加一个新导入表(在新表之后添加一个导入表大小的0作为导入表的结束标志) 3.追加INT和IAT表 4.构造IMAGE_IMPORT_BY_NAME结构 5.赋值 6.修正IMAGE_DATA_DIRECTORY的VirtualAddress 和Size 需要的函数 RVATO
12.PE文件导入表(IMAGE_IMPORT_DESCRIPTOR)
kernelhack
10-30 5644
目录 导入表定位以及解析(手动FileBuffer) 导入表定位以及解析(手动ImageBuffer) 代码定位导入表并打印其数据 导入表注入 导入表是PE数据组织中的一个很重要的组成部分,它是为实现代码重用而设置的.通过分析导入表数据,可以获得诸如PE文件的指令中调用了多少外来的函数,以及这些外来函数都存在于哪些动态链接库里等信息. Windows加载器在运行PE时会将导入表中声明的动态链接库一并加载到进程的地址空间,并修正指令代码中调用的函数地址. 在数据目录项中一共有四种类型的数据与导入
C++代码解析PE文件结构与特性
PE文件分析是Windows编程和逆向工程中的核心技能,涵盖了文件结构、调试信息、延迟导入等多个方面,而C++是实现这一功能的强大工具。通过理解和应用这些知识,开发者可以深入理解程序的内部运作,进行调试、安全分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值