c语言怎么使用pe文件结构,PE文件结构分析

最新推荐文章于 2022-10-09 22:42:36 发布
最新推荐文章于 2022-10-09 22:42:36 发布
阅读量298 收藏
点赞数
文章标签: c语言怎么使用pe文件结构

// ShowPE.c

// Show The Main Structures Of the PE file

// Author: thinker

// Date: 11/28/2008

// E-Mail: cnhnyu@gmail.com

// QQ: 94483026

/*********************************************************

PE File Format

-------------------------------   |     MZ  MS-DOS Header       |    |

-------------------------------    |  Dos Headers

|     MS DOS Stub             |    |

-------------------------------   |        PE00                 |    |

-------------------------------    |

|                             |    |

|  IMAGE_FILE_HEADER          |    | IMAGE_NT_HEADERS32

-------------------------------    |

|                             |    |

|  IMAGE_OPTIONAL_HEADER32    |    |

|                             |    |

-------------------------------   |   Section Header 1          |    |

|-----------------------------|    |

|   Section Header 2          |    |

-------------------------------    |  Section Headers

|     ..............          |    |

|-----------------------------|    |

|   Section Header N          |    |

-------------------------------   |   Section Data 1            |    |

|-----------------------------|    |

|   Section Data 2            |    |

-------------------------------    |  Section Datas

|     ...............         |    |

-------------------------------    |

|   Section Data N            |    |

-------------------------------

**********************************************************/

#include

#include

#include

// Data Directory Description

char szDataDirectory[16][64] = {

"Export Directory",

"Import Directory",

"Resource Directory",

"Exception Directory",

"Security Directory",

"Base Relocation Table",

"Debug Directory",

"Architecture Specific Data",

"RVA of GP",

"TLS Directory",

"Load Configuration Directory",

"Bound Import Directory in headers",

"Import Address Table",

"Delay Load Import Descriptors",

"COM Runtime descriptor"

};

HANDLE hFile = NULL;

HANDLE hFileMapping = NULL;

void* pFileBase = NULL;

IMAGE_DOS_HEADER *pDosHeader = NULL;

IMAGE_NT_HEADERS *pNTHeader = NULL;

IMAGE_SECTION_HEADER *pSectionHeader = NULL;

DWORD RVA2FileOffset(DWORD dwRVA);

int main(int argc, char **argv)

{

struct tm* ptm;

DWORD dwIndex;

IMAGE_IMPORT_DESCRIPTOR *pImportDescriptor = NULL;

IMAGE_THUNK_DATA *pThunkData = NULL;

IMAGE_IMPORT_BY_NAME *pImportByName = NULL;

IMAGE_EXPORT_DIRECTORY *pExportDirectory = NULL;

DWORD *pdw;

WORD *pw;

if ( argc != 2 )

{

printf("Usage:\n\t%s PEFile\n", argv[0]);

return -1;

}

/*********************** Map the file to memory *************************/

hFile = CreateFile(argv[1], GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL);

if ( hFile == INVALID_HANDLE_VALUE )

{

printf("Open File Error.\n");

return -1;

}

hFileMapping = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, 0, NULL);

if ( !hFileMapping )

{

CloseHandle(hFile);

printf("Create File Mapping Error.\n");

return -1;

}

pFileBase = MapViewOfFile(hFileMapping, FILE_MAP_READ, 0, 0, 0);

if ( !pFileBase )

{

CloseHandle(hFileMapping);

CloseHandle(hFile);

printf("Map View Of File Error.\n");

return -1;

}

/*********************** Map end *****************************************/

// get the dos heaader pointer

pDosHeader = (IMAGE_DOS_HEADER*)pFileBase;

if ( pDosHeader->e_magic != IMAGE_DOS_SIGNATURE )

{

printf("Unknow File Format.\n");

goto End;

}

printf("%-35s%s\n\n", "FileName:", argv[1]);

printf("%-35s%#010x\n", "Dos Stub Size:", pDosHeader->e_lfanew - sizeof(IMAGE_DOS_HEADER));

printf("%-35s%#010x\n", "NT File RVA:", pDosHeader->e_lfanew);

// get the nt header pointer

pNTHeader = (IMAGE_NT_HEADERS*)((char*)pFileBase + pDosHeader->e_lfanew);

if ( pNTHeader->Signature != IMAGE_NT_SIGNATURE )

{

printf("Not NT File.\n");

goto End;

}

// get the section header pointer

pSectionHeader = (IMAGE_SECTION_HEADER*)((char*)pNTHeader + sizeof(IMAGE_NT_HEADERS));

printf("\n%-35s%s\n", "nRun Platform:", (pNTHeader->FileHeader.Machine == IMAGE_FILE_MACHINE_I386) ? "Intel 386" : "Other" );

printf("%-35s%d\n", "NumOfSections:", pNTHeader->FileHeader.NumberOfSections);

ptm = localtime(&pNTHeader->FileHeader.TimeDateStamp);

printf("%-35s%02d/%02d/%04d %02d:%02d:%02d\n", "FileCreateTime:", ptm->tm_mon + 1, ptm->tm_mday, ptm->tm_year + 1900,

ptm->tm_hour, ptm->tm_min, ptm->tm_sec);

//printf("%.19s\n", asctime(ptm));

printf("%-35s%#010x\n", "SizeofOptionHdr:", pNTHeader->FileHeader.SizeOfOptionalHeader);

printf("%-35s%s\n", "File Type:", (pNTHeader->FileHeader.Characteristics & IMAGE_FILE_DLL) ? "DLL" : "EXE");

printf("\n%-35s%s\n", "Image Type:", (pNTHeader->OptionalHeader.Magic == 0x10B) ? "Exe Image" : "Other");

printf("%-35s%d.%d\n", "Linker Version:", pNTHeader->OptionalHeader.MajorLinkerVersion, pNTHeader->OptionalHeader.MinorLinkerVersion);

printf("%-35s%#010x\n", "SizeofCode:", pNTHeader->OptionalHeader.SizeOfCode);

printf("%-35s%#010x\n", "AddressOfEntryPoint:", pNTHeader->OptionalHeader.AddressOfEntryPoint);

printf("%-35s%#010x\n", "DefaultLoadAddress:", pNTHeader->OptionalHeader.ImageBase);

printf("%-35s%#010x\n", "SectionAlignment:", pNTHeader->OptionalHeader.SectionAlignment);

printf("%-35s%#010x\n", "FileAlignment:", pNTHeader->OptionalHeader.FileAlignment);

printf("%-35s%d.%d\n", "OS SystemVersion:", pNTHeader->OptionalHeader.MajorOperatingSystemVersion,

pNTHeader->OptionalHeader.MinorOperatingSystemVersion);

printf("%-35s%d.%d\n", "ImageVersion:", pNTHeader->OptionalHeader.MajorImageVersion,

pNTHeader->OptionalHeader.MinorImageVersion);

printf("%-35s%d.%d\n", "SubSystemVersion:", pNTHeader->OptionalHeader.MajorSubsystemVersion,

pNTHeader->OptionalHeader.MinorSubsystemVersion);

printf("%-35s%#010d\n", "SizeOfIamge:", pNTHeader->OptionalHeader.SizeOfImage);

printf("%-35s%#010d\n", "SizeOfHeaders:", pNTHeader->OptionalHeader.SizeOfHeaders);

if ( pNTHeader->OptionalHeader.Subsystem == IMAGE_SUBSYSTEM_WINDOWS_GUI )

printf("%-35s%s\n", "GUI System:", "Windows GUI");

else if ( pNTHeader->OptionalHeader.Subsystem == IMAGE_SUBSYSTEM_WINDOWS_CUI)

printf("%-35s%s\n", "GUI System:", "Windows Console");

else

printf("%-35s%s\n", "GUI System:", "Other");

printf("\n-----------------------------Data Directory----------------------------------\n");

printf("#Index\t#Virtual Address\t#Size\t\t#%-32s\n", "Directory Name");

for (dwIndex = 0; dwIndex < IMAGE_NUMBEROF_DIRECTORY_ENTRIES; dwIndex++ )

{

printf("0x%02x\t0x%08x\t0x%08x\t%-50s\n", dwIndex,

pNTHeader->OptionalHeader.DataDirectory[dwIndex].VirtualAddress,

pNTHeader->OptionalHeader.DataDirectory[dwIndex].Size, szDataDirectory[dwIndex]);

}

printf("\n\n-----------------------------Section Headers----------------------------------\n");

printf("#VirtualAddress\t#VirtualSize\t#PointerToRawData\t#SizeOfRawData\t#Name\n");

for ( dwIndex = 0; dwIndex < pNTHeader->FileHeader.NumberOfSections; dwIndex++ )

{

printf("0x%08x\t0x%08x\t0x%08x\t\t0x%08x\t%-10s\n", pSectionHeader[dwIndex].VirtualAddress,

pSectionHeader[dwIndex].Misc.VirtualSize, pSectionHeader[dwIndex].PointerToRawData,

pSectionHeader[dwIndex].SizeOfRawData, pSectionHeader[dwIndex].Name);

}

// Import Table

printf("\n\n-------------------------Import Table-------------------------------------\n");

pImportDescriptor = (IMAGE_IMPORT_DESCRIPTOR*)((char*)pFileBase + RVA2FileOffset(pNTHeader->OptionalHeader.DataDirectory[1].VirtualAddress));

for ( ; *(char*)pImportDescriptor ; pImportDescriptor++ )

{

printf("Import Lib: %s\n", (char*)(RVA2FileOffset(pImportDescriptor->Name) + (char*)pFileBase));

pThunkData = (IMAGE_THUNK_DATA*)(RVA2FileOffset(pImportDescriptor->OriginalFirstThunk) + (char*)pFileBase);

for ( ; pThunkData->u1.AddressOfData; pThunkData++ )

{

if ( pThunkData->u1.Ordinal & IMAGE_ORDINAL_FLAG32 ) // import by index

{

printf("\t0x%04x\n", pThunkData->u1.Ordinal & 0xffff);

}

else // import by name

{

pImportByName = (IMAGE_IMPORT_BY_NAME*)(RVA2FileOffset(pThunkData->u1.Ordinal) + (char*)pFileBase);

printf("\t0x%04x\t%s\n", pImportByName->Hint, pImportByName->Name);

}

}

printf("\n");

}

if ( pNTHeader->OptionalHeader.DataDirectory[0].Size == 0 ) // Export Table Not Exist

goto End;

// Export Table

printf("\n\n------------------------Export Table---------------------------------\n");

pExportDirectory = (IMAGE_EXPORT_DIRECTORY*)(RVA2FileOffset(pNTHeader->OptionalHeader.DataDirectory[0].VirtualAddress) + (char*)pFileBase);

printf("Export Lib: \t%s\n", (char*)(RVA2FileOffset(pExportDirectory->Name) + (char*)pFileBase));

printf("\tIndex\tName\t\t\n");

printf("\t------------------------------\n");

for ( dwIndex = 0; dwIndex < pExportDirectory->NumberOfNames; dwIndex++ )

{

pdw = (DWORD*)(RVA2FileOffset(pExportDirectory->AddressOfNames) + (char*)pFileBase);

pw = (WORD*)(RVA2FileOffset(pExportDirectory->AddressOfFunctions) + (char*)pFileBase);

printf("\t0x%04x\t%-20s\n", dwIndex, (char*)(RVA2FileOffset(pdw[dwIndex]) + (char*)pFileBase), pw[dwIndex]);

}

End:

UnmapViewOfFile(pFileBase);

CloseHandle(hFileMapping);

CloseHandle(hFile);

return 0;

}

/*

Convert RVA To File Offset

*/

DWORD RVA2FileOffset(DWORD dwRVA)

{

DWORD dwNum, dwIndex;

if ( pNTHeader == NULL )

return 0;

if ( pSectionHeader == NULL )

return 0;

dwNum = pNTHeader->FileHeader.NumberOfSections;

for ( dwIndex = 0; dwIndex < dwNum; dwIndex++ )

{

if ( dwRVA >= pSectionHeader[dwIndex].VirtualAddress &&

dwRVA <= pSectionHeader[dwIndex].VirtualAddress + pSectionHeader[dwIndex].SizeOfRawData)

{

return dwRVA - pSectionHeader[dwIndex].VirtualAddress + pSectionHeader[dwIndex].PointerToRawData;

}

}

return 0;

}

奔跑吧linux内核
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C实现PE结构解析
weixin_44644249的博客
12-11 605
C实现PE结构解析 其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。 这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节表,可选头的结构还没写完,先放着,写完了再更新。 代码: #include <stdio.h> #include<stdlib.h> #define _CRT_SECURE_NO_WARNINGS char filepath[] = "D:\\if_else.exe"; typedef char byte; ty
C语言怎么获得进程的PE文件信息
09-02
C语言中获取进程的PE(Portable Executable)文件信息是一项关键任务,特别是在系统编程、逆向工程和安全分析等领域。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库(DLL)等二进制文件的标准格式。...
PE文件解析器的原理(C语言代码)
01-16
C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架
c语言读取PE文件
qq_42840244的博客
11-17 2109
c语言读取PE文件,代码如下: #include “pch.h” #include #include&amp;lt;Windows.h&amp;gt; IMAGE_DOS_HEADER myDosHeader; IMAGE_NT_HEADERS myNTHeader; IMAGE_FILE_HEADER myFileHeader; IMAGE_OPTIONAL_HEADER myOptionHeader; IM...
论用C语言写一个PE文件解释器(1)
Air_cat的博客
05-08 421
论用C语言写一个PE文件解释器(1) 因为在初学PE文件格式的时候吃了很多的苦,这里想用一种通俗易懂的方式来讲解这么个东西。 而这第一篇,准备先不或琐碎或系统性地讲一讲知识性的东西;我们来谈一谈PE文件结构的本质 1.什么是PE文件PE文件的全称是 Portable Executable File – 可移植的可执行文件。最常见的就比如我们的exe文件,还有如dll,sys,com文件。 2....
PE文件结构解析
最新发布
lwqamm的博客
10-09 215
主要是介绍了pe文件结构导出表和导出表的一些成员,以及如何使用代码打印出它们,涉及到指针和结构体相关的知识。需要注意的是指针的类型和三张子表存储值的宽度。由于作者水平有限,文章如有错误欢迎指出。
PE文件解析器
12-01
PE文件解析器是一种工具,它能够解析这些文件的内部结构,揭示其组成元素,这对于软件开发、逆向工程、安全分析等领域至关重要。本文将深入探讨PE文件结构及其解析原理。 1. **PE文件的基本结构** - **DOS头**: ...
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
在Labwindows/CVI中解析PE文件,我们需要对PE文件结构有基本的理解。PE文件包含头部信息,如DOS头、PE头、节表等,这些头部信息中包含了关于文件如何在内存中加载和执行的关键信息。其中,导出函数表是PE文件的一...
PE文件头的各种信息查询
01-16
为了处理PE结构,我们需要定义相应的结构体来匹配PE文件的布局,并解析每个部分。此外,还可以利用Windows API函数,如`Imagehlp`库中的`ImageDirectoryEntryToData`来辅助获取特定的PE信息。 以下是一个简单的示例...
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7672
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
pefile源码库
03-01
pefile源码库
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析  c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
C语言读取PE文件信息(一)
weixin_30569033的博客
01-02 356
接下来的内容来源于对该博客文章http://www.pediy.com/kssd/pediy06/pediy7006.htm的解析。 一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字...
Flier's Sky的大作,一文搞定.Net PE File Structure!
iLoveZod的备忘录
04-19 875
http://flier.cnblogs.com/archive/2004/07/08/22261.html
C语言编程获取PE文件DOS头
一根火柴博客
02-02 1837
int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; HANDLE hFile; HANDLE hMapObject; PUCHAR uFileMap; DWORD dw; if (argc<2) { return -1; } if (!(hFile=CreateFile(arg
C语言编程获取PE文件导出表内容
一根火柴博客
02-02 1877
#include #include #include DWORD RvaToOffset(PIMAGE_NT_HEADERS pImageNtHeaders, DWORD dwRva); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDOSHeader; PIMAGE_NT_HEADERS pImageNT
PE结构详解(一)
本博客所有内容都是转的前辈们的
04-13 1260
本系列主要是参考英文原本ARTeam的PE File Format Tutorial并加以注解,以最简洁的语言来阐述PE格式,帮助大家快速入门。在开始之前,请确定您懂得C语言,至少是基本数据类型、数组和结构体,以及会WinHEX的基本使用方法。任何错误都欢迎指出,感激不尽! (一)介绍PE 格式     PE格式(Portable Executable,可移植可执行文件)是原生的Win32
C语言编写控制台下PE分析工具(四)
CHkylin的博客
09-02 1214
八、获取输入表信息 1、获取输入表地址 PIMAGE_IMPORT_DESCRIPTOR  GetFirstImportDesc(LPVOID ImageBase) { if (!ImageBase) { return nullptr; } PIMAGE_IMPORT_DESCRIPTOR pID = (PIMAGE_IMPORT_DESCRIPTOR)GetDirectoryEn
论用C语言写一个PE文件解释器(2)
Air_cat的博客
05-08 333
论用C语言写一个PE文件解释器(2) 前情提要: 在上一篇,我们讲了有关PE文件文件结构的一些基本概念。这东西其实就是一类结构体。 1、该怎么进行文件解释 这里我们不系统性地做知识的讲解,默认大家至少已经了解了基本的PE文件结构。那么一个PE文件解释器其实就是能够提取文件结构里的各个元素,并按照其应有的意义和格式显示出来。比如我们常用的StudyPE就是PE文件解释器的一种。而文件解释的流程可以...
C语言实现:文件系统操作与PE修改源码
这个C语言源代码提供了基本的文件系统操作和可能的PE文件操作接口,适用于那些需要深入理解底层文件操作或进行相关安全分析的开发人员或研究人员。通过这个代码,我们可以看到如何使用C语言处理磁盘I/O、管理文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值