【PeDump小工具的制作】

已于 2023-01-16 00:12:14 修改
阅读量100 收藏
点赞数
分类专栏: # PE 文章标签: c++
于 2022-08-10 12:50:43 首次发布
本文链接:https://blog.csdn.net/weixin_43468491/article/details/126213435
版权

功能展示
在这里插入图片描述

使用到的Win32API
HMODULE GetModuleHandle(LPCTSTR lpModuleName);           hInstance(进程句柄): dd  

从对话框模板资源创建模式对话框
INT_PTR DialogBoxParamA(
  [in, optional] HINSTANCE hInstance,
  [in]           LPCSTR    lpTemplateName,
  [in, optional] HWND      hWndParent,
  [in, optional] DLGPROC   lpDialogFunc,
  [in]           LPARAM    dwInitParam
);

HWND GetDlgItem([in, optional] HWND hDlg,[in] int  nIDDlgItem);   hWinEdit(富文本框句柄): dd

HICON LoadIconA([in, optional] HINSTANCE hInstance, [in] LPCSTR lpIconName);  

LRESULT SendMessage(
  [in] HWND   hWnd, //hWinMain(弹出窗口句柄):dd
  [in] UINT   Msg,
  [in] WPARAM wParam,
  [in] LPARAM lParam
);       把消息直接送到窗口过程处理

void RtlZeroMemory(
   void*  Destination, 
   size_t Length
);    用零填充内存块

LPSTR lstrcpyA(
  [out] LPSTR  lpString1, //szFont
  [in]  LPCSTR lpString2
);    将字符串复制到缓冲区。

BOOL GetOpenFileNameA(
  [in, out] LPOPENFILENAMEA unnamedParam1
);  创建一个“打开”对话框

BOOL GetOpenFileNameA(
  [in, out] LPOPENFILENAMEA unnamedParam1
);

HANDLE CreateFileA(
  [in]           LPCSTR                lpFileName,  //要打开的文件路径及名称名
  [in]           DWORD                 dwDesiredAccess,   
  [in]           DWORD                 dwShareMode,
  [in, optional] LPSECURITY_ATTRIBUTES lpSecurityAttributes,
  [in]           DWORD                 dwCreationDisposition,
  [in]           DWORD                 dwFlagsAndAttributes,
  [in, optional] HANDLE                hTemplateFile
);   创建或打开文件或 I/O 设备         local @hFile

DWORD GetFileSize(
  [in]            HANDLE  hFile,
  [out, optional] LPDWORD lpFileSizeHigh
);   
totalSize(文件大小):dd

HANDLE CreateFileMappingA(
  [in]           HANDLE                hFile,
  [in, optional] LPSECURITY_ATTRIBUTES lpFileMappingAttributes,
  [in]           DWORD                 flProtect,
  [in]           DWORD                 dwMaximumSizeHigh,
  [in]           DWORD                 dwMaximumSizeLow,
  [in, optional] LPCSTR                lpName
);          local @hMapFile

LPVOID MapViewOfFile(
  [in] HANDLE hFileMappingObject,
  [in] DWORD  dwDesiredAccess,
  [in] DWORD  dwFileOffsetHigh,
  [in] DWORD  dwFileOffsetLow,
  [in] SIZE_T dwNumberOfBytesToMap
);
lpMemory(内存映像文件在内存的起始位置):(dd) 

将格式化的数据写入指定的缓冲区。
int WINAPIV wsprintfA(
  [out] LPSTR  unnamedParam1, //@bufTemp2
  [in]  LPCSTR unnamedParam2, //lpszFilterFmt4
        ...    
);


将一个字符串追加到另一个字符串。
LPSTR lstrcatA(
  [in, out] LPSTR  lpString1, //lpServicesBuffer
  [in]      LPCSTR lpString2 //@bufTemp2
);

int GetWindowTextLengthA(
  [in] HWND hWnd
);

变量的分类:

实现最终程序功能需求的变量

需要经过计算的变量

mov @dwCount,1                local @dwCount(计数)
mov @dwCount1,0               local @dwCount1(地址顺号)

mov esi,lpMemory
mov edi,offset bufDisplay(第三列ASCII码字符显示)                                  

wsprintf                              local @bufTemp2(第一列)
lstrcat                               lpServicesBuffer(所有内容):db 100

	xor edx,edx
	mov eax,totalSize
	mov ecx,16
	div ecx
	mov eax,16
	sub eax,edx
	xor edx,edx
	mov ecx,3
	mul ecx
	mov @dwBlanks,eax

感悟总结
1.程序的本质其实就是一个调用函数的过程,我们定义的全局变量,常量,局部变量都是为调用函数做准备,我们只需要关注函数执行后哪些变量发生了改变,对后面的函数调用有什么样的影响,以及变量在各种条件分支,循环分支等C++语法中的状态变化情况
2.如果我们需要看这个变量经过了什么数值变化,那么我们可以通过全局查找
3.任何一个程序都有它核心的一个功能,不管它有几个状态,都是为这个核心功能做准备,我们要找出在这些状态中决定这些状态之间切换的关键变量行为,这个非常非常关键,这些变量串联起了这个程序的始总,而遇到变量最好的方法是采用全局搜索查看所有引用的方式去定位到这个变量发生了什么样的状态变化

提出问题

1.变量在什么情况下应该消失和存在

小鸡岛~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEDump
07-29
PE DUMP SOURCE CODE ,YOU CAN LEARN IT ! SOURCE CODE ,YOU CAN LEARN IT !
PEDUMPPE文件解读的源程序, 可以获取所有的PE文件内容
11-04
PEDUMPPE文件解读的源程序, 可以获取所有的PE文件内容
pedump.c
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-19 1352
// $Id: pedump.c 17587 2005-08-28 15:29:36Z hpoussin $ // // This program was written by Sang Cho, assistant professor at // the department of //
pedump.rar
07-16
exe文件为原版文件,压缩包为伪写的文件
pedump.zip_pecoff_pedump
09-14
pecoff信息剖析工具——pedump的深度解析》 在计算机软件开发和逆向工程领域,理解二进制文件的内部结构是至关重要的。本文将深入探讨“pedump.zip_pecoff_pedump”这一工具,它是一个专门用于查看pecoff(PE/...
PEDump.rar_PEDUMP._pe_pedu_pedump_rxmi
最新发布
09-20
标题中的"PEDump.rar_PEDUMP._pe_pedu_pedump_rxmi"表明这是一个关于PE文件分析的资源包,其中包含了"PEDump"这个工具的相关代码和资料。PE是Portable Executable的缩写,它是Windows操作系统中可执行文件的标准格式...
Pedump.zip_DECOMPILE_PEDump vc_pedump_pedump.c_visual c
09-20
标题中的"Pedump.zip_DECOMPILE_PEDump vc_pedump_pedump.c_visual c"指的是一个名为"Pedump"的项目,这个项目使用了Visual C++作为开发环境,涉及到反编译(exe中的资源提取)和 PEDump 工具的使用。PEDump 是一个...
PEDUMP - Win32/Win64 EXE/OBJ/LIB/DBG file dumper - 2001 Matt Pietrek
10-04
PEDUMP - Win32/Win64 EXE/OBJ/LIB/DBG file dumper - 2001 Matt Pietrek 支持win64文件.
PEDump Delphi版的PE文件结构分析工具
06-26
PEDump Delphi版的PE文件结构分析工具! 值得下载看看!资源免费,大家分享!! 更多免费资源 http://ynsky.download.csdn.net/
PEDUMP文件分析器1.92版 (代码及论文)
01-13
不知道大家有没有用过PEDUMP,一个很好用的PE文件分析软件,不过那个软件是在DOS的命令行程序,并且是英文的,由于编EXE文件加密器的时候很想用一个这样的程序帮助分析,于是研究了PE文件的结构,做出了现在这个PE文件分析器,提供给那些想快些了解PE结构或者编制这方面的程序的朋友一个工具。我正在加强其功能,主要是用在反编译方面太弱了,希望得到高手的帮助。新版本的1.53版加强了文件导出功能,可以和M$的PUDUMP分析结果媲美:)1.91版,最大的改动就是增加了资源分析显示部分,用法察看自带的ReadMe.txt,可以用来改资源了。1.92版改进一点点小问题,增加毕业论文。
PE Dump汇编程序
crkres9527
03-30 685
PE Dump 的实现是PE文件字码查看器,利用它可以查看和总计指定的PE文件的十六进制字节码,帮助我们更好地分析PE结构列一:是地址。地址的值是第(n*16+1)个字节在文件中的位置列二:是由空格分隔符分隔的16个字节的十六进制显示列三:这16个字节对应的ASCII码值。打开PE文件---》获取文件大小totalSize----》求循环显示16字节数据-----》显示剩余totalSize%16...
WINDOWS+PE权威指南读书笔记(19)
沐一 · 林 的博客
01-26 664
目录 三个小工具的编写 构造基本窗口程序: 构造窗口界面: 编写相关的资源文件: 通用程序框架的实现: PEDump 的实现: 编程思路: PEDump 代码中的数据结构: PEDump 编码: 运行PEDumpPEComp 的实现: 编程思路: 定义资源文件: PEComp 编码: 运行 PEComp: PElnfo 的实现: PElnfo 编码: 运行 PElnfo: 小结: 三个小工具的编写 这三个小工具分别是: 口 PEDump: PE 文件字节码
俩种方式实现 PEdump
weixin_34232617的博客
04-16 336
方式一思路把 pe 文件打开,然后通过ReadFile读到一个缓冲区里(内存上)优点一直保存在那缺点 得先读完(这一般不算什么读的速度非常快) 方式二(这里多了步打开文件管理器)思路把pe 文件打开,然后通过MapViewOfFile映射到内存(返回首地址Return value If the function succeeds, the return value is the starting ...
常用脱壳工具
kezhen的专栏
10-31 4555
常用脱壳工具有:   1.文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan,   2.OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid   3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE   4.PE文件编辑工具PEditor,ProcDump32,LordPE
窥探PE文件内幕:Win32 PE 文件格式之旅1
zhangxinrun的专栏
08-23 1269
<br />Matt Pietrek <br />1994 年3月 <br />Matt Pietrek 是Windows Internals (Addison-Wesley, 1993)的作者。他就职于Nu-Mega 技术有限公司,可通过CompuServe: 71774,362联系到他。 <br />这篇文章出自1994年3月发行的Microsoft系统期刊。版权所有﹫1994 Miller Freeman, Inc.保留所有权利。未经Miller Freeman同意,这篇文章的任何部分不得以任何形式被
PE映像文件从内存中DUMP到磁盘
04-16 1605
了解了EXE和DLL里面的奥秘,你将成为一名知识更加渊博的程序员!”可以看到,作为网络安全爱好者的我们,掌握和熟练利用PE(Portable Executable)文件格式的知识将必定能为我们学习黑客技术和攻防知识打下良好的基础。在网络攻防的对抗中,常常接触到有关PE文件格式方面的技术,比如缓冲区溢出技术中编写Win32 ShellCode时利用PE文件结构的特征查找API函数地址就是一个很经典的
深入探究 Win32 PE 文件格式
sqcfj的专栏
11-09 1688
深入探究 Win32 PE 文件格式<br />译自:An In-Depth Look into the Win32 Portable Executable File Format <br />翻译:Jason Sun(木水鱼) <br />邮件:sjshjz@hotmail.com <br />2004年7月12日 <br />  <br /><br />Windows 内幕深入理解 Win32 PE 文件格式<br />Matt Pietrek <br />这篇文章假定你熟悉C++和Win32。 <br
Windows环境PE文件分析器.doc
07-07
PE文件分析器的设计初衷是为了弥补传统DOS工具(如PEDUMP)在Windows环境中操作的不便,特别是当需要频繁对比不同版本的PE文件以检测微小差异或内部变化时。它提供了一个直观的图形用户界面,使得在Windows环境下对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值