滴水逆向作业——PE_02打印PE头部信息

最新推荐文章于 2023-02-27 14:59:28 发布
最新推荐文章于 2023-02-27 14:59:28 发布
阅读量1.2k 收藏 4
点赞数 4
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44584614/article/details/104333048
版权

打印PE头部信息:
PE头包含:DOS头+4字节PE标识符+NT头(标准PE头+可选PE头)+节表信息。

#include "stdafx.h"
#include "string.h"
#include <malloc.h>
#include <windows.h>


FILE* open_file(char* file_path,char* open_mode);
int compute_file_size(FILE* file_address);
char* allocate_buffer(int file_size);
char* readfile2memory(char* file_buffer,int file_size,FILE* file_address);
void analysis_PE_head(char* File_buffer);

VOID PrintNTHeaders()		
{	
	// 初始化
	char file_path[] = "C:\\Windows\\System32\\notepad.exe";
	char open_mode[] = "rb";
	// 打开文件,返回文件指针
	FILE* file_address = open_file(file_path,open_mode);
	// 计算文件长度
	int file_size = compute_file_size(file_address);
	// 分配内存
	char* File_buffer = allocate_buffer(file_size);
	// 写入内存,返回内存地址
	File_buffer = readfile2memory(File_buffer,file_size,file_address);
	// 打印PE头部信息
	analysis_PE_head(File_buffer);
	// 释放内存、关闭文件流
	free(File_buffer);
	fclose(file_address);
}		

FILE* open_file(char* file_path,char* open_mode)
{	
	FILE* file_address = fopen(file_path,open_mode);  // fopen() 参数是字符串也就是常量指针类型
	if(!file_address)
	{
		printf("打开文件失败!\n");
		return 0;
	}
	return file_address;
}

int compute_file_size(FILE* file_address)
{
	int size = 0;
	fseek(file_address,0,SEEK_END);
	size = ftell(file_address);
	fseek(file_address,0,SEEK_SET);
	return size;
}

char* allocate_buffer(int file_size)
{
	char* file_buffer = (char*)malloc(file_size);
	if(!file_buffer)
	{
		printf("分配内存出错!\n");
		return 0;
	}
	memset(file_buffer,0,file_size);
	return file_buffer;
}

char* readfile2memory(char* file_buffer,int file_size,FILE* file_address)
{
	if(!(fread(file_buffer,file_size,1,file_address)))
	{
		printf("从文件向内存中读取数据失败!\n");
		return 0;
	}
	return file_buffer; // 如果写入内存成功,则返回内地址
}

void analysis_PE_head(char* File_buffer)
{	
	// 实例化PE文件头几个结构体
	PIMAGE_DOS_HEADER pDosHeader = NULL;	
	PIMAGE_NT_HEADERS pNTHeader = NULL;	
	PIMAGE_FILE_HEADER pPEHeader = NULL;	
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;	
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	// 强制类型转换
	pDosHeader = (PIMAGE_DOS_HEADER)File_buffer;
	// 判断是不是有效的MZ标志
	if(*((PWORD)pDosHeader) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志!\n");
		free(File_buffer);
		return;
	}
	// 强制类型转换 PIMAGE_DOS_HEADER结构体
	pDosHeader = (PIMAGE_DOS_HEADER)File_buffer;
	// 打印DOS头
	printf("=============================DOS头信息如下=============================\n");
	printf("MZ标志:%x\n",pDosHeader->e_magic);
	printf("PE偏移:%x\n",pDosHeader->e_lfanew);
	// 判断是不是有效的PE标志
	if(*((PDWORD)((DWORD)File_buffer+pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志!\n");
		free(File_buffer);
		return;
	}
	// 强制类型转换 PIMAGE_NT_HEADERS结构体
	pNTHeader = PIMAGE_NT_HEADERS((DWORD)File_buffer+pDosHeader->e_lfanew);
	// 打印NT头
	printf("=============================NT头信息如下===============================\n");
	printf("NT:%x\n",pNTHeader->Signature);
	// 强制类型转换 PIMAGE_FILE_HEADER结构体
	pPEHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader+4);
	// 打印标准PE头
	printf("=============================标准PE头信息如下============================\n");
	printf("PE_machine:%x\n",pPEHeader->Machine);
	printf("节的数量:%x\n",pPEHeader->NumberOfSections);
	printf("SizeOfOptionalHeader(可选PE头的大小):%x\n",pPEHeader->SizeOfOptionalHeader);
	// 强制类型转换
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);//
	// 打印可选PE头
	printf("==============================可选PE头信息如下==============================\n");
	printf("magic:%x\n",pOptionHeader->Magic);
	printf("AddressOfEntryPoint:%x\n",pOptionHeader->AddressOfEntryPoint);
	printf("ImageBase:%x\n",pOptionHeader->ImageBase);
	printf("SizeOfImage:%x\n",pOptionHeader->SizeOfImage);
	printf("SizeOfHeaders:%x\n",pOptionHeader->SizeOfHeaders);
	printf("SectionAlignment:%x\n",pOptionHeader->SectionAlignment);
	printf("FileAlignment:%x\n",pOptionHeader->FileAlignment);
	// 强制类型转换
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);
	printf("==============================节表信息如下===================================\n");
	//printf("name:%s\n",pSectionHeader->Misc);
	DWORD dwNumberOfSection = pPEHeader->NumberOfSections;
	/*
	printf("%x\n",pPEHeader->NumberOfSections);
	printf("IMAGE_SIZEOF_SHORT_NAME:%x\n",IMAGE_SIZEOF_SHORT_NAME);
	printf("option_add:%x\n",pOptionHeader);
	printf("psection_add:%x\n",pSectionHeader);
	printf("==============================================================\n");*/
	for(DWORD i = 0;i<dwNumberOfSection;i++,pSectionHeader++)
	{	
		printf("========================第%d个节信息:===============================\n",i+1);
		printf("section_name:");
		for(DWORD j = 0;j<IMAGE_SIZEOF_SHORT_NAME;j++)
		{	
			printf("%c",pSectionHeader->Name[j]);
		}
		printf("\n");
		printf("misc:%x\n",pSectionHeader->Misc);
		printf("VirtualAddress:%08X\n",pSectionHeader->VirtualAddress);
		printf("SizeOfRawData:%08X\n",pSectionHeader->SizeOfRawData);
		printf("PointerToRawData:%08X\n",pSectionHeader->PointerToRawData);
		printf("Characteristics%08X\n",pSectionHeader->Characteristics);
	}
}

int main(int argc, char* argv[])
{	
	PrintNTHeaders();
	getchar();
	return 0;
}

结果如下:
在这里插入图片描述

刘大聪聪聪聪
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
滴水逆向培训基础教程_PE结构笔记
06-01
滴水逆向培训基础教程_PE结构笔记
滴水逆向————PE头解析
clayoa的博客
12-18 998
PE头解析
滴水逆向三期实践2:PE节表解析
Rivival_S 的博客
09-22 1175
书接上回 节表,就是在NT_HEADER之后紧接着的那块区域,有多个相同结构的节表,整个区域就是个结构体数组,具体有多少个这样相同的节表结构在COFF头(FILE_HEADER)的 NumberOfSections字段。 所以要遍历节表,只需 for 循环 NumberOfSections 次即可 节表各字段说明如下,后续有更详细的解析: 1、Name 8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义. 注意:该名称并不遵守必须以...
滴水逆向三期 PE解析 资源表
四位的博客
06-16 1555
概要 资源表采取目录的形式, 就和我们常用的访问文件夹性质是一样的, 每一级都是同一结构, 每一级之前又有一个结构来判断当前级是否为目录. 文章采用两种方式来理解 利用文件目录理解 根据结构解析 代码实现 分析 根据结构解析 文件结构: 注意事项: 结构中涉及的偏移计算方式均为 第一个目录(DataDirectory[2]所指向的结构)的偏移加上其值 譬如本例中所有偏移均已pResourceDirectory的地址作为基准. 故定义变量dwPRD指代其值 一 目录表定位到资源表位置 可以看到红色标红两项
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
滴水_PE结构_pdf.zip
08-04
滴水逆向PE结构高清 PE文件是Windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅用在...
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向三期41作业】C语言提取文件PE头部信息
WdIg-2023的博客
02-27 541
C语言提取文件PE头部信息
滴水逆向三期实践1:PE头字段解析,附PE结构下载
Rivival_S 的博客
09-22 1976
视频资源详见网盘搜索 或 在线的B站滴水逆向三期 其课件也能在CSDN或百度搜索到,以下部分为课件内容摘要,部分为自己的理解 最后附上详细注释的自写代码 PE(Portable Executable)文件,是windows上的可移植的可执行文件,常见的 .exe .dll .sys 等都是PE文件。那么PE文件和计算机网络的各种包头一样,都有自己独特的格式。 这里有张PE格式图的部分截图,完整版链接:https://pan.baidu.com/s/1ToG2wc_qOi0BfrLTe...
滴水逆向笔记(一)
m0_51295934的博客
01-05 268
1.进制:几进制就逢几进一,十进制逢十进一,二进制逢二进一 几进制中有几个数字,十进制有0,1,2,3,4,5,6,7,8,9这十个数字,二进制有0,1两个数字 十六进制有1,2,3,4,5,6,7,8,9,A,B,C,D,E,F; 二进制对应的为0001,0010,0011,0100,0101,0110,0111,1000,1001,1010(A),1011(B),1100(C),1101(D),1110(E),1111(F) 2.二进制 计算机上的所有文件都是以二进制方式存储的,且受硬件制约,
滴水逆向笔记
Dyy2207014249的博客
11-26 119
由N个符号组成,逢N进一,注意:N个符号可以任意定义。N进制:由N个符号组成,逢N进一。一个16进制数=四个2进制数。
滴水逆向学习笔记
BL_zshaom的博客
12-05 513
我是小菜鸡,咯咯咯!!!
滴水逆向学习笔记 -1-
qq_62517352的博客
01-07 1000
一、进制 1、进制的定义 十进制的定义:由十个符号组成,分别为0 1 2 3 4 5 6 7 8 9 锋十进一。 十六进制的定义:有十六个符号组成即0 1 2 3 4 5 6 7 8 9 A B C D E F。 总结: N进制的定义:由N个符号组成,逢N进一。(这里的符号不一定是从0到N-1的连续的数字,可以是自定义的有顺序的任意数字,字母等等各种符号)。进制的简单计算一般可以用查数来计算,也可以通过查数绘制进制的加法乘法表格,再通过查表就可以进行进制内的加减乘除的运算。 如果把进制的符号以不
信息_滴水三期 之解析PE头并输出相关信息
weixin_36138462的博客
12-27 141
#include <stdio.h> #include <malloc.h> #include <string.h> #include <Windows.h> //此处是禁用函数警报 #define _CRT_SECURE_NO_DEPRECATE #pragma warning(disable:4996) FILE* openFile(char* ...
滴水逆向笔记(七)
m0_51295934的博客
01-21 251
1.ADC指令:带进位加法 我们将要执行adc al,5 ,此时我们把C0变为C1,接着 本该为08,结果却是09,这是由于在做adc加法运算时将C1借走了 二.SBB指令:带借位减法 这里也是改成了C1,接着执行 sbb al,2 这里也是本该运算为7,结果为6 三、XCHG指令:交换数据 格式:XCHG R/M,R/M/IMM 两边不能同时为内存 宽度要一样 接着执行XCHG AL,CL 两者确实交换了数据 四、MOVS指令:移动数据 内存-内存...
滴水逆向笔记(六.标志寄存器)
m0_51295934的博客
01-21 465
1.pushad 对比上面两图得知,pushad的作用相当于把这八个通用寄存器的值都依次存到了上面的内存单元,栈底对应的内存编号不变,而栈顶对应的内存编号也从原来的7c变为了5c 这个也不知道该咋说,就草率地对比两个图总结 2.popad 这里寄存器对应的内存编号也是稍作了变化,接下来看作用效果 这里可以看到它是将pushad执行之前8个寄存器对应的内存编号还原了回来,但是那些被涉及到的内存单元存储的值并没有变回来 ...
滴水逆向笔记(八)
m0_51295934的博客
01-26 452
​ 一.JMP指令:修改EIP的值 JMP EAX=MOV EIP,EAX(虽然这条指令无法执行) 例子 此时我们执行JMP,EAX 二.CALL指令 CALL EAX=PUSH 地址B && MOV EIP,EAX 例子 ​ 圈起来的那部分是我们下的断点,点击编号然后按F2就会有这种效果,接着我们执行CALL 0x4012C5 此时可以看到ESP和EIP都改变了 三.RET指令 ​例子: 之后我们执行RET 可以看到此时它跳回了0x401285,而且EIP的值变为了0x401285,E
滴水逆向ncknafxcw.pdb
最新发布
11-18
滴水逆向是一个指的是液体水珠从接触面开始逆向移动的现象。由于水分子间的相互作用力,水珠通常会在水中向着重力方向下落。然而,在特定的情况下,我们可以通过一些特殊的手段使水珠逆向移动。 滴水逆向的实现主要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值