C实现PE结构解析

最新推荐文章于 2021-07-07 10:48:32 发布
最新推荐文章于 2021-07-07 10:48:32 发布
阅读量584 收藏 1
点赞数
分类专栏: 逆向 文章标签: c语言 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44644249/article/details/111055013
版权

C实现PE结构解析

其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。

这里随便用了个植物大战僵尸的PE文件(导出表是用的游戏的dll)。

Loader.h

#pragma once
#include<stdio.h>
#include<stdlib.h>
typedef char BYTE;
typedef short WORD;
typedef int DWORD;

struct IMAGE_RESOURCE_DATA
{
   
	DWORD VirtualAddress;
	DWORD Size;
};
struct IMAGE_RESOURCE_DIRECTORY_ENTRY
{
   
	union 
	{
   
		struct 
		{
   
			DWORD NameOffset : 31;			//目录项名称或者ID			
			DWORD NameIsString : 1;
		};
		DWORD   Name;
		WORD    Id;
	};

	union 
	{
   
		DWORD   OffsetToData;
		struct
		{
   
			DWORD   OffsetToDirectory : 31;				//目录项指针,不是rva		
			DWORD   DataIsDirectory : 1;
		};
	};
};
struct IMAGE_RESOURCE_DIRECTORY {
   
	DWORD Characteristics;
	DWORD TimeDateStamp;
	WORD MajorVersion;
	WORD MinorVersion;
	WORD NumberOfNamedEntries;
	WORD NumberOfIdEntries;
};
struct PIMAGE_IMPORT_BY_NAME
{
   
	WORD Hint;
	BYTE Name;
};
struct PIMAGE_THUNK_DATA
{
   
	union
	{
   
		BYTE ForwarderString;
		DWORD Function;
		DWORD Ordinal;
		PIMAGE_IMPORT_BY_NAME AddressOfData;
	};
};
struct IMAGE_IMPORT_DESCRIPTOR
{
   
	union 
	{
   
		DWORD Characteristics;
		PIMAGE_THUNK_DATA OriginalFirstThunk;
	}u;
	DWORD TimeDateStamp;
	DWORD ForwarderChain;
	DWORD Name;
	PIMAGE_THUNK_DATA FirstThunk;
};
struct IMAGE_DIRECTORY_ENTRY_BASERELOC {
   
	DWORD VirtualAddress;
	DWORD Size;
};
struct IMAGE_SECTION_HEADER
{
   
	BYTE Name[8];
	union {
   
		DWORD PhysicalAddress;
		DWORD VirtualSize;
	} Misc;
	DWORD VirtualAddress;
	DWORD SizeOfRawData;
	DWORD PointerToRawData;
	DWORD PointerToRelocations;
	DWORD PointerToLinenumbers;
	WORD NumberOfRelocations;
	WORD NumberOfLinenumbers;
	DWORD Characteristics;
};
struct IMAGE_EXPORT_DIRECTORY {
   
	DWORD Characteristics;
	DWORD TimeDateStamp;
	WORD MajorVersion;
	WORD MinorVersion;
	DWORD Name;
	DWORD Base;
	DWORD NumberOfFunctions;
	DWORD NumberOfNames;
	DWORD AddressOfFunctions;
	DWORD AddressOfNames;
	DWORD AddressOfNameOrdinals;
};
struct IMAGE_DATA_DIRECTORY
{
   
	DWORD VirtualAddress;
	DWORD Size;
};
struct IMAGE_DOS_HEADER
{
   
	WORD e_magic;
	WORD e_cblp;
	WORD e_cp;
	WORD e_crlc;
	WORD e_cparhdr;
	WORD e_minalloc;
	WORD e_maxalloc;
	WORD e_ss;
	WORD e_sp;
	WORD e_csum;
	WORD e_ip;
	WORD e_cs;
	WORD e_lfarlc;
	WORD e_ovno;
	WORD e_res[4];
	WORD e_oemid;
	WORD e_oeminfo;
	WORD e_res2[10];
	DWORD e_lfanew;

};
struct IMAGE_FILE_HEADER
{
   
	WORD Machine;
	WORD NumberOfSections;
	DWORD TimeDateStamp;
	DWORD PointerToSymbolTable;
	DWORD NumberOfSymbols;
	WORD SizeOfOptionalHeader;
	WORD Characteristics;
};
struct IMAGE_OPTIONAL_HEADER
{
   
	WORD Magic;
	BYTE MajorLinkerVersion;
	BYTE MinorLinkerVersion;
	DWORD SizeOfCode;
	DWORD SizeOfInitializedData;
	DWORD SizeOfUninitializedData;
	DWORD AddressOfEntryPoint;
	DWORD BaseOfCode;
	DWORD BaseOfData;
	DWORD ImageBase;
	DWORD SectionAlignment;
	DWORD FileAlignment;
	WORD MajorOperatingSystemVersion;
	WORD MinorOperatingSystemVersion;
	WORD MajorImageVersion;
	WORD MinorImageVersion;
	WORD MajorSubsystemVersion;
	WORD MinorSubsystemVersion;
	DWORD Win32VersionValue;
	DWORD SizeOfImage;
	DWORD SizeOfHeaders;
	DWORD CheckSum;
	WORD Subsystem;
	WORD DllCharacteristics;
	DWORD SizeOfStackReserve;
	DWORD SizeOfStackCommit;
	DWORD SizeOfHeapReserve;
	DWORD SizeOfHeapCommit;
	DWORD LoaderFlags;
	DWORD NumberOfRvaAndSizes;
	IMAGE_DATA_DIRECTORY DataDirectory[16];
};
struct IMAGE_NT_HEADERS
{
   
	DWORD Signature;
	IMAGE_FILE_HEADER FileHeader;
	IMAGE_OPTIONAL_HEADER OptionalHeader;
};

void* OpenFile();
void PrintPEStructs();
void PrintPeHeaders();
int RVAToFOA(int RVA);
int RTF(int Rva);
void ExportTables();
void Relocation();
void ImportTable();
void ResourceTable();

Loader.cpp:

#include "Loader.h"


//打开文件,分配内存,获取指针
void* OpenFile()
{
   
	char arr[] = "D:\\PlantsVsZombies.exe";
	FILE* FileOpen = fopen(arr, "rb");
	if (!FileOpen)
	{
   
		printf("打开文件失败");
		return NULL;
	}
	fseek(FileOpen, 0, SEEK_END);
	int FileSize = ftell(FileOpen);
	fseek(FileOpen, 0, SEEK_SET);
	void* FileBuffer = malloc(FileSize);
	if (!FileBuffer)
	{
   
		printf("分配内存失败");
		return NULL;
	}
	size_t n = fread(FileBuffer, FileSize, 1, FileOpen);
	if (!n)
	{
   
		printf("加载到内存失败");
		free(FileBuffer);
		fclose(FileOpen);
		return NULL;
	}
	fclose(FileOpen);
	return FileBuffer;
}


//打印PE头相关信息
char* pBegin = (char*)OpenFile();
IMAGE_DOS_HEADER* DOS_Header = (IMAGE_DOS_HEADER*)pBegin;
int e_lfanew = DOS_Header->e_lfanew;
IMAGE_NT_HEADERS* NT_Header = (IMAGE_NT_HEADERS*)(pBegin + e_lfanew);
IMAGE_DATA_DIRECTORY* datadirectory = (IMAGE_DATA_DIRECTORY*)NT_Header->OptionalHeader.DataDirectory;
WORD SizeOfOptionalHeaders = NT_Header->FileHeader.SizeOfOptionalHeader;
IMAGE_SECTION_HEADER* Sec
最低0.47元/天 解锁文章
哪家楼下的猫咪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 972
1、DOS头 _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
pe结构打印
qq_38236017的博客
12-21 122
打印pe结构
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7561
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
PE结构说明及C语言解析
qq_35289660的博客
05-11 1657
PE结构说明及C语言解析 文章目录PE结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE结构详解11-系统篇-第十一讲-解密系列.zip_PE结构详解_pe
09-24
PE结构详解11-系统篇-第十一讲-解密系列来自鱼c论坛,主要介绍什么是PE,如何制作PE程序
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
Pe文件结构图和Pe信息查看工具,用c++和纯sdk写的,可以查看节表,导入导出表,资源表,重定位表信息以及Rva和Offset之间的转换等
PE信息解析 c源码
12-05
辛苦搬运解释 ,结合而成的PE解析器,目前只解析文件,在内存中只是镜像基址和RVA FOA不一样其他都一样的
PE文件结构详解_超详细_C代码.doc
03-08
PE文件结构详解_超详细,pe头详解,各数据段,各节结构,如何防病毒
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析 c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
滴水逆向 文件操作(pe修改)C语言源代码
06-20
滴水逆向 文件操作(pe修改)C语言源代码
c语言读取pe文件信息,C语言怎么获得进程的PE文件信息
weixin_42393315的博客
05-22 164
一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息#include#includechar *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";int...
C语言编写控制台下PE分析工具(二)
CHkylin的博客
08-26 1112
C语言编写PE格式分析工具
论用C语言写一个PE文件解释器(1)
Air_cat的博客
05-08 397
论用C语言写一个PE文件解释器(1) 因为在初学PE文件格式的时候吃了很多的苦,这里想用一种通俗易懂的方式来讲解这么个东西。 而这第一篇,准备先不或琐碎或系统性地讲一讲知识性的东西;我们来谈一谈PE文件结构的本质 1.什么是PE文件? PE文件的全称是 Portable Executable File – 可移植的可执行文件。最常见的就比如我们的exe文件,还有如dll,sys,com文件。 2....
打印PE文件导入表(C语言代码)
lygl35的博客
07-07 382
打印导入表 #include <stdio.h> #include <stdlib.h> #include "func.h" int main(void) { PrintdDirectory();//打印PE文件导入表 getchar(); return 1; } //func.h 头文件 #pragma once #include <Windows.h> #define FILEPATH "D:/ipmsg.exe" #define FILEPATH
加载exe的PE信息并输出相关PE信息的一段c++代码
weixin_34245169的博客
11-29 187
今天看了下关于windows平台的PE结构,然后通过C++写了一个简单的加载PE信息的程序,只加载了DOS头、NT头、以及节点的信息,以后补上关于加载输出表、输入表的相关代码,详细代码如下: #include <iostream> #include <string> #include <Windows.h> using name...
C语言编程获取PE文件Option_Header
一根火柴博客
02-02 1366
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY); void viewOptionalHeaderSubsystem(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImage
COFF格式续篇—Lib文件的结构
redleaves的专栏
10-14 3535
    上一篇文章介绍了COFF目标文件的结构。如果你试着做一个应用程序的连接器(Linker),就会发现,仅仅有目标文件是不够的。我们在连接程序时,不仅仅要用到目标文件,库文件也是必不可少的。    库文件是怎么样的结构呢?    其实,库文件的结构也很简单。它就是“一堆”目标文件的集合。把目标文件做成库以后,我们在使用目标文件中所实现的功能时,连接程序会自动在库文件里查找相应的目标文件,并使用
学习PE文件格式后编写的简单代码(C代码)
黑子工作室
07-17 1823
/* * 近日学习pe文件格式,写了一个简单的分析程序 * 个人网站:http://ggg82.126.com * 电子邮件:ggg82@163.com * QQ:358416653 * * 本程序在win2000+vc6平台编译通过 * 学习参考:看学论坛 */#include #include #include #include #incl
golang实现PE文件解析
最新发布
05-22
实现PE文件解析器的步骤如下: 1. 读取PE文件头,获取文件头信息。 2. 读取节表头,获取节表信息。 3. 读取导入表、导出表、重定位表等其他表,获取相关信息。 4. 解析每个节的数据,获取代码、数据等信息。 5....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值