C语言编程获取PE文件Option_Header

最新推荐文章于 2022-04-08 11:07:43 发布
最新推荐文章于 2022-04-08 11:07:43 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: VC++ 文章标签: pe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingkongtianyuzhao/article/details/50625958
版权 
#include <windows.h>
#include <stdio.h>
#include <tchar.h>


void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY);
void viewOptionalHeaderSubsystem(WORD);

int _tmain(int argc, TCHAR *argv[])
{
	PIMAGE_DOS_HEADER pImageDosHeader;
	PIMAGE_NT_HEADERS pImageNtHeader;
	PIMAGE_OPTIONAL_HEADER pImageOptionalHeader;
	PIMAGE_DATA_DIRECTORY pImageDataDirectory;
	HANDLE hFile;
	HANDLE hMapObject;
	PUCHAR uFileMap;
	if(argc<2)
		return -1;
	if(!(hFile=CreateFile(argv[1],GENERIC_READ,0,NULL,OPEN_EXISTING,0,0)))
		return -1;
	if(!(hMapObject=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL)))
		return -1;
	if(!(uFileMap=MapViewOfFile(hMapObject,FILE_MAP_READ,0,0,0)))
		return -1;
	pImageDosHeader=(PIMAGE_DOS_HEADER)uFileMap;
	if (pImageDosHeader->e_magic !=IMAGE_DOS_SIGNATURE)
		return -1;
	pImageNtHeader=(PIMAGE_NT_HEADERS)((PUCHAR) uFileMap+pImageDosHeader->e_lfanew);
	if(pImageNtHeader->Signature!=IMAGE_NT_SIGNATURE)
		return -1;
	pImageOptionalHeader=(PIMAGE_OPTIONAL_HEADER) &(pImageNtHeader->OptionalHeader);
	printf("Magic:                        0x%04x",pImageOptionalHeader->Magic);
	((pImageOptionalHeader->Magic == IMAGE_NT_OPTIONAL_HDR_MAGIC) 
		? printf(" (HDR32)\n")
		: printf(" (HDR64)\n"));
	printf("MajorLinkerVersion:           0x%02x\n", pImageOptionalHeader->MajorLinkerVersion);
	printf("MinorLinkerVersion:           0x%02x\n", pImageOptionalHeader->MinorLinkerVersion);
	printf("SizeOfCode:                   0x%08x\n", pImageOptionalHeader->SizeOfCode);
	printf("SizeOfInitializedData:        0x%08x\n", pImageOptionalHeader->SizeOfInitializedData);
	printf("SizeOfUninitializedData:      0x%08x\n", pImageOptionalHeader->SizeOfUninitializedData);
	printf("AddressOfEntryPoint:          0x%08x\n", pImageOptionalHeader->AddressOfEntryPoint);
	printf("BaseOfCode:                   0x%08x\n", pImageOptionalHeader->BaseOfCode);
	printf("BaseOfData:                   0x%08x\n", pImageOptionalHeader->BaseOfData);
	printf("ImageBase:                    0x%08x\n", pImageOptionalHeader->ImageBase);
	printf("SectionAlignment:             0x%08x\n", pImageOptionalHeader->SectionAlignment);
	printf("FileAlignment:                0x%08x\n", pImageOptionalHeader->FileAlignment);
	printf("MajorOperatingSystemVersion:  0x%04x\n", pImageOptionalHeader->MajorOperatingSystemVersion);
	printf("MinorOperatingSystemVersion:  0x%04x\n", pImageOptionalHeader->MinorOperatingSystemVersion);
	printf("MajorImageVersion:            0x%04x\n", pImageOptionalHeader->MajorImageVersion);
	printf("MinorImageVersion:            0x%04x\n", pImageOptionalHeader->MinorImageVersion);
	printf("MajorSubsystemVersion:        0x%04x\n", pImageOptionalHeader->MajorSubsystemVersion);
	printf("MinorSubsystemVersion:        0x%04x\n", pImageOptionalHeader->MinorSubsystemVersion);
	printf("SizeOfImage:                  0x%08x\n", pImageOptionalHeader->SizeOfImage);
	printf("SizeOfHeaders:                0x%08x\n", pImageOptionalHeader->SizeOfHeaders);
	printf("CheckSum:                     0x%08x\n", pImageOptionalHeader->CheckSum);
	printf("Subsystem:                    0x%04x", pImageOptionalHeader->Subsystem);
	viewOptionalHeaderSubsystem(pImageOptionalHeader->Subsystem);
	printf("DllCharacteristics:           0x%08x\n", pImageOptionalHeader->DllCharacteristics);
	printf("SizeOfStackReserve:           0x%08x\n", pImageOptionalHeader->SizeOfStackReserve);
	printf("SizeOfStackCommit:            0x%08x\n", pImageOptionalHeader->SizeOfStackCommit);
	printf("SizeOfHeapReserve:            0x%08x\n", pImageOptionalHeader->SizeOfHeapReserve);
	printf("SizeOfHeapCommit:             0x%08x\n", pImageOptionalHeader->SizeOfHeapCommit);
	printf("LoaderFlags:                  0x%08x\n", pImageOptionalHeader->LoaderFlags);
	printf("NumberOfRvaAndSizes:          0x%08x\n", pImageOptionalHeader->NumberOfRvaAndSizes);
	viewOptionalHeaderDirectoryEntries(pImageOptionalHeader->DataDirectory);  
	UnmapViewOfFile(uFileMap);
	CloseHandle(hMapObject);
	CloseHandle(hFile);
	return (0);
}

void	viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY pImageDataDirectory)
{
	char	*DirectoryNames[] = {
		"EXPORT        ",
		"IMPORT        ",
		"RESOURCE      ", 
		"EXCEPTION     ",
		"SECURITY      ",     
		"BASERELOC     ",    
		"DEBUG         ",         
		"ARCHITECTURE  ",  
		"GLOBALPTR     ",     
		"TLS           ",           
		"LOAD_CONFIG   ",   
		"BOUND_IMPORT  ",  
		"IAT           ",           
		"IMPORT        ",  
		"COM_DESCRIPTOR",
		"?             ",
		"?             "
	};
	DWORD	dwCount;

	printf("\nDIRECTORY ENTRIES   VirtualAddress    Size\n");
	for (dwCount = 0; dwCount < 16; dwCount++) {
		if (pImageDataDirectory[dwCount].Size)
			printf("   %s   0x%08x  0x%08x\n", DirectoryNames[dwCount], 
			pImageDataDirectory[dwCount].VirtualAddress, 
			pImageDataDirectory[dwCount].Size);
	}
}

void	viewOptionalHeaderSubsystem(WORD Subsystem)
{
	char	*Subsystems[] = {
		"UNKNOWN",
		"NATIVE",
		"WINDOWS_GUI",
		"WINDOWS_CUI",
		"?",  
		"OS2_CUI",
		"?",  
		"POSIX_CUI"
		"NATIVE_WINDOWS",    
		"WINDOWS_CE_GUI",      
		"EFI_APPLICATION",     
		"EFI_BOOT_SERVICE_DRIVER",    
		"EFI_RUNTIME_DRIVER",   
		"EFI_ROM",              
		"XBOX",                
		"?",  
		"WINDOWS_BOOT_APPLICATION",
	};

	printf(" (%s)\n", Subsystems[Subsystem]);
}

星空你好
关注
专栏目录
一位大佬对于 Qt 学习的最全总结(三万字干货)
编程与实战的博客
01-21 1万+
击上方“C语言与CPP编程”,选择“关注/置顶/星标公众号”干货福利,第一时间送达!分享一位大佬 Github 上关于 Qt 学习的总结。作者无私分享了一百多个自定义控件以及几本 Qt 的...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1534
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1942
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
iczelion pe tutcn4
jimgreen的专栏
08-29 808
 PE教程4: Optional Header我们已经学习了关于 DOS headerPE header 中部分成员的知识。这里是 PE header 中最后、最大或许也是最重要的成员,optional header。回顾一下,optional header 结构是 IMAGE_NT_HEADERS 中的最后成员。包含了PE文件的逻辑分布信息。该结构共有31个域,一些是很关键,另
Option PE header
2514804004的博客
04-08 2942
可选PE头file header Characteristicsoption PE code file header Characteristics PE文件解析官方文档 option PE code pe文档 //可选PE头 IMAGE_OPTIONAL_HEADER32 STRUCT{ WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) 010B BYTE MajorLinkerVersion; /
控制台程序,打印pe头信息
weixin_33769125的博客
06-22 303
#include "stdafx.h"#include <stdio.h>#include <string.h>#include <iostream.h>#include <math.h>#include <stdlib.h>#define DWORD unsigned long#define LPVOID void...
c语言打印pe文件头,C语言编程获取PE文件Option_Header
weixin_28785069的博客
05-24 222
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY);void viewOptionalHeaderSubsystem(WORD);int _tmain(int argc, TCHAR *argv[]){PIMAGE_DOS_HEADER pImageDosHeader;P...
基于VC++实现PE的修改编程
尹成的技术博客
05-11 4557
在Windows系统下的可执行文件的一种(还有NE、LE),是微软设计、TIS(Tool Interface Standard,工具接口标准)委员会批准的一种可执行文件格式。PE的意思是Portable Executable(可移植可执行)。所有Windows下的32位或64位可执行文件都是PE文件格式,其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。 DOS-stub(DOS-头
代码节空白区添加代码(手动)(含C练习代码)【基础函数的实现的源代码在这里面】
lygl35的博客
06-24 1212
7559ED60 > 8BFF mov edi,edi ; HelloWor.
网络安全学习第4篇-使用特征码和MD5对勒索病毒进行专杀,并对加密文件进行解密
一清道长的个人博客
04-03 2693
请使用IDA或其它分析工具分析本次的样本文件,写一个简要的行为分析报告,并编写一个针对于这次样本的专杀(恢复)程序。 要求: 1、样本分析只要说明主要行为即可。提示:sub_401320主要用于文件加密操作;sub_401470主要用于查找docx文件;sub_4017D0主要用于创建自删除脚本文件;sub_4019B0主要用于创建readme说明文件。 2、专杀工具需要能够识别本次的样本文...
PE文件格式分析源码(C)
02-20
使用C语言分析Windows的PE文件格式源码, 函数封装在pe/pe.h中,PE File.c是一个简单的测试代码
PE文件解析器的原理(C语言代码)
01-16
C语言实现对PE文件解析器的编写,只用到了几个的win32API函数,只保留框架
PE文件之IMAGE_OPTIONAL_HEADER
jiangqin115的专栏
03-30 726
可选头位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选头的大小由文件头中倒数第二个成员指定。可选头中重要的数据成员有:第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0x004000...
4.PE文件之扩展PE头(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5757
可选/扩展PE头IMAGE_OPTIONAL_HEADER,它有着比标准PE头(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
c语言程序分析工具,C语言编写控制台下PE分析工具(一)
weixin_39754398的博客
05-18 296
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。typedef struct _MAP_FILE_STRUCT{HANDLE hFile; //文件句柄HANDLE hMapping;//映射文件句柄LPVOID ImageBase;//映像基址} MAP_FILE_STRUCT, *PMAP_FILE_STRUCT;一、加载要打开的文件采用内存映射的方式将文件加载到内存...
C语言编写控制台下PE分析工具(一)
CHkylin的博客
08-25 3679
定义一个struct _MAP_FILE_STRUCT结构来存放相关信息。 typedef struct _MAP_FILE_STRUCT { HANDLE hFile; //文件句柄 HANDLE hMapping; //映射文件句柄 LPVOID ImageBase; //映像基址 } MAP_FILE_STRUCT, *PMAP_FILE_STRUCT; 一、加
C语言编写控制台下PE分析工具(二)
CHkylin的博客
08-26 1173
C语言编写PE格式分析工具
C实现PE结构解析
weixin_44644249的博客
12-11 626
C实现PE结构解析 其实就是照着PE结构图抄过来,定义结构体,用结构体指针访问,挨个打印出来。 这里随便用了个if_else的win32控制台程序。只写了DOS头、标准头、节表,可选头的结构还没写完,先放着,写完了再更新。 代码: #include <stdio.h> #include<stdlib.h> #define _CRT_SECURE_NO_WARNINGS char filepath[] = "D:\\if_else.exe"; typedef char byte; ty
C语言编写控制台下PE分析工具(三)
CHkylin的博客
08-26 1230
七、获取输出表信息 1、获取数据目录中元素的入口 LPVOID GetDirectoryEntryToData(LPVOID ImageBase, USHORT DirectoryEntry) { DWORD dwDataStartRVA; PIMAGE_NT_HEADERS pNtH = nullptr; PIMAGE_OPTIONAL_HEADER pOH = nullptr;
C语言解析PE文件获取Sections信息教程
程序定义了一个指向`IMAGE_DOS_HEADER`结构的指针`myDosHeader`,这是PE文件的起始结构,它包含了指向NT头的偏移量`e_lfanew`。 接下来,程序打开指定路径的PE文件,并读取`DOS头`到`myDosHeader`。然后,根据`e_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值