一些PE文件操作的函数集合DLL库

最新推荐文章于 2024-04-15 17:21:44 发布
最新推荐文章于 2024-04-15 17:21:44 发布
阅读量1k 收藏 1
点赞数
分类专栏: 程序编年史
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokint3/article/details/8188845
版权
这篇博客汇总了作者在程序中经常使用的PE相关函数,并整合到一个DLL库中,便于日后开发时调用。
摘要由CSDN通过智能技术生成

把前面一些程序中用到的PE相关函数集合在一个DLL中方便使用

#ifndef PE32_K_H
#define PE32_K_H

#ifdef __cplusplus
#define EXPORT extern "C" __declspec (dllexport)
#else
#define EXPORT __declspec (dllexport)
#endif

//指定
#define ADD_LAST_SECTION 1	//添加代码到最后一个区段	
#define ADD_NEW_SECTION  2  //添加代码到一个新建的区段
#define ADD_PE_HEADER	 3  //添加代码到PE头部



//重置,重置后可继续用文件初始化此DLL
EXPORT BOOL _stdcall Reset(TCHAR szFileName[]);


//使用函数前必须调用此函数初始化
//参数---szFileName:文件名
EXPORT BOOL _stdcall InitPE32(TCHAR szFileName[]);


//取得原文件数据指针,只读属性
EXPORT CONST PBYTE _stdcall GetFileBuffer();


//取得文件名
EXPORT CONST PTCHAR _stdcall GetFileName();


//添加代码到目标文件
//参数---szNewFile:添加代码后新文件的名字	lpCOdeStart:指向代码起始处	
//		 dwCodeSize:添加代码的大小			dwTypeOfAdd:添加方法类型
EXPORT BOOL _stdcall AddCode(TCHAR szNewFile[], PBYTE lpCodeStart, DWORD dwCodeSize, DWORD dwTypeOfAdd);


//获得目标文件的CRC32校验值
EXPORT DWORD _stdcall GetCRC32(TCHAR szFileName[] );


//检测是否为PE文件
//参数---szFileName:文件名
EXPORT BOOL _stdcall IsPeFile(TCHAR szFileName[]);


//将RVA偏移转换成文件偏移,失败返回-1
EXPORT DWORD _stdcall RvaToOffset (IMAGE_DOS_HEADER *lpFileHead, DWORD dwRva);


//将RVA偏移转成文件指针偏移,失败返回NULL
EXPORT PBYTE _stdcall RvaToPointer(IMAGE_DOS_HEADER *lpFileHead,DWORD dwRva);


//将虚拟地址转成文件指针偏移,失败返回NULL
EXPORT PBYTE _stdcall VirtualAddressToPointer(IMAGE_DOS_HEADER *lpFileHead,DWORD dwVirtualAddress);


//获得RVA偏移处的节区名称,失败返回NULL
EXPORT CONST PBYTE _stdcall GetRvaSection (IMAGE_DOS_HEADER *lpFileHead, DWORD dwRva);


//获得指定RVA所处节区的节表头,失败返回NULL
EXPORT PIMAGE_SECTION_HEADER _stdcall GetSectionOfRva (IMAGE_DOS_HEADER *lpFileHead, char* secName);


//文件偏移转换成RVA,失败返回-1
EXPORT DWORD _stdcall OffsetToRVA(IMAGE_DOS_HEADER *lpFileHead, DWORD dwOffset);


//文件偏移转换成内存指针,失败返回NULL
EXPORT PBYTE _stdcall OffsetToPointer(IMAGE_DOS_HEADER *lpFileHead, DWORD dwOffset);


//提取图标数据,参数指定文件名
EXPORT BOOL _stdcall GetIcon (TCHAR	szIconFileName[]);

#endif


 

#include <windows.h>
#include "PE32_K.H"


TCHAR		g_szFileName[MAX_PATH] = { 0 };
HINSTANCE	g_hInstDll	= NULL;		//DLL模块句柄
PBYTE		g_lpBuffer	= NULL;		//存储文件数据
DWORD		g_dwFileSize= 0;		//文件数据大小
PBYTE		g_lpNewFile = NULL;		//存储添加代码后的数据
BOOL		PE	= FALSE;  //指示是否是PE文件


void _stdcall DllClean();

///

BOOL WINAPI DllMain(HINSTANCE hInstDll, DWORD fdwReason, PVOID fImpLoad) {

   switch (fdwReason) {

      case DLL_PROCESS_ATTACH:
         // DLL is attaching to the address space of the current process.
         g_hInstDll = hInstDll;
         break;

      case DLL_THREAD_ATTACH:
         // A new thread is being created in the current process.
         break;

      case DLL_THREAD_DETACH:
         // A thread is exiting cleanly.
         break;

      case DLL_PROCESS_DETACH:
         // The calling process is detaching the DLL from its address space.
         DllClean();
		 break;
   }
   return(TRUE);
}

///



///将RVA偏移转换成文件偏移,失败返回-1

DWORD _stdcall RvaToOffset (IMAGE_DOS_HEADER *lpFileHead, DWORD dwRva)
{
	::IMAGE_NT_HEADERS		*lpPEHead;
	::IMAGE_SECTION_HEADER	*lpSectionHead;
	DWORD i;
	lpPEHead		= (IMAGE_NT_HEADERS*)( (BYTE*)lpFileHead + lpFileHead->e_lfanew);
	i	= lpPEHead->FileHeader.NumberOfSections;
	lpSectionHead	= (IMAGE_SECTION_HEADER*)(++lpPEHead); 
	for ( ; i > 0 ; i--, lpSectionHead++)
	{
		if ( (dwRva >= lpSectionHead->VirtualAddress) && (dwRva < (lpSectionHead->VirtualAddress + lpSectionHead->SizeOfRawData) ) )
		{
			dwRva	= dwRva - lpSectionHead->VirtualAddress + lpSectionHead->PointerToRawData;
			return dwRva;
		}
	}
	return -1;
}





将RVA偏移转成文件指针偏移,失败返回NULL

PBYTE _stdcall RvaToPointer(IMAGE_DOS_HEADER *lpFileHead,DWORD dwRva)
{
	DWORD	Offset	= RvaToOffset(lpFileHead, dwRva);
	if(Offset == -1)
		return NULL;
	return	(PBYTE)(lpFileHead) + Offset;
}





将虚拟地址转成文件指针偏移,失败返回NULL

PBYTE _stdcall VirtualAddressToPointer(IMAGE_DOS_HEADER *lpFileHead,DWORD dwVirtualAddress)
{
	::IMAGE_NT_HEADERS		*lpPEHead;
	lpPEHead		= (IMAGE_NT_HEADERS*)( (BYTE*)lpFileHead + lpFileHead->e_lfanew);
	
	return (PBYTE)RvaToPointer(lpFileHead, dwVirtualAddress - lpPEHead->OptionalHeader.ImageBase);
}





获得RVA偏移处的节区名称

CONST PBYTE _stdcall GetRvaSection (IMAGE_DOS_HEADER *lpFileHead, DWORD dwRva)
{
	IMAGE_NT_HEADERS		*lpPEHead;
	IMAGE_SECTION_HEADER	*lpSectionHead;
	DWORD i;
	lpPEHead		= (IMAGE_NT_HEADERS*)( (BYTE*)lpFileHead + lpFileHead->e_lfanew);
	i	= lpPEHead->FileHeader.NumberOfSections;
	lpSectionHead	= (IMAGE_SECTION_HEADER*)(++lpPEHead); 
	for ( ; i > 0 ; i--, lpSectionHead++)
	{
		if ( (dwRva >= lpSectionHead->VirtualAddress) && (dwRva < (lpSectionHead->VirtualAddress + lpSectionHead->SizeOfRawData) ) )
		{
			return (PBYTE)lpSectionHead;
		}
	}
	return NULL;
}





///获得指定RVA所处节区的节表头,失败返回NULL/

PIMAGE_SECTION_HEADER _stdcall GetSectionOfRva (IMAGE_DOS_HEADER *lpFileHead, char* secName)
{
	::PIMAGE_NT_HEADERS lpNtHead		= (PIMAGE_NT_HEADERS)( (BYTE*)lpFileHead + lpFileHead->e_lfanew);
	DWORD dwSec = lpNtHead->FileHeader.NumberOfSections;
	IMAGE_SECTION_HEADER* lpSection	= (PIMAGE_SECTION_HEADER) (lpNtHead + 1);
	
	for (DWORD i=0; i < dwSec; i++)
	{
		if(!strncmp((char*)lpSection->Name, secName, IMAGE_SIZEOF_SHORT_NAME) )
			return lpSection;
		lpSection++;
	}
	return NULL;
}





文件偏移转换成RVA///

DWORD _stdcall OffsetToRVA(IMAGE_DOS_HEADER *lpFileHead, DWORD dwOffset)
{
	::IMAGE_NT_HEADERS		*lpPEHead;
	::IMAGE_SECTION_HEADER	*lpSectionHead;
	DWORD i;
	lpPEHead		= (IMAGE_NT_HEADERS*)( (BYTE*)lpFileHead + lpFileHead->e_lfanew);
	i	= lpPEHead->FileHeader.NumberOfSections;
	lpSectionHead	= (IMAGE_SECTION_HEADER*)(++lpPEHead); 

	for ( ; i > 0; i--, lpSectionHead++)
	{
		if ( (dwOffset >= lpSectionHead->PointerToRawData) && (dwOffset < (lpSectionHead->PointerToRawData + lpSectionHead->SizeOfRawData) ) )
		{
			dwOffset	= dwOffset - lpSectionHead->PointerToRawData + lpSectionHead->VirtualAddress;
			return dwOffset;
		}
	}
	return -1;
}





文件偏移转换成内存指针///

PBYTE _stdcall OffsetToPointer(IMAGE_DOS_HEADER *lpFileHead, DWORD dwOff
最低0.47元/天 解锁文章
stackoverlow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
秦万强PE文件学习笔记.pdf
06-06
5. 节(块):节是PE文件中的代码和数据的集合,每个节都有自己的名称、大小和位置信息。节可以被合并,合并操作是基于节的对齐值进行的。节的偏移地址可以通过RVA(Relative Virtual Address)和文件偏移地址来进行...
探索创新科技: Unicorn_PE - 跨平台PE文件解析
gitblog_00010的博客
04-13 284
探索创新科技: Unicorn_PE - 跨平台PE文件解析 项目地址:https://gitcode.com/hzqst/unicorn_pe 项目简介 Unicorn_PE 是一个开源项目,其源代码托管在GitCode,由开发者 Hzqst 创建。它是一个用于跨平台解析Microsoft Windows可执行文件(.exe, .dll)格式的,基于著名的 Unicorn 模拟器引擎。此项目...
PE文件基础
weixin_34241036的博客
07-03 218
参考项目:https://code.google.com/p/portable-executable-library/ 1. RVA与VA,File Offset 参考:http://www.pediy.com/kssd/pediy10/61737.html VA是内存中的真实的虚拟地址值; RVA是VA相对于ImageBase的相对偏移; 而File Offset就是在PE映像文件中相对于文件开...
改造PE中的函数为导出函数
SmileMoon's Home
10-19 358
1、前言:为什么要这么做     很多时候,我们发现一个PE(EXE或DLL)中非常有用且功能独立的函数(call xxxxxxxx),并且已经知道了这个函数的各个入口参数的类型和具体含义,我们想在其他的软件中使用这个函数。于是,我想到了将这个PE中的函数改成一个导出函数,这样,我们就可以在任何软件中通过“LoadLibrary("ThisPE.EXE")”等API来使用这个函数了。 2、技术基础...
PE文件添加函数教程
最新发布
m0_62574258的博客
04-15 1036
修改HelloPE.exe,添加user32.dll的另一个函数MessageBoxExA,并测试。如何构造HelloPE.exe可以看我上次发的博客主要思路:添加一个user32.dll的MessageBoxExA函数,运行程序后会先后弹出两个窗口,首先需要明白需要修改哪些部分1、.text需要修改,因为要添加函数,就要加添加push和参数2、.rdata段需要重新修改导入表和导入函数地址,是最难的部分3、.data段需要为新加的弹出窗口设置标题和内容。
PE文件结构详解 --(完整版)
freeking101的博客
11-02 3万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
可执行文件数据转换支持
07-24
这样的通常包含了各种工具和函数,用于处理不同格式的可执行文件,确保它们能够在不同的环境中正确运行或者进行数据迁移。下面我们将深入探讨这个主题。 首先,可执行文件(Executable Files)是计算机程序的一种...
dll-exports:DLL函数导出的集合转发给DLL导出函数代理
04-16
DLL函数导出的集合转发给DLL导出函数代理。 典型的用例是用于持久性目的的后门应用程序。 例如: 使用procmon检查您想要后门的目标应用程序,查看它通过静态IAT加载了哪些DLL。 您可以清楚地看到这一点,因为应用...
通过PE方式从Exe或DLL获取图标
04-11
标题“通过PE方式从Exe或DLL获取图标”涉及的技术是基于Windows的Portable Executable (PE) 文件格式,这是一种用于存储可执行程序、动态链接和驱动程序等的文件格式。描述中的“PrivateExtractIcons”是Windows ...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
PE文件格式是Windows操作系统中用于执行程序和动态链接DLLs)的主要文件格式。下面将详细讨论PE文件结构、相关工具及其源码分析。 1. **PE文件结构**: - **DOS头**:在PE文件的最开始,有一个小的DOS头,其...
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态呢?这就涉及到PE文件结构了。 PE文件的...
PE工具函数(新)
hambaga的博客
07-14 783
编译环境:32位 多字节字符集 PE.hpp #ifndef PE_HPP_ #define PE_HPP_ /******************************************************************************** 时间:2020年7月14日 作者:hambaga 说明:重新整理的PE工具函数,仅适用于32位程序 ********************************************************************
PE文件代码段特征码扫描 以及进程代码段扫描
xiaobai_2511的博客
03-16 3376
好久没写博客了  今天好累  休息一下 想起来写个博客  (未加壳文件) 最近在做PE文件的特征码扫描   刚开始的时候一头雾水  因为对PE文件的格式不是很了解   之前虽然看过一些PE文件的帖子 但是都是看不下去  现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解  方法和代码 1、PE文件特征码扫描   a). 读文件  判断是否是PE格式的文件文件文件的开始
PE文件结构与函数导出表——详解与实例
typ2004的专栏
03-13 4900
随着windows系统从Xp升级到Win7、Win8, 从32位升级到64位,PE文件结构在整体未变的情况下发生了一些小的变动,一方面是推荐的程序装载地址未采用,另一方面,导出函数序号不再是简单的升序,而是一定程度上的进行了乱序。本文首先对PE文件结构进行了详尽的解说,接着介绍了如何得出函数导出表,整个过程采用SysWoW64目录下的wininet.dll实例进行说明。在介绍过程中,明确指出了Win7、Win8等新系统相对Xp带来的区别。
matlab pe函数,Matlab怎么定义函数
weixin_30183847的博客
03-19 377
1、首先建立M文件或直接点击(File/New/Function)建立函数文件,其中函数文件的格式是:function [输出变量]= 函数名称(输入变量)% 注释% 函数体2、如下所示,是编写的一个求1到n之和的求和函数eg_sum,按照上述格式,编写代码如下并保存文件,注意文件命名时不能以数字开头:function [s]= eg_sum( n )% calculate the sum of ...
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
PE文件信息查询及图标提取
无题
11-04 2854
//resource.h //{{NO_DEPENDENCIES}} // Microsoft Visual C++ generated include file. // Used by PE.rc // #define IDD_DIALOG 101 #define IDR_MENU1 102
从内存资源中加载DLL:CMemLoadDll源码整理
tianshi_1988的专栏
04-22 4289
文件 /*****MemLoadDll.h*****/ #if !defined(Q_OS_LINUX) #pragma once typedef BOOL (__stdcall *ProcDllMain)(HINSTANCE, DWORD, LPVOID ); class CMemLoadDll { public: CMemLoadDll(); ~CMemLoad
C/C++文件操作详解:函数使用与示例
该资源是关于C/C++中文件操作的详细介绍,涵盖了基于C和C++标准文件操作函数,以及WINAPI和BCB文件操作方法,还特别提到了特殊文件操作。其中,重点讲解了C语言中的文件操作,包括文件打开、关闭、读写、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值