PE文件操作类

最新推荐文章于 2023-04-05 17:45:20 发布
最新推荐文章于 2023-04-05 17:45:20 发布
阅读量647 收藏
点赞数
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ylCplus/article/details/53513612
版权

以前看雪发的老贴,挪一波。。。

代码:

//PeReadWrite.h 文件
#pragma once
class PeReadWrite
{
private:
  HANDLE hFile;
  HANDLE hMapping;
  PVOID pBaseAddr;
public:

  //构造函数
  PeReadWrite();
  //加载文件
  bool loadFile(CString filePath);
  //返回载入的地址
  DWORD getBaseAddr();
  //判断是否是PE文件
  bool isPeFile();
  //获取DOS头
  IMAGE_DOS_HEADER *getDosHeader();
  //获取NT头
  IMAGE_NT_HEADERS *getNtHeader();
  //获取节表起始
  IMAGE_SECTION_HEADER *getSectionStart();
  //获取导入表
  IMAGE_IMPORT_DESCRIPTOR *getImport();
  //获取导出表
  IMAGE_EXPORT_DIRECTORY *getExport();
  //获取重定位
  IMAGE_BASE_RELOCATION *getReLocation();
  //获取资源
  IMAGE_RESOURCE_DIRECTORY *getResource();
  //计算RvaToVa
  DWORD RvaToVa(DWORD rva);
  //关闭一系列操作
  void UnFile();
};

cpp文件
代码:

//PeReadWrite.cpp 文件
#include "stdafx.h"
#include "PeReadWrite.h"
#include "windows.h"


//默认构造函数
PeReadWrite::PeReadWrite(){}

bool PeReadWrite::loadFile(CString filePath){
  hFile = CreateFile(filePath, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, 0, OPEN_EXISTING, FILE_FLAG_SEQUENTIAL_SCAN, 0);
  if (hFile == INVALID_HANDLE_VALUE)
  {
    return FALSE;
  }
    //创建内存映射文件  
  if (!(hMapping = CreateFileMapping(hFile, 0, PAGE_READWRITE | SEC_COMMIT, 0, 0, 0)))
  {
    CloseHandle(hFile);
    return FALSE;
  }
  //把文件映像存入pBaseAddr  
  if (!(pBaseAddr = MapViewOfFile(hMapping, FILE_MAP_READ|FILE_MAP_WRITE, 0, 0, 0)))
  {
    CloseHandle(hMapping);
    CloseHandle(hFile);
    return FALSE;
  }
  return TRUE;
}
//返回载入地址
DWORD PeReadWrite::getBaseAddr(){
  return (DWORD)pBaseAddr;
}
//获取NT头
IMAGE_NT_HEADERS* PeReadWrite::getNtHeader(){
  IMAGE_DOS_HEADER* dosHead = (IMAGE_DOS_HEADER*)pBaseAddr;
  return (IMAGE_NT_HEADERS *)((DWORD)pBaseAddr + dosHead->e_lfanew);
}

//获取DOS头
IMAGE_DOS_HEADER* PeReadWrite::getDosHeader(){
  return (IMAGE_DOS_HEADER *)pBaseAddr;
}
//获取节表起始
IMAGE_SECTION_HEADER* PeReadWrite::getSectionStart(){
  return (IMAGE_SECTION_HEADER*)((DWORD)getNtHeader() + sizeof(IMAGE_NT_HEADERS));
}
//获取导入表
IMAGE_IMPORT_DESCRIPTOR* PeReadWrite::getImport(){
  DWORD importTable = RvaToVa(getNtHeader()->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
  return (IMAGE_IMPORT_DESCRIPTOR *)importTable;
}
//获取导出表
IMAGE_EXPORT_DIRECTORY* PeReadWrite::getExport(){
  DWORD exportTable = RvaToVa(getNtHeader()->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress);
  return (IMAGE_EXPORT_DIRECTORY*)exportTable;
}
//获取重定位
IMAGE_BASE_RELOCATION* PeReadWrite::getReLocation(){
  DWORD reLocation = RvaToVa(getNtHeader()->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
  return (IMAGE_BASE_RELOCATION*)reLocation;
}
//获取资源表
IMAGE_RESOURCE_DIRECTORY *PeReadWrite::getResource(){
  DWORD source = RvaToVa(getNtHeader()->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress);
  return (IMAGE_RESOURCE_DIRECTORY *)source;
}

//计算 RvaToVa
DWORD PeReadWrite::RvaToVa(DWORD rva){
  IMAGE_SECTION_HEADER *sectionHeader;
  int secNum = getNtHeader()->FileHeader.NumberOfSections;
  sectionHeader = getSectionStart();
  for (int i = 0; i<secNum; i++)
  {
    if ((sectionHeader->VirtualAddress <= rva)&& rva<(sectionHeader->VirtualAddress + sectionHeader->SizeOfRawData))
      return (rva - sectionHeader->VirtualAddress + sectionHeader->PointerToRawData) + (DWORD)pBaseAddr;
    sectionHeader++;
  }
  return 0;
}
//清除内存映射和关闭文件 
void PeReadWrite::UnFile(){

  if (pBaseAddr!=NULL)
  {
    UnmapViewOfFile(pBaseAddr);
  }
  if (hMapping!=NULL)
  {
    CloseHandle(hMapping);
  }
  if (hFile!=NULL)
  {
    CloseHandle(hFile);
  }


}
//验证是否是PE文件
bool PeReadWrite::isPeFile(){
  if (getDosHeader()->e_magic != IMAGE_DOS_SIGNATURE)
  {
    return FALSE;
  }
  if (getNtHeader()->Signature != IMAGE_NT_SIGNATURE)
  {
    return FALSE;
  }   
  return TRUE;
}
陈叔叔的酒
关注
专栏目录
PE文件操作-动态加载
yeshahayes的博客
08-14 1885
有时会有这样的需求,要把一个dll加载到进程空间或者对付地址空间随机化技术,这就需要自己实现一个PELoader。在PE文件中,许多数据在内存中的位置已经以RVA的形式在链接时给出,我们只需要根据节表的描述准确的按位置加载,大部分程序就可以正确运行了,但有几个型的数据还是需要loader来调整的: IAT 在PE文件中,调用静态链接的DLL例程一般都是以call ds:[xxxxxxxxh]的
PE文件操作的经典VC VC
weixin_34313182的博客
05-28 121
//1: pe.h 文件 /* ===== PE structures and types definition ===== */ #ifndef PE_H #define PE_H typedef struct { unsigned short cpuType; unsigned short numSections; unsigne...
2021-10-02PE文件学习
qq_45290991的博客
10-02 579
PE文件学习 推荐工具:lord PE、stud PEPE权威指南》,了解格式,看雪,吾爱破解 ,EXE是如何组成的,如何逆向一个EXE文件和安卓文件。 这些东西不能不知道 EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件 64位不过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。 PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。 而在这个“winnt.h”文件中的image format下就是系
minecraft PE Java版
12-27
minecraft PE Java版 minecraft PE 我的世界(携带版).jar
C++的PE文件操作
08-01
在C++中实现PE文件操作,通常会涉及以下步骤: 1. **打开文件**:使用`std::ifstream`打开PE文件,设置为二进制模式。 2. **读取头信息**:读取DOS头和NT头,确认文件是否为合法的PE文件。 3. **解析节区**:遍历...
PEChecksum计算PE文件校验和的工具
10-31
在Windows操作系统中,PE文件格式是可执行文件(如.exe和.dll)的标准结构。PEChecksum软件的主要功能是对这文件进行校验和计算,以确保文件的完整性和正确性。 PE文件结构是微软在Windows操作系统中引入的一种二...
易语言PE文件资源查看
08-22
PE文件是Windows操作系统中的可执行文件格式,包含了程序的代码、数据、资源等信息。资源部分包括图标、菜单、对话框、字符串等,是程序与用户交互的重要元素。易语言PE文件资源查看的实现,主要涉及以下几个方面: ...
TPE.rar_pe文件
09-24
标题 "TPE.rar_pe文件" 暗示我们关注的是与PE(Portable Executable)文件格式相关的编程项目,这是Windows操作系统中的可执行文件格式。描述中提到的"PE文件格式分析程序VC++"表明这是一个使用C++编程语言编写的...
PE文件信息查看
05-07
标题中的“PE文件信息查看”指的是Windows操作系统中的Portable Executable(PE文件格式。PE文件是Windows环境下可执行程序、动态链接库(DLL)和其他型模块的标准格式。它包含了代码、数据、资源以及运行时所需...
PE测序中read1与read2关系
最新发布
S_AGZX的博客
04-05 3274
PE测序;插入片段;
PE文件学习--Dos头部
KOOKNUT的博客
03-23 507
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3695
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
读取PE文件头的简单实现
dasgk的专栏
07-13 2934
// 读取PE文件头.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include #include using namespace std; int _tmain(int argc, _TCHAR* argv[]) { HANDLE hFile=CreateFile(L"D:\\project\\Proc_Url\\Debug\
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 7126
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
c++读取pe格式文件
云守护的专栏
01-09 3340
#include #include int main(int argc,char *argv[]) { FILE *fp; char filename[MAX_PATH]; IMAGE_DOS_HEADER DOS_header; //DOS头结构 IMAGE_NT_HEADERS nt_header; //PE头结构 IMAGE_SECTION_HEADER *ps
PE文件操作-末尾添加节
yeshahayes的博客
08-08 3235
有时候为了某些原因,需要在PE末尾添加节,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加节是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的节数目字段 修改OPTIONAL_HEADER中映像大小字段 在节描述符数组中添加新描述符 在文件末尾添加新节数据 首先找到文件最后一个节并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个节的结束:
C++ 获取 PE 文件的各种信息
LYSM
08-05 2416
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。 参考代码: #include "stdafx.h" #include <Windows.h> extern void DirectoryString(DWORD dwIndex); int _tmain(int argc, _TCHAR* argv[]) { //获...
Win32 PE文件详解:结构、内存映射与典型分
深入剖析PE文件 PE(Portable Executable)文件格式是Windows操作系统中Win32可执行文件的标准格式,它确保了程序在不同型的硬件和操作系统版本下的一致性。本文将详尽探讨PE文件的基本结构、内存映射以及相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值