PE文件格式详解(一)

最新推荐文章于 2024-06-03 21:10:17 发布
最新推荐文章于 2024-06-03 21:10:17 发布
阅读量3.5k 收藏 5
点赞数 2
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhao0811112157/article/details/42177263
版权

在本文中, 我并不打算大讲特讲PE文件的构成是什么,每个字段是什么意思, 这些资料可以说在网上是浩瀚如海,到处都是的, 用google一搜, 打开一看, 基本讲解的都是大同小异。 由于pe文件的结构比较庞大, 结构中套结构, 有的结构多达30多个字段, 光看这些字段都让人够晕的, 在加上有的字段是一个32位的DWORD值, 而每一位都有其特殊的含义,这样, 光把每个字段的含义看一遍过来, 估计也得2个小时。 而实际上, 这里面很多字段, 我们都不需要去了解, 也不需要去关注, 掌握那些关键字段就行了,所以如果大家有那个字段不懂的,可以上网搜一下。这次讲一下是否PE格式文件的判断。

(这个图我是从鱼C论坛转的)。

首先要明确PE文件格式的特征是什么,这样我们才能根据这个特征来判断是否是PE文件。PE文件的格式如上图所示,那么我们怎么判断呢?PE文件有DOS文件头和PE文件头,在DOS文件头前两个字节是“MZ",PE文件头的前4个字节是“PE”,所以我们可以根据这个特征来进行判断,我们怎么找到“MZ”和“PE”位置呢,PIMAGE_DOS_HEADER的e_magic字段表示“MZ”,PIMAGE_DOS_HEADER的e_lfanew表示PE头相对于文件的偏移。(我用的VS2012编译环境)

代码如下:

/************************************************************************/
/* 
功能:判断是否是PE文件。
参数:指向存放文件数据内存首地址
返回:TRUE ;是PE文件
	  FALSE:不是PE文件
*/
/************************************************************************/
BOOL IsPEFile(LPVOID lpFileBuf)
{
	//获取DOS头并判断"MZ"标志
	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpFileBuf;	
	//e_magic exe标志 "MZ"
	if (IMAGE_DOS_SIGNATURE != pDos->e_magic)
		return FALSE;

	//获取PE头,并判断"PE\0\0"标志
	//e_lfanew PE头相对于文件的偏移地址
	size_t  stPEHeadAddr = (size_t)lpFileBuf + pDos->e_lfanew;
	PIMAGE_NT_HEADERS32 pNT = (PIMAGE_NT_HEADERS32)stPEHeadAddr;
	if (IMAGE_NT_SIGNATURE != pNT->Signature)
	{
		return FALSE;
	}
	return TRUE;
}


int _tmain(int argc, _TCHAR* argv[])
{

	//文件句柄
	HANDLE hFile = INVALID_HANDLE_VALUE;
	//文件路径
	LPCTSTR strInPath = _T("G:\\15pb培训课后作业\\01 VMView\\Debug\\VMView.exe");
	DWORD  dwSize = 0;
	PVOID  lpFillBuf = NULL;

	STARTUPINFO si = {0};
	GetStartupInfo(&si);
	PROCESS_INFORMATION pi = {0};
	if (!CreateProcess(											/* 创建调试线程 */
		strInPath,	//可执行模块路径
		NULL,													//命令行
		NULL,													//安全描述符
		NULL,													//线程属性是否可继承
		FALSE,													//否从调用进程处继承了句柄
		DEBUG_ONLY_THIS_PROCESS | CREATE_NEW_CONSOLE,			//以“只”调试的方式启动
		NULL,													//新进程的环境块
		NULL,													//新进程的当前工作路径(当前目录)
		&si,													//指定进程的主窗口特性
		&pi))													//接收新进程的识别信息
	{
		printf("CreateProcess Failed!\n");
	}

	//获取文件句柄
	if (INVALID_HANDLE_VALUE == (hFile = CreateFile(strInPath,	//文件路径
		GENERIC_READ,											//访问权限
		FILE_SHARE_READ,										//共享模式
		NULL,													//安全描述符
		OPEN_EXISTING,											//创建标志
		FILE_ATTRIBUTE_NORMAL,									//文件标志和属性
		NULL)))													//临时文件句柄
	{
		return 0;
	}
	//获取文件大小
	if (INVALID_FILE_SIZE == (dwSize = GetFileSize(hFile,NULL)))
	{
		CloseHandle(hFile);
		return  0;
	}
	//开辟一块内存用于存放文件数据
	if ( NULL == (lpFillBuf =VirtualAlloc(NULL,dwSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE)))
	{
		CloseHandle(hFile);
		return 0;
	}
	//把文件数据读取到内存中
	DWORD dwRet ;
	if (!ReadFile(hFile,lpFillBuf,dwSize,&dwRet,NULL))
	{
		CloseHandle(hFile);
		VirtualFree(lpFillBuf,0,MEM_RELEASE);
		return 0;
	}

	if (IsPEFile(lpFillBuf))
	{
		MessageBox(NULL,_T("该文件是PE文件"),_T("PE文件格式判断"),MB_OK);
	}
	else
	{
		MessageBox(NULL,_T("该文件不是PE文件"),_T("PE文件格式判断"),MB_OK);
	}
	VirtualFree(lpFillBuf,0,MEM_RELEASE);
	CloseHandle(hFile);
	_tsystem(_T("pause"));
	return 0;
}

通过以上就可以进行判断了。

下面是一个可执行文件的二进制截图,我把IMAGE_DOS_HEADER.e_magic,IMAGE_DOS_HEADER.e_lfanew和IMAGE_NT_HEADER.Signature标记出来了。



010Hack
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式详解
音视频图形编程学习乐园
09-01 1597
本文描述了Windows系统的PE文件格式
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5667
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
PE文件格式(一)
周星星的博客
10-18 8072
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件结构详解之头信息解析
meis27461的博客
06-03 883
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
PE文件格式详解(六)
weixin_30527323的博客
10-21 368
0x00 前言 前面两篇讲到了输出表的内容以及涉及如何在hexWorkShop中找到输出表及输入DLL,感觉有几个地方还是没有理解好,比如由数据目录表DataDirectory[16]找到输出表表后以为找到输入DLL就完了,其实这一流程的最终功能是通过输入DLL找到输入DLL调用的函数,这一步骤是通过输出表结构中的OriginalFristThunk或者OriginalFristThunk所...
最详细PE文件格式讲解(完结篇)
SXXYNHHXX的博客
02-07 1360
/ 未使用,总为0// 文件创建时间戳// 未使用,总为0// 未使用,总为0DWORD Name;// **重要 指向一个代表此 DLL名字的 ASCII字符串的 RVADWORD Base;// **重要 函数的起始序号// **重要 导出函数地址表的个数// **重要 以函数名字导出的函数个数// **重要 导出函数地址表RVA// **重要 导出函数名称表RVA// **重要 导出函数序号表RVA输出表(ExportTable)
PE文件格式全解读
凌阳的博客
06-08 4865
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件详解
wuwuliuliu0524的博客
12-14 1361
(1)MZ头:长度 40H,即4行乘16位,最前面的5A4D显示是MZ,是EXE标识,最后4个字节000000F0是el_fanew 字段,指向PE文件头地址,即PE文件头指向000000F0处。(2)PE文件头:PE标识往后20字节,PE文件头前2个字节014C是设备型号,之后2个字节0003是是节表数目,表示有3个节表。3、节表:每个节表40字节,节表数目在PE文件头中查看,总共是节表数目×40字节。(2)DOS存根:从MZ头到PE头之间的部分,显示提示字符。(3)PE可选文件头:PE文件头。
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 1539
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
21.1 使用PEfile分析PE文件
热门推荐
CSDN
08-10 1万+
PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具,用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口,使得用户可以通过`Python`脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
**Windows PE文件格式详解** Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统中的可执行文件格式,用于存储编译后的程序代码、数据和元数据。PE文件是Windows平台的核心组成部分,包括.exe...
PE文件解析类 PE文件解析类
06-08
PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件解析类PE文件...
windows PE文件格式详解
04-21
PE文件格式详解
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值