pe_c++

最新推荐文章于 2022-07-11 10:24:39 发布
最新推荐文章于 2022-07-11 10:24:39 发布
阅读量413 收藏
点赞数
分类专栏: crack 文章标签: header null dos image byte delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zozoiiiiiiii/article/details/4586553
版权

 /**//**************************************************************************
*    文件名:        Main.cpp
*    日  期:        2009年1月13日
*    作  者:        rawdata
*    描  述:        增加3个节
       空间都用new,所以新生成的PE文件在新的内存区域
***************************************************************************/

#include <windows.h>
#include <windowsx.h>
#include <winnt.h>
#include <iostream>
using namespace std;

#pragma warning(disable:4312)
#pragma warning(disable:4311)
#pragma warning(disable:4244)

int main(int argc,char**argv)
{
    //------------------- 主要缓冲区定义 ----------------------
   
    BYTE* pDos = NULL;        //Dos头和Stub区
    DWORD dwSizeDos = 0;    //Dos头 大小
    DWORD dwSizeStub = 0;    //Dos Stub区大小

    BYTE* pNT = NULL;        //NT头
    DWORD dwSizeNT = 0;        //该区大小

    BYTE* pSecH = NULL;        //节表
    DWORD dwSizeSecH = 0;    //该区大小
    WORD dwSizeAdd = 3;        //增加的节的个数

    BYTE* pDelta = NULL;    //文件对齐填充数据
    DWORD dwSizeDelta = 0;    //该区大小

    BYTE* pPrevSec = NULL;    //节块
    DWORD dwSizePrevSec = 0;//该区大小

    BYTE* pAddSec = NULL;    //新增的节块
    DWORD dwSizeAddSec = 0;    //该区大小

    //---------------------- 其他临时定义 --------------------
   
    const char* pszFilePath = NULL;            //文件路径
    HANDLE hFile = NULL;                    //文件句柄

    PIMAGE_DOS_HEADER        pIDH = NULL;    //Dos头
    PIMAGE_NT_HEADERS        pINH = NULL;    //NT 头
    PIMAGE_SECTION_HEADER*    ppISH = NULL;    //节表

    DWORD dwRealRead = 0;                    //实际每次文件读取的字节数
    DWORD dwMiniPointer = 0;                //第一个section的位置
    BOOL bNeedModify = FALSE;                //是否有必要需要修改节块的文件指针

    DWORD dwRawDataSize = 10*1024;                //增加区段的数据大小

    DWORD dwTmp=0,dwTmp2=0,dwTmp3 = 0;
   
    //Dos 头
    //===============================================================================
    //打开文件、读取Dos头
 //===========================================================================
 //
 //typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header "MZ"
     //WORD   e_magic;                // Magic number
     //WORD   e_cblp;                 // Bytes on last page of file
     //WORD   e_cp;                   // Pages in file
     //WORD   e_crlc;                 // Relocations
     //WORD   e_cparhdr;              // Size of header in
                                   // paragraphs
     //WORD   e_minalloc;             // Minimum extra paragraphs
                                   // needed
     //WORD   e_maxalloc;             // Maximum extra paragraphs
                                   // needed
     //WORD   e_ss;                   // Initial (relative) SS
                                   // value
     //WORD   e_sp;                   // Initial SP value
     //WORD   e_csum;                 // Checksum
     //WORD   e_ip;                   // Initial IP value
     //WORD   e_cs;                   // Initial (relative) CS
                                   // value
     //WORD   e_lfarlc;               // File address of relocation
                                   // table
     //WORD   e_ovno;                 // Overlay number
     //WORD   e_res[4];               // Reserved words
     //WORD   e_oemid;                // OEM identifier
                                   // (for e_oeminfo)
     //WORD   e_oeminfo;              // OEM information;
                                   // e_oemid specific
     //WORD   e_res2[10];             // Reserved words
     //LONG   e_lfanew;               // File address of the new
                                   // exe header
   //} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
 //===============================================================================
 
    pszFilePath = argv[0];
    pszFilePath = "BeingInjued.exe";//Test

    cout<<"PE FileName:"<<pszFilePath<<endl;

    if(0 == lstrcmp(pszFilePath,""))
    {
        cout<<"文件路径不能为空!"<<endl;
        return -1;
    }

    hFile = CreateFile(pszFilePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,NULL);

    if(INVALID_HANDLE_VALUE == hFile)
    {
        cout<<"打开文件失败!"<<endl;
        hFile = NULL;
        goto Error;
    }

    dwSizeDos = sizeof(IMAGE_DOS_HEADER);//dos头大小
    pDos = new BYTE[dwSizeDos];  //Dos头和Stub区
    memset(pDos,0,dwSizeDos);  //initiate

    if(!ReadFile(hFile,pDos,dwSizeDos,&dwRealRead,NULL))
    {
        cout<<"读取Dos头失败!"<<endl;
        goto Error;
    }
    cout<<"Dos Header: "<<dwRealRead<<"bytes have read."<<endl;

    //获得IMAGE_DOS_HEADER指针,效验
    pIDH = (PIMAGE_DOS_HEADER)pDos;  //dos_header pointer: pIDH和pDos区别:一个是结构体指针,指向新开辟的结构;一个是字符指针,指向未知的内存空间
          //两个指针指向同一区域20090924
    if(memcmp(&(pIDH->e_magic),"MZ",2)!=0) //check dos header validate
    {
        cout<<"不是有效的PE文件格式!"<<endl;
        goto Error;
    }

    //DOS Stub
    //================================================================================
   
    dwSizeStub = pIDH->e_lfanew - dwSizeDos;
    pDos = (BYTE*)realloc(pDos,dwSizeDos + dwSizeStub);  //原先pDos指针指向的DOS头变成(DOS头+STUB)
    memset(pDos+dwSizeDos,0,dwSizeStub);   //initiate 0 of (dos+stub)
   
    if(!ReadFile(hFile,pDos+dwSizeDos,dwSizeStub,&dwRealRead,NULL))
    {
        cout<<"读取DosStub失败!"<<endl;
        goto Error;
    }
    cout<<"Dos Stub: "<<dwRealRead<<"bytes have read."<<endl;

    //NT Header
    //================================================================================
   
   

    dwSizeNT = sizeof(IMAGE_NT_HEADERS); //nt header size
    pNT = new BYTE[dwSizeNT];                  //nt pointer
    memset(pNT,0,dwSizeNT);
   
    if(!ReadFile(hFile,pNT,dwSizeNT,&dwRealRead,NULL))
    {
        cout<<"读取NT Headers失败!"<<endl;
        goto Error;
    }
   
    //获得NT指针
    pINH = (PIMAGE_NT_HEADERS)pNT;
    if(memcmp(&(pINH->Signature),"PE",2)!=0)
    {
        cout<<"错误的PE文件格式!"<<endl;
        goto Error;
    }
 //up is the judgement of pe file
 //============================================================================ 
    //节表
    //================================================================================
   
    dwSizeSecH = (pINH->FileHeader.NumberOfSections + dwSizeAdd) * sizeof(IMAGE_SECTION_HEADER); //每个节大小固定,原先节的个数+新增加的节个数       
    pSecH = new BYTE[dwSizeSecH]; //指向节表的字符指针
    memset(pSecH,0,pINH->FileHeader.NumberOfSections + dwSizeAdd);

    ppISH = (PIMAGE_SECTION_HEADER*)new DWORD[pINH->FileHeader.NumberOfSections + dwSizeAdd]; //指向节表的结构指针数组
    memset(ppISH,0,sizeof(DWORD)*(pINH->FileHeader.NumberOfSections + dwSizeAdd));

    for(UINT i=0;i<pINH->FileHeader.NumberOfSections;i++) //读取原先旧的节内容
    {
        if(!ReadFile(hFile,pSecH+i*sizeof(IMAGE_SECTION_HEADER),
            sizeof(IMAGE_SECTION_HEADER),&dwRealRead,NULL))
        {
            cout<<"读取Section Headers失败!"<<endl;
            goto Error;
        }
       
        ppISH[i] = (PIMAGE_SECTION_HEADER)(pSecH+i*sizeof(IMAGE_SECTION_HEADER));
        //ppISH[0]=pSecH
        //ppISH[1]=pSecH+sizeof(IMAGE_SECTION_HEADER)
        //ppISH[2]=pSecH+2*sizeof(IMAGE_SECTION_HEADER)
        //ppISH[3]=pSecH+3*sizeof(IMAGE_SECTION_HEADER)
        //发现程序中用到的指针都是指向头部,比如节表,ppISH, pSecH都是指向节表头部,不移动,
        //读取内容时只是根据偏移地址来读取,这样的好处是下次用到这个指针的时候课可以很方便的找到:)
        cout<<"Name: "<<ppISH[i]->Name<<endl;
        cout<<"Size: "<<ppISH[i]->SizeOfRawData<<endl;
        cout<<"Virtual Adress: "<<ppISH[i]->VirtualAddress<<endl;
        cout<<"PointerToRawData: "<<ppISH[i]->PointerToRawData<<endl;
    }
    cout<<endl;


    //节块
    //================================================================================

    pPrevSec = (BYTE*)malloc(0);
    for(i=0;i<pINH->FileHeader.NumberOfSections;i++)
    {
        dwTmp = ppISH[i]->SizeOfRawData; //磁盘上,节根据FileAlignment对齐后的大小,必须是FileAlignment的倍数
        //节的物理大小
        pPrevSec = (BYTE*)realloc(pPrevSec,dwTmp2 + dwTmp); //指向内存中未知地方的一个节大小的指针
        memset(pPrevSec+dwTmp2,0,dwTmp);
       
        SetFilePointer(hFile,ppISH[i]->PointerToRawData,NULL,FILE_BEGIN); //pointerToRawData:从文件开头到对应节的偏移量
 //hFile目前指向第一个节
        cout<<i<<":PointerToRawData:"<<ppISH[i]->PointerToRawData<<endl;
        cout<<"BlockSize:"<<ppISH[i]->SizeOfRawData<<endl;
        cout<<"Virtual Address:"<<ppISH[i]->VirtualAddress<<endl;  //当PE文件读入内存后,对应节的RVA

        if(!ReadFile(hFile,pPrevSec+dwTmp2,dwTmp,&dwRealRead,NULL)){
            cout<<"ReadFile Faield!"<<endl;
            goto Error;
        }

        dwTmp2 += dwTmp;
    }
    dwSizePrevSec = dwTmp2; //原先节的总大小,此时hFile指向第一个节块的头部


    //数据填补、修改部分
    //================================================================================

    //第一个节块的位置
    for(i=0;i<pINH->FileHeader.NumberOfSections;i++)
    {
        if(ppISH[i])
        {
            if(0 == dwMiniPointer)
                dwMiniPointer = (DWORD)ppISH[i]->PointerToRawData; //pointerToRawData:从文件开头到对应节的偏移量
           
            if((ppISH[i]->PointerToRawData)<dwMiniPointer)
                dwMiniPointer = (DWORD)ppISH[i]->PointerToRawData;
        }
    }
    cout<<"Prev First Section Pos:"<<dwMiniPointer<<endl;
 //ppISH[0]->PointerToRawData不应该是第一个结块的位置么???
 //这里是最小的结块是第一个结块,难道说ppISH[0]--[n]不是按从小到大的顺序排的?
 
 
    //空白填充区大小    ,先计算好
    dwTmp = (dwSizeDos+dwSizeStub+dwSizeNT+dwSizeSecH); //前面头部总大小
    if(dwMiniPointer >= dwTmp) //第一个结块在 前面那些头部的后面
        dwSizeDelta = dwMiniPointer - dwTmp; //dosheader,ntheader,sectionheader,section之间有空白间隙
    else   //第一个结块在 前面那些头部的前面??可能么。。。
        //说明pe文件只是按照pe文件那个结构,但是不是顺序的,可能节块在前面,而且最前面的结块不一定是第一个结块。
        //它在内存中是东一块西一块的,不是一个整体。
    {
        dwSizeDelta = dwTmp % (pINH->OptionalHeader.FileAlignment); //文件对其粒度取余
       
        if(dwSizeDelta != 0) //前面那些头部总大小和文件对其粒度不对其
            dwSizeDelta = pINH->OptionalHeader.FileAlignment - dwSizeDelta; //对其粒度-总大小得到空白区域,包括dosheader--ntheader
                     //ntheader--sectionheader
                     //sectionheader
        else dwSizeDelta = 0;

        bNeedModify = TRUE;
    }
    cout<<"Delta:"<<dwSizeDelta<<endl;
    pDelta = new BYTE[dwSizeDelta]; //空白区间
    memset(pDelta,0,dwSizeDelta);

    dwMiniPointer = dwTmp;
    dwMiniPointer += dwSizeDelta; //前面头部总大小+空白区间=前面头部符合文件对其粒度的总大小,即内存中从dosheader---sectionheader最末端(包括空白)

    //修改 NT 头,必须修改
    pINH->FileHeader.NumberOfSections += dwSizeAdd;

   
    //修改原来节表头的文件指针
    cout<<endl;
    if(bNeedModify) //节块可能在那些头部的前面
    {
        for(i=0;i<(UINT)(pINH->FileHeader.NumberOfSections - dwSizeAdd);i++) //还是在原先那些结块循环
        {
            if(0 != i)
                ppISH[i]->PointerToRawData =
                ppISH[i-1]->PointerToRawData +
                ppISH[i-1]->SizeOfRawData;
            else
               ppISH[i]->PointerToRawData = dwMiniPointer; pointerToRawData:从文件开头到对应节的偏移量
            cout<<"New Entry:"<<i<<": "<<ppISH[i]->PointerToRawData<<endl;
        }
    }
 //使第一个结块在内存中在最前面,排序啦

    //填充增加的节表头
    cout<<endl;
    char szName[8] = ".";
    char szNum[7] = {0};
    szName[5] = 0;
    dwTmp = ppISH[0]->VirtualAddress; //第一个节表虚拟地址
    dwTmp2 = pINH->OptionalHeader.SectionAlignment; //节粒度
    dwTmp3 = pINH->OptionalHeader.FileAlignment; //文件粒度
    int nCount = 1;
    DWORD dwNewAllocSize = 0;

    for(i=(pINH->FileHeader.NumberOfSections - dwSizeAdd);
        i<pINH->FileHeader.NumberOfSections;i++) //新增加的那些节填充数据
    {                                                  
        ppISH[i] = (PIMAGE_SECTION_HEADER)(pSecH+i*sizeof(IMAGE_SECTION_HEADER)); //先创建节表
        memset(ppISH[i],0,sizeof(IMAGE_SECTION_HEADER));
       
        ppISH[i]->Characteristics = ppISH[0]->Characteristics;
       
        sprintf(szNum,"%d",nCount);
        memcpy(szName+1,szNum,7);
        memcpy(ppISH[i]->Name,szName,8); //取节名

        dwNewAllocSize = dwRawDataSize % dwTmp3; //文件尾添加10*1024空白数据,但是要对其
        if(dwNewAllocSize != 0) //不对其
           dwNewAllocSize = dwRawDataSize + (dwTmp3 - dwNewAllocSize); //文件不对其,多了dwNewAllocSize,所以dwRawDataSize- dwNewAllocSize
                   //但是多退少补,所以多加一个文件粒度
        else dwNewAllocSize = dwRawDataSize;
        ppISH[i]->SizeOfRawData = dwNewAllocSize;  //第i个节的大小

        //增加的文件区段
        dwSizeAddSec += ppISH[i]->SizeOfRawData;
       
        dwNewAllocSize = dwRawDataSize % dwTmp2; //还要节对其
        if(dwNewAllocSize != 0)
           dwNewAllocSize = dwRawDataSize + (dwTmp2 - dwNewAllocSize);
        else dwNewAllocSize = dwRawDataSize;

        ppISH[i]->Misc.VirtualSize = dwNewAllocSize;

        //修改NT头,必须修改
        pINH->OptionalHeader.SizeOfImage += dwNewAllocSize;

        ppISH[i]->PointerToRawData = (ppISH[i-1]->PointerToRawData+ppISH[i-1]->SizeOfRawData);        

        ppISH[i]->VirtualAddress = ppISH[i]->PointerToRawData;
        if(ppISH[i]->VirtualAddress>=(0x7FFFFFFF-dwNewAllocSize))
        {
            cout<<"Error!Virtual address overflow!"<<endl;
            goto Error;
        }
        cout<<"New Entry:"<<i<<": "<<ppISH[i]->PointerToRawData<<endl;
        nCount++;
    }

    //修改NT头,可选,不设置也能正常运行,但是为保证数据准确,还是写上
    pINH->OptionalHeader.SizeOfHeaders = dwMiniPointer;

 

    //新的Sections,必须满足文件对齐
    pAddSec = new BYTE[dwSizeAddSec];
    memset(pAddSec,0,dwSizeAddSec);

    //重建文件: dumpOK.exe
    //================================================================================

    CloseHandle(hFile);
    hFile = CreateFile("dumpOK.exe",GENERIC_READ|GENERIC_WRITE,NULL,NULL,CREATE_ALWAYS,
        FILE_ATTRIBUTE_NORMAL,NULL);
   
    //Dos Data
    if(!WriteFile(hFile,pDos,dwSizeDos+dwSizeStub,&dwRealRead,NULL))
    {
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"Dos Data:"<<dwRealRead<<" bytes write."<<endl;


    //NT 头
    if(!WriteFile(hFile,pNT,dwSizeNT,&dwRealRead,NULL))
    {
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"NT Data:"<<dwRealRead<<" bytes write."<<endl;

    //节表  (包括新加的)
    if(!WriteFile(hFile,pSecH,dwSizeSecH,&dwRealRead,NULL))
    {
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"Section Headers:"<<dwRealRead<<" bytes write."<<endl;

    //填充空白数据
    if(!WriteFile(hFile,pDelta,dwSizeDelta,&dwRealRead,NULL)){
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"Delta Data:"<<dwRealRead<<" bytes write."<<endl;


    //原来的节块
    if(!WriteFile(hFile,pPrevSec,dwSizePrevSec,&dwRealRead,NULL)){
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"Section Blocks:"<<dwRealRead<<" bytes write."<<endl;

    //增加的节块
    if(!WriteFile(hFile,pAddSec,dwSizeAddSec,&dwRealRead,NULL)){
        cout<<"WriteFile Faield!"<<endl;
        goto Error;
    }
    cout<<"Section Blocks:"<<dwRealRead<<" bytes write."<<endl;
    cout<<"Requeried Works Success Completed."<<endl;

Error:
    CloseHandle(hFile);
    delete[]ppISH;       
    delete[]pDos;
    delete[]pNT;
    delete[]pSecH;
    delete[]pDelta;
    delete[]pPrevSec;
    delete[]pAddSec;
    return 0;
}

 

 

 

zozoiiiiiiii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE查看器(C++)--下
qq_38611124的博客
05-13 423
GetFirstSectionHeader(Based)这个函数忘了写,在这里补上PIMAGE_SECTION_HEADER GetFirstSectionHeader(LPVOID Based) { PIMAGE_NT_HEADERS pNH=NULL; PIMAGE_SECTION_HEADER pSH=NULL; pNH=GetNtHe...
PE文件结构分析程序(C++)
jzz5072的博客
01-18 780
该程序用与对PE文件的头文件以及数据目录表进行分析,并输出各个数据目录表以及头文件的关键字段 运行环境 Microsoft Visual Studio Professional 2017 Windows10 项目格式 头文件 Entry.h #pragma once #include <stdio.h> #include <Windows.h> //计算数据目录表起始位置到文件头的偏移 DWORD RvaToOffset(DWORD dwRva, char *buffer);
c++读取pe文件
03-09
读取32位pe文件节表,导入表,导出表。。。。。。。。。。。。。。。。。
C++ 读取PE文件 工具类
fan_mvp的专栏
06-06 1237
#ifndef PEFile_h__#define PEFile_h__//************************************// 作者: 吴奇凡 // 编写时间: 2011-6-6// 模块: 读取PE文件// 博客地址:http://blog.csdn.net/fan_mvp//***************************
C++ PE格式解析源码
03-18
C++ PE格式解析源码
运行PE_C++_C_下载.zip
04-26
标题中的"运行PE_C++_C_下载.zip"暗示了这是一个与编程相关的压缩包,特别是涉及到C++和C语言,并且可能包含一个用于运行或执行某种程序(PE,通常是Portable Executable格式)的代码或工具。描述中的内容与标题相同...
PE_explorer.rar_Windows编程_Visual_C++_
08-12
《深入理解PE可执行文件:从Windows编程到Visual C++》 在Windows操作系统中,程序的执行离不开一种名为Portable Executable(PE)的文件格式。PE格式是Microsoft为32位和64位Windows系统设计的可执行文件和动态...
PE.rar_Windows编程_Visual_C++_
08-11
标题“PE.rar_Windows编程_Visual_C++_”揭示了这个压缩包文件与Windows编程有关,特别是使用Visual C++这一编程环境。Windows编程通常涉及到系统级别的操作,如创建、管理和控制进程,处理窗口,以及与其他系统组件...
upe.zip_进程与线程_C++_
08-10
Start and control other Exe program use the clipboard to realize data exchange between the Exe program
x86PE突变体_C++_下载.zip
04-05
标题 "x86PE突变体_C++_下载.zip" 暗示了这是一个与x86架构下的可移植执行体(Portable Executable, PE)文件格式相关的项目,且使用了C++编程语言。PE文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL...
PE工具 Lord PE
02-20
这个是我目前收集到最好最全面的 PE工具 Lord PE, 里面有代码的中文注释等
二、C++反作弊对抗实战 (进阶篇 —— 5.图文讲解PE文件结构)
Koma的主页
03-03 430
PE即Portable Executable,是Win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
一个技术博客,关于PE_C++_驱动_病毒
shellching的专栏
09-15 553
http://www.cnblogs.com/mayingkun/
C/C++ 实现PE文件特征码识别
CSDN
09-14 7689
PE文件就是我们常说的EXE可执行文件,针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的,前提是要有特征库,PE特征识别有多种形式,第一种是静态识别,此方法就是只针对磁盘中文件的特征码字段进行检测来判断编译器版本,此种方式优点是快,缺点是识别不准确,第二种则是动态识别,当程序被装入内存解码后在尝试对其进行识别,此方法最为准确,我们经常使用的PEID查壳工具是基于静态检测的方法。读取映射中的内存并返回一个句柄,后面的程序就可以通过该句柄操作打开后的文件了.函数创建文件的内存映像,最后使用。
PE文件结构的介绍并使用C++读取PE文件信息
陈子青的博客
07-11 1570
PE文件结构分为五个部分:DOS文件头DOS加载模块PE文件头区段表区段 windows环境中会直接跳过前两个部分直接从PE文件头开始,所以直接略过这两个部分。PE文件头大小为224字节左右,因为有个可选头所以实际长度不定。里面包含许多关于PE文件的整体信息,这些信息主要是描述PE文件的大概情况,但是更细节信息在区段表中。如上图所示,PE文件头分为三个结构,第一个为签名字段,第二个为文件头字段,第三个为可选头字段。signature字段 在一个PE文件中Signature字段被设置为4550h,ASCII码
C++ 获取 PE 文件的各种信息
CSDN
07-16 7817
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。参考代码: 效果图:另外附上我的代码。😕 获取某指定区段的信息:
C/C++编程解析PE文件结构
考拉研究僧的博客
12-12 6963
PE的意思就是Portable Executable(可移植、可执行)PE文件结构图: PS:现在大多数PE文件都是加壳或者经过处理的,此程序只适用于最原始的PE文件关于PE文件的解析问题,可以参考我的另一篇博文《用Winhex软件解析PE文件》#include <stdio.h> #include <stdlib.h> #include <Windows.h> //函数计算导出/导入表的VA D
c++读取pe格式文件
云守护的专栏
01-09 3323
#include #include int main(int argc,char *argv[]) { FILE *fp; char filename[MAX_PATH]; IMAGE_DOS_HEADER DOS_header; //DOS头结构 IMAGE_NT_HEADERS nt_header; //PE头结构 IMAGE_SECTION_HEADER *ps
PE文件的感染C++源代码
杨航的专栏
12-10 2895
PE文件的感染C++源代码 PE文件规定了可执行文件的格式,凡是符合此格式的文件都能在windows系统上运行。PE文件的格式暂且不谈,说一些感染PE文件的几种途径。 导入表感染。这个涉及比较复杂的操作,首先,要自行写一个dll文件,提供程序中对原dll引用的所有函数,然后增加一个节区,修改ImportAddress中的地址,使其指向新增加的节,这样,程序加载后,只要调用相关函数,就会先
c++ 修正pe导入表
最新发布
05-16
PE导入表是PE文件中的一个重要部分,它记录了PE文件所依赖的外部函数和库文件。如果导入表出现错误,将会导致程序无法正常运行或者崩溃。下面是修正PE导入表的一些方法: 1. 使用修复工具:有一些专门的PE修复工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值