取简单PE信息

最新推荐文章于 2023-09-05 11:03:08 发布
最新推荐文章于 2023-09-05 11:03:08 发布
阅读量957 收藏
点赞数
分类专栏: 代码 文章标签: image descriptor import header iterator null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz3265/article/details/3905760
版权

class CPeInfo

{

public:

 

 

    struct    IAT_THUNK

    {

        IMAGE_THUNK_DATA *            pThunkDat;

        IMAGE_IMPORT_BY_NAME *          pName;

       CHAR *                         pApiName;

       DWORD                          dwApiAddres;

    };

 

    struct    PE_IATMOD

    {

        IMAGE_IMPORT_DESCRIPTOR *      pImportDsp;

        std::vector<IAT_THUNK *>       ThunkList;

       CHAR *                         pModName;

    };

 

    struct PE_INFO

    {

        IMAGE_DOS_HEADER *         pDosHead;

        IMAGE_NT_HEADERS *         pNtHead;

 

        std::vector<IMAGE_SECTION_HEADER *>      SectionList;

        std::vector<PE_IATMOD *>               ModList;

 

        std::vector<DWORD>                    RelocOffsetList;

    };

 

 

    CPeInfo()

    {

    }

 

    ~CPeInfo()

    {

        Clear();

    }

 

    BOOL    Clear()

    {

        std::vector<PE_IATMOD *>::iterator        ModIter;

        std::vector<IAT_THUNK *>::iterator        ThunkIter;

 

        PE_IATMOD *        pMod;

        IAT_THUNK *        pThunk;

 

        for(ModIter = m_PeInfo.ModList.begin();

           ModIter != m_PeInfo.ModList.end();

           ModIter ++)

       {

           pMod = *ModIter;

           if(pMod == NULL)

               continue;

 

           for(ThunkIter = pMod->ThunkList.begin();

               ThunkIter != pMod->ThunkList.end();

               ThunkIter ++)

           {

               pThunk = *ThunkIter;

               if(pThunk == NULL)

                   continue;

 

               delete pThunk;

           }

 

           delete pMod;

       }

 

        return TRUE;

    }

 

    BOOL    LoadDll(CHAR *pFileName)

    {

       BOOL        bRetVal;

 

        Clear();

 

        m_hMod = ::LoadLibraryA(pFileName);

        if(m_hMod == NULL)

           return FALSE;

 

        NLog::DbgLog("Load: %s", pFileName);

        bRetVal = CreatePEInfo();

        return bRetVal;

    }

 

    BOOL    CreatePEInfo()

    {

       BYTE *       pImgData;

       int         nCount;

       DWORD        dwSize;

       DWORD        dwOffset;

       int        i, j, k;

 

        IMAGE_IMPORT_DESCRIPTOR *      pTempImpDsp;

 

        if(m_hMod == NULL)

           return FALSE;

 

        pImgData = (BYTE *)m_hMod;

 

        m_PeInfo.pDosHead = (IMAGE_DOS_HEADER *)pImgData;

        m_PeInfo.pNtHead = (IMAGE_NT_HEADERS *)(pImgData + m_PeInfo.pDosHead->e_lfanew);

 

        if(m_PeInfo.pNtHead->FileHeader.SizeOfOptionalHeader != sizeof(IMAGE_OPTIONAL_HEADER32))

           return FALSE;

        if(m_PeInfo.pNtHead->OptionalHeader.Magic != IMAGE_NT_OPTIONAL_HDR32_MAGIC)

           return FALSE;

       if (m_PeInfo.pNtHead->FileHeader.NumberOfSections < 1)

           return FALSE;

 

//      Section

        IMAGE_SECTION_HEADER        *pSection;

 

        m_PeInfo.SectionList.clear();

        nCount = m_PeInfo.pNtHead->FileHeader.NumberOfSections;

        pSection = IMAGE_FIRST_SECTION(m_PeInfo.pNtHead);

        for(i=1; i<nCount; i++)

       {

           m_PeInfo.SectionList.push_back(pSection);

           pSection ++;

       }

 

//     IAT

        PE_IATMOD *     pOneMod;

        dwOffset = m_PeInfo.pNtHead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;

 

        m_PeInfo.ModList.clear();

        pTempImpDsp = (IMAGE_IMPORT_DESCRIPTOR *)(pImgData + dwOffset);

        for(i=0; ;i++)

       {

           if(pTempImpDsp->TimeDateStamp == 0 &&

               pTempImpDsp->Name == 0)

               break;

 

           pOneMod = new PE_IATMOD;

           pOneMod->pImportDsp = pTempImpDsp;

           pOneMod->pModName = (CHAR *)(pImgData +    pTempImpDsp->Name);

 

           m_PeInfo.ModList.push_back(pOneMod);

 

           NLog::DbgLog("Mods: %s", pOneMod->pModName);

           ProcesIatMod(pImgData, pTempImpDsp, pOneMod);

           pTempImpDsp ++;

       }

 

//      Relocation

        IMAGE_BASE_RELOCATION *     pReloca;

       WORD *                     pOffsetDat;

       DWORD                      dwTolOffset;

       DWORD                      dwBlockOffset;

       WORD                      wOneDat;

       WORD                      wOneType;

       DWORD                      dwOneOffset;

 

        m_PeInfo.RelocOffsetList.clear();

        dwOffset = m_PeInfo.pNtHead->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress;

        if(dwOffset == 0)

           goto RelocationEnd;

 

        pReloca = (IMAGE_BASE_RELOCATION *)(pImgData + dwOffset);

 

        for(;;)

       {

           if(pReloca->VirtualAddress == 0 ||

               pReloca->SizeOfBlock == 0)

               break;

 

           dwBlockOffset = pReloca->VirtualAddress;

           nCount = (pReloca->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION))/sizeof(WORD);

           pOffsetDat = (WORD *)(pReloca + 1);

           for(i=0; i<nCount; i++)

           {

               wOneDat = *pOffsetDat;

               wOneType = wOneDat >> 12;

               dwOneOffset = wOneDat & 0x0FFF;

 

               if(wOneType == 0x03)

               {

                   dwTolOffset = dwBlockOffset + dwOneOffset;

                   NLog::DbgLog("Relocation: %08X", dwTolOffset);

                   m_PeInfo.RelocOffsetList.push_back(dwTolOffset);

               }

               else

               {

                   NLog::DbgLog("Relocation Unknow Type!");

               }

           }

           pReloca = (IMAGE_BASE_RELOCATION *)((BYTE *)pReloca + pReloca->SizeOfBlock);

       }

 

RelocationEnd:

 

        return TRUE;

    }

 

 

    BOOL    ProcesIatMod(BYTE *   pImgData, IMAGE_IMPORT_DESCRIPTOR * pImportDsp, PE_IATMOD * pMod)

    {

       DWORD        dwOffset;

       int        i;

        PE_IATMOD * pCurMod;

        IAT_THUNK *    pOneThunk;

 

        IMAGE_THUNK_DATA *            pThunkData;

 

        if(pImportDsp->OriginalFirstThunk != 0)

           dwOffset = pImportDsp->OriginalFirstThunk;

       else

           dwOffset = pImportDsp->FirstThunk;

        pThunkData = (IMAGE_THUNK_DATA *)(pImgData + dwOffset);

 

        pCurMod = pMod;

 

       for(i=0; ; i++)

       {

           if(pThunkData->u1.AddressOfData == 0)

               break;

 

           pOneThunk = new IAT_THUNK;

           pOneThunk->pThunkDat = pThunkData;

           dwOffset = pThunkData->u1.AddressOfData;

           if(dwOffset & 0x80000000)

           {

               pOneThunk->pName = NULL;

               pOneThunk->pApiName = NULL;

               pOneThunk->dwApiAddres = dwOffset & 0x7FFFFFFF;

               NLog::DbgLog(" API: %08X", pOneThunk->dwApiAddres);

           }

           else

           {

               pOneThunk->pName = (IMAGE_IMPORT_BY_NAME *)(pImgData + dwOffset);

               pOneThunk->pApiName = (CHAR *)pOneThunk->pName->Name;

               pOneThunk->dwApiAddres = 0;

               NLog::DbgLog(" API: %s", pOneThunk->pApiName);

           }

 

           pCurMod->ThunkList.push_back(pOneThunk);

          

           pThunkData ++;

       }

        return TRUE;

    }

 

 

    PE_INFO     m_PeInfo;

    HMODULE        m_hMod;

 

};

 

 

Yofoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE exe dll 版本信息 易语言
10-03
例如,提供的`wz_PE版本信息.e`和`wz_PE版本信息.ec`可能就是这样的工具或代码示例,它们可能包含了上述过程的实现,用户可以直接调用或参考学习。 在易语言中编写这类程序时,需要注意错误处理和资源释放,确保...
PE版本信息源码-易语言
06-12
本文将深入探讨如何在易语言中获PE(Portable Executable)文件的版本信息,这是一个进阶教程,涉及到的知识点包括PE文件结构、易语言编程技巧以及源码解析。 首先,我们要理解什么是PE文件。PE文件是Windows操作...
开发AP通过snmp获CPE配置信息并保存到xml显示到web,遇到的问题总结
做精(细节)做专系统化才能称为专业
11-06 925
snmp
2.5 PE结构:导入表详细解析
最新发布
CSDN
09-05 1万+
导入表(Import Table)是Windows可执行文件中的一部分,它记录了程序所需调用的外部函数(或API)的名称,以及这些函数在哪些动态链接库(DLL)中可以找到。在Win32编程中我们会经常用到导入函数,导入函数就是程序调用其执行代码又不在程序中的函数,这些函数通常是系统提供给我们的API,在调用者程序中只保留一些函数信息,包括函数名机器所在DLL路径。
PE格式详解
顺其自然~专栏
10-29 3045
PE(PortableExecutable,可移植的执行体)是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format,通用对象文件格式)文件格式。它是Win32环境自身所带的执行体文件格式。"portableexecutable"(可移植的执行体)意味着此文件格式是跨win32平台的:即使Windows运行在非Intel的CPU上,任何win32...
PE文件详解
顺其自然~专栏
03-10 1436
PE文件详解(教程1-7) ========================================= PE教程1: PE文件格式一览 PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Int
易语言源码易语言PE文件区段源码.rar
02-18
例如,""字在易语言中常用于表示获某个值或信息,"PE文件区段"则涉及到计算机程序的内存布局。 PE(Portable Executable)文件格式是Windows操作系统中可执行文件的标准格式,包括.exe和.dll等。PE文件包含多个...
wzPE版本信息-易语言.zip
10-05
标题中的“wzPE版本信息-易语言.zip”表明这是一个关于使用易语言获PE(Portable Executable)文件版本信息的教程或代码示例。易语言是中国开发的一种简单易学的编程语言,它旨在使编程变得更为直观和简单PE...
pe文件解析:读pe信息文件资源(源码)
03-01
- 软件调试:在开发和调试过程中,查看PE信息有助于理解程序行为。 - 文件修复:当PE文件损坏时,解析可以辅助恢复丢失的信息。 总结来说,这个源码提供了解析PE文件以获其资源信息的方法,这对于软件开发、...
用GetGlyphOutline字体点阵
zzz3265的专栏
06-27 5175
void CtestdlgDlg::OnBnClickedButton6(){    CDC *         pDC;    CString           cStr;    CHAR          c;    GLYPHMETRICS    GpMtic;    BYTE *         pBuffer;    DWORD          dwBuf
XP系统桌面DC对应的显存位置获方法
zzz3265的专栏
12-18 4505
以下代码在XP下编写测试 1. 获桌面DC的Bitmap m_hDesk = GetDesktopWindow(); m_hDeskDc = GetDC(m_hDesk); m_hDeskBitmap = (HBITMAP)GetCurrentObject(m_hDeskDc, OBJ_BITMAP); 2. 获GDI的内核对象 pPeb = (Nntdll::PEB *)Nn
MFC控制浏览器, UI, 动作...
zzz3265的专栏
12-10 3988
<br />HtmlCtrl.h<br /> <br />#pragma once #include <afxhtml.h> #include <afxocc.h> #include <MsHtmdid.h> class CHtmlCtrl; class CHtmlNewWndWatch; #include "HtmlFilter.h" class CHtmlCtrl: public CHtmlView { DECLARE_DYNAMIC(CHtmlCtrl)
进程的用户(所有进程)
zzz3265的专栏
11-13 3889
    typedef struct _UNICODE_STRING {        USHORT Length;                USHORT MaximumLength;         PWSTR  Buffer;    } UNICODE_STRING, *PUNICODE_STRING;    //SystemProcessInformation    typedef
枚举进程的内存块
zzz3265的专栏
11-10 3674
#include "ProcMemInfo.h" #include "../NSimple.h" #include CProcMemInfo::CProcMemInfo() { Init(); } CProcMemInfo::~CProcMemInfo() { } BOOL CProcMemInfo::Init() { m_pMinAddr = NSys::GetSystemInfo()->lpMinimumApplicationAddress;
继承CAxHostWindow, IDocHostUIHandler 控制浏览器界面
zzz3265的专栏
12-10 3425
<br />class ATL_NO_VTABLE CHtmCtrlHost : public CAxHostWindow { public: DECLARE_NOT_AGGREGATABLE(CHtmCtrlHost); DECLARE_WND_CLASS(_T("CHtmCtrlHost")) BEGIN_COM_MAP(CHtmCtrlHost) COM_INTERFACE_ENTRY2(IDispatch, IAxWinAmbientDispatchEx)
MimeFilter 实现, 纯C++
zzz3265的专栏
12-10 2661
<br />//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// #include "../NSimple.h" #include "../class/stdEx.h" /* Yofoo-HtmlFilter Code By Yofoo Last Edit: 2010-12-10 */ #defin
CMFCMenuBar::CreateFromMenu 句柄泄漏
zzz3265的专栏
05-07 1634
CMFCMenuBar::CreateFromMenu  句柄泄漏
ComImage
zzz3265的专栏
12-26 1455
//#include "StdAfx.h"#include Windows.h>#include stdlib.h>#include stdio.h>#include "ComImage.h"#include "ComFun.h"HANDLE DDBToDIB(HBITMAP hBitmap, HPALETTE hPalette, BITMAPINFO * pOutDibInfo, int n
python通过PE文件获版本信息
04-04
可以使用Python内置的`ctypes`模块来读PE文件的版本信息。 以下是一个示例代码: ```python import ctypes class VS_FIXEDFILEINFO(ctypes.Structure): _fields_ = [ ("dwSignature", ctypes.c_uint32), (...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值