合肥程序员群:49313181。    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入)
Q  Q:408365330     E-Mail:egojit@qq.com

综述:

首先说明我也只是PE文件的初学者,我所写的都是自己的学习记录。前3节学习了PE的一些结构,其中包括DOS头和PE头部分。总是这样去学习这些机构和理论的分析我想大家和我一样毫无兴趣,提不起精神。所以我尝试着在自己对PE了解的基础上用C++写一个小程序分析PE结构文件。我所接触的教程都是Win32汇编去实现一些小工具对PE文件进行分析。我只是能看懂汇编,让我去写那没什么劲,所以我还是用C++去实现。我只是对C比较了解,至于面向对象的知识是在学习C#时候接触的。所以这里的案例的C++代码很大的可能还是继承了C的风格。为什么是C++,主要是MFC写界面比Windows API写界面方便多了。当然如果大家有兴趣,可以留言我写一个C#版本的。当然这一节也不可能实现所有的功能,暂时展示一些小功能。废话不多说了,上代码:

C++代码实现:

首先实现这些如图程序的功能,其中包括识别是否是PE文件,其次是给出,PE文件在磁盘中的对齐尺寸和内存中的对齐尺寸,另一个就是实现知道程序的装载入口地址,都是以16进制的方式表现出来的。

//选择文件按钮

void CPEinfoDlg::OnBnClickedBtnSelectfile()

{

    CFileDialog dilog(TRUE);

    dilog.m_ofn.lpstrTitle=_T("请选择PE文件");

    if(IDOK==dilog.DoModal()){

        CString fileName= dilog.GetFileName();

        CString filePath= dilog.GetPathName();

        //给路径文本框赋值

        this->GetDlgItem(IDC_EDIT1)->SetWindowTextW(filePath);

        HANDLE fileHandle= CreateFile(filePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);

        if(INVALID_HANDLE_VALUE!=fileHandle){

            HANDLE mapHandle=    CreateFileMapping(fileHandle,NULL,PAGE_READONLY,0,0,NULL);

            if(mapHandle==NULL){

                AfxMessageBox(L"打开文件映射对象失败!");

            }

            else

            {

                strContet= MapViewOfFile(mapHandle,FILE_MAP_READ,0,0,0);

                LPBYTE lpBaseAddress = (LPBYTE)strContet;

                PIMAGE_DOS_HEADER dosHead=(PIMAGE_DOS_HEADER)lpBaseAddress;

                PIMAGE_NT_HEADERS ntHead=(PIMAGE_NT_HEADERS)(lpBaseAddress+dosHead->e_lfanew);

                //根据DOS头和PE头判断是否是PE文件

                if(dosHead->e_magic==IMAGE_DOS_SIGNATURE&&ntHead->Signature==IMAGE_NT_SIGNATURE){

                    //AfxMessageBox(L"说明是正常的PE!");

                    CString show=L"0x";

                    wchar_t r[10]=L"";

                    int h=ntHead->OptionalHeader.FileAlignment;

                    _itow_s(h,r,16);

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_FileA)->SetWindowTextW(show);

                    //内存对齐尺寸

                    int ss= ntHead->OptionalHeader.SectionAlignment;

                    _itow_s(ss,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_SESSIONSIZE)->SetWindowTextW(show);

                    //入口地址

                    int ept= ntHead->OptionalHeader.AddressOfEntryPoint;

                    _itow_s(ept,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_BaseEntry)->SetWindowTextW(show);

                }

                else

                {

                    AfxMessageBox(L"请打开PE格式文件!");

                }

                //撤销映射

                UnmapViewOfFile(strContet);

                //关闭文件映射对象句柄

                CloseHandle(mapHandle);

            }

            //关闭文件对象

            CloseHandle(fileHandle);

        }

        else

        {

            AfxMessageBox(L"打开文件句柄失败!");

        }

    }

    delete dilog;

    // TODO: 在此添加控件通知处理程序代码

}

我就主要上主要代码,当然在这里我们最起码得知道MFC框架的简单开发。

这些小功能的原理就是读文件,不过我这里用的读文件的方式是文件映射的方式,直接将文件映射到内存中。

1.首先是打开文件,返回一个文件内核对象(什么是内核对象?这个我就不多做解释了,要想了解请参照《Windows 核心编程》。这绝对是Windows开发的一本葵花宝典),

HANDLE fileHandle= CreateFile(filePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);

2.然后创建一个文件映射对象

HANDLE mapHandle=    CreateFileMapping(fileHandle,NULL,PAGE_READONLY,0,0,NULL);

当然是以读方式打开。

3.然后就是文件内存视图映射

strContet= MapViewOfFile(mapHandle,FILE_MAP_READ,0,0,0);
其中strContet是LPVOID类型,这个指针就指向了PE文件被映射到内存中的起始地址

4.找DOS头和PE头

PIMAGE_DOS_HEADER dosHead=(PIMAGE_DOS_HEADER)lpBaseAddress;

PIMAGE_NT_HEADERS ntHead=(PIMAGE_NT_HEADERS)(lpBaseAddress+dosHead->e_lfanew);

PIMAGE_DOS_HEADER 和PIMAGE_NT_HEADERS结构体就是广义上的DOS头和PE头结构。这两个结构体在WinNT.h头文件中能找到。

 

5.判断是否是PE文件

if(dosHead->e_magic==IMAGE_DOS_SIGNATURE&&ntHead->Signature==IMAGE_NT_SIGNATURE)

就和我们在前面所说的dosHead->e_magic是DOS头的标志,里面是MZ所以DOS头又称作MZ头,ntHead->Signature就是PE头的标志,内容是ASIIC码PE00。我用UE打开:

在WinNT.h头文件中被定义为IMAGE_DOS_SIGNATURE和IMAGE_NT_SIGNATURE,顾名思义,DOS头标志和PE头标志。这样即使你随便将一个文件修改成.exe后缀或者.dll后缀的PE格式文件依然不通过验证。

通过这个动态图片我们很容易看到我想打开一个.txt文本这是不行的。我现在去把他改成exe再打开:

可以看见修改txt后缀为.exe是不行的。

6.显示内存对齐尺寸程序入口地址等信息

int h=ntHead->OptionalHeader.FileAlignment;

                    _itow_s(h,r,16);

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_FileA)->SetWindowTextW(show);

                    //内存对齐尺寸

                    int ss= ntHead->OptionalHeader.SectionAlignment;

                    _itow_s(ss,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_SESSIONSIZE)->SetWindowTextW(show);

                    //入口地址

                    int ept= ntHead->OptionalHeader.AddressOfEntryPoint;

                    _itow_s(ept,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_BaseEntry)->SetWindowTextW(show);

其中没什么复杂度,只是将结构成员数据处理显示出来。这里也验证了。一般PE文件在磁盘中的对齐粒度是200H在内存中的对齐粒度是1000H也就是4K,一分页大小。

这一节就记到这里,后续的功能等我们学习到的时候再去添加。

版权:归博客园和Egojit所有,转载请标明出处。

PE文件学习系列笔记四-C++实现PE文件的分析的更多相关文章

  1. Html5 学习系列(四)文件操作API

    原文:Html5 学习系列(四)文件操作API 引言 在之前我们操作本地文件都是使用flash.silverlight或者第三方的activeX插件等技术,由于使用了这些技术后就很难进行跨平台.或者跨 ...

  2. 【Silverlight】Bing Maps学习系列(四):使用图钉层(Pushpin layer)及地图图层(MapLayer)(转)

    [Silverlight]Bing Maps学习系列(四):使用图钉层(Pushpin layer)及地图图层(MapLayer) 如果我们需要在Bing Maps中加入一个小图钉标记,该如何实现了? ...

  3. Python学习系列(四)(列表及其函数)

    Python学习系列(四)(列表及其函数) Python学习系列(一)(基础入门) Python学习系列(二)(基础知识) Python学习系列(三)(字符串) 一.基本概念 1,列表是什么?     ...

  4. Python学习系列(四)Python 入门语法规则2

    Python学习系列(四)Python 入门语法规则2 2017-4-3 09:18:04 编码和解码 Unicode.gbk,utf8之间的关系 2.对于py2.7, 如果utf8>gbk, ...

  5. 万恶技术系列笔记-jupyter工作路径和源文件打开方式

    万恶技术系列笔记-jupyter工作路径和源文件打开方式   脚本文件,ipynb的正确打开姿势: ipynb不能直接打开,需要复制到工作路径.例如 10_monkeys_model_1.ipynb ...

  6. PE文件学习系列三-PE头详解

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q  Q:408365330     E-Mail:egojit@qq.com 最近比较忙 ...

  7. PE文件学习系列一为什么是PE

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入)Q  Q:408365330     E-Mail:egojit@qq.com PE概述: ...

  8. 分布式缓存技术redis学习系列(四)——redis高级应用(集群搭建、集群分区原理、集群操作)

    本文是redis学习系列的第四篇,前面我们学习了redis的数据结构和一些高级特性,点击下面链接可回看 <详细讲解redis数据结构(内存模型)以及常用命令> <redis高级应用( ...

  9. RabbitMQ学习系列(四): 几种Exchange 模式

    上一篇,讲了RabbitMQ的具体用法,可以看看这篇文章:RabbitMQ学习系列(三): C# 如何使用 RabbitMQ.今天说些理论的东西,Exchange 的几种模式. AMQP协议中的核心思 ...

随机推荐

  1. c++调用lua注册的带参数的回调

    main.cpp int lua_cb = LUA_REFNIL; int lua_cb_arg = LUA_REFNIL; int setcb(lua_State *L) { lua_pushval ...

  2. CSS 设置背景透明度,不影响子元素

    由于 opacity 属性能被子元素继承,使用它设置父元素背景透明度时也会影响子元素. 解决方法: 1> 使用 RGBA Example .classname { /* RGBa, 透明度0.6 ...

  3. Xcode奔溃错误码

    在这里了解一下XCode用来表示各种崩溃类型的术语,补充一些这方面的各知识.崩溃通常是指操作系统向正在运行的程序发送的信号,所以我们在查看崩溃日志时,常常看到如下错误摘要:Application re ...

  4. android应用刷新系统多媒体库(增加or删除多媒体文件)

    系统:android4.4及其以上 功能:app中拍照, 并实现浏览.删除照片操作. 实现: 1.拍照,存储到指定路径path 2.通知系统多媒体数据库刷新数据. 主要使用MediaScannerCo ...

  5. 浅析call和apply

    call, apply都属于Function.prototype的一个方法,它是JavaScript引擎内在实现的,因为属于Function.prototype,所以每个Function对象实例,也就 ...

  6. TRUNCATE TABLE (Transact-SQL)

    删除表中的所有行,而不记录单个行删除操作. TRUNCATE TABLE 与没有 WHERE 子句的 DELETE 语句类似:但是,TRUNCATE TABLE 速度更快,使用的系统资源和事务日志资源 ...

  7. The Bottom of a Graph-POJ2553强连通

    The Bottom of a Graph Time Limit: 3000MS Memory Limit: 65536K Total Submissions: 9759 Accepted: 4053 ...

  8. HAProxy配置SSL

    前沿 据悉苹果强制APP在2016年底使用ATS协议,所以公司准备将部分站点http统一替换成https.所有我们就得测试下 1.首先原有的haproxy1.5升级到了1.7版本支持ssl 2.查看相 ...

  9. easyUI的Dialog和Windows框的应用

    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/ ...

  10. Git 命令清单

    这份命令清单并不完善,后期会根据使用情况再进行更改. 操作分支项目 1 下载仓库的一个分支(baooab-patch-1)的代码 git clone -b baooab-patch-1 https:/ ...