合肥程序员群:49313181。    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入)
Q  Q:408365330     E-Mail:egojit@qq.com

综述:

首先说明我也只是PE文件的初学者,我所写的都是自己的学习记录。前3节学习了PE的一些结构,其中包括DOS头和PE头部分。总是这样去学习这些机构和理论的分析我想大家和我一样毫无兴趣,提不起精神。所以我尝试着在自己对PE了解的基础上用C++写一个小程序分析PE结构文件。我所接触的教程都是Win32汇编去实现一些小工具对PE文件进行分析。我只是能看懂汇编,让我去写那没什么劲,所以我还是用C++去实现。我只是对C比较了解,至于面向对象的知识是在学习C#时候接触的。所以这里的案例的C++代码很大的可能还是继承了C的风格。为什么是C++,主要是MFC写界面比Windows API写界面方便多了。当然如果大家有兴趣,可以留言我写一个C#版本的。当然这一节也不可能实现所有的功能,暂时展示一些小功能。废话不多说了,上代码:

C++代码实现:

首先实现这些如图程序的功能,其中包括识别是否是PE文件,其次是给出,PE文件在磁盘中的对齐尺寸和内存中的对齐尺寸,另一个就是实现知道程序的装载入口地址,都是以16进制的方式表现出来的。

//选择文件按钮

void CPEinfoDlg::OnBnClickedBtnSelectfile()

{

    CFileDialog dilog(TRUE);

    dilog.m_ofn.lpstrTitle=_T("请选择PE文件");

    if(IDOK==dilog.DoModal()){

        CString fileName= dilog.GetFileName();

        CString filePath= dilog.GetPathName();

        //给路径文本框赋值

        this->GetDlgItem(IDC_EDIT1)->SetWindowTextW(filePath);

        HANDLE fileHandle= CreateFile(filePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);

        if(INVALID_HANDLE_VALUE!=fileHandle){

            HANDLE mapHandle=    CreateFileMapping(fileHandle,NULL,PAGE_READONLY,0,0,NULL);

            if(mapHandle==NULL){

                AfxMessageBox(L"打开文件映射对象失败!");

            }

            else

            {

                strContet= MapViewOfFile(mapHandle,FILE_MAP_READ,0,0,0);

                LPBYTE lpBaseAddress = (LPBYTE)strContet;

                PIMAGE_DOS_HEADER dosHead=(PIMAGE_DOS_HEADER)lpBaseAddress;

                PIMAGE_NT_HEADERS ntHead=(PIMAGE_NT_HEADERS)(lpBaseAddress+dosHead->e_lfanew);

                //根据DOS头和PE头判断是否是PE文件

                if(dosHead->e_magic==IMAGE_DOS_SIGNATURE&&ntHead->Signature==IMAGE_NT_SIGNATURE){

                    //AfxMessageBox(L"说明是正常的PE!");

                    CString show=L"0x";

                    wchar_t r[10]=L"";

                    int h=ntHead->OptionalHeader.FileAlignment;

                    _itow_s(h,r,16);

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_FileA)->SetWindowTextW(show);

                    //内存对齐尺寸

                    int ss= ntHead->OptionalHeader.SectionAlignment;

                    _itow_s(ss,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_SESSIONSIZE)->SetWindowTextW(show);

                    //入口地址

                    int ept= ntHead->OptionalHeader.AddressOfEntryPoint;

                    _itow_s(ept,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_BaseEntry)->SetWindowTextW(show);

                }

                else

                {

                    AfxMessageBox(L"请打开PE格式文件!");

                }

                //撤销映射

                UnmapViewOfFile(strContet);

                //关闭文件映射对象句柄

                CloseHandle(mapHandle);

            }

            //关闭文件对象

            CloseHandle(fileHandle);

        }

        else

        {

            AfxMessageBox(L"打开文件句柄失败!");

        }

    }

    delete dilog;

    // TODO: 在此添加控件通知处理程序代码

}

我就主要上主要代码,当然在这里我们最起码得知道MFC框架的简单开发。

这些小功能的原理就是读文件,不过我这里用的读文件的方式是文件映射的方式,直接将文件映射到内存中。

1.首先是打开文件,返回一个文件内核对象(什么是内核对象?这个我就不多做解释了,要想了解请参照《Windows 核心编程》。这绝对是Windows开发的一本葵花宝典),

HANDLE fileHandle= CreateFile(filePath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);

2.然后创建一个文件映射对象

HANDLE mapHandle=    CreateFileMapping(fileHandle,NULL,PAGE_READONLY,0,0,NULL);

当然是以读方式打开。

3.然后就是文件内存视图映射

strContet= MapViewOfFile(mapHandle,FILE_MAP_READ,0,0,0);
其中strContet是LPVOID类型,这个指针就指向了PE文件被映射到内存中的起始地址

4.找DOS头和PE头

PIMAGE_DOS_HEADER dosHead=(PIMAGE_DOS_HEADER)lpBaseAddress;

PIMAGE_NT_HEADERS ntHead=(PIMAGE_NT_HEADERS)(lpBaseAddress+dosHead->e_lfanew);

PIMAGE_DOS_HEADER 和PIMAGE_NT_HEADERS结构体就是广义上的DOS头和PE头结构。这两个结构体在WinNT.h头文件中能找到。

 

5.判断是否是PE文件

if(dosHead->e_magic==IMAGE_DOS_SIGNATURE&&ntHead->Signature==IMAGE_NT_SIGNATURE)

就和我们在前面所说的dosHead->e_magic是DOS头的标志,里面是MZ所以DOS头又称作MZ头,ntHead->Signature就是PE头的标志,内容是ASIIC码PE00。我用UE打开:

在WinNT.h头文件中被定义为IMAGE_DOS_SIGNATURE和IMAGE_NT_SIGNATURE,顾名思义,DOS头标志和PE头标志。这样即使你随便将一个文件修改成.exe后缀或者.dll后缀的PE格式文件依然不通过验证。

通过这个动态图片我们很容易看到我想打开一个.txt文本这是不行的。我现在去把他改成exe再打开:

可以看见修改txt后缀为.exe是不行的。

6.显示内存对齐尺寸程序入口地址等信息

int h=ntHead->OptionalHeader.FileAlignment;

                    _itow_s(h,r,16);

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_FileA)->SetWindowTextW(show);

                    //内存对齐尺寸

                    int ss= ntHead->OptionalHeader.SectionAlignment;

                    _itow_s(ss,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_SESSIONSIZE)->SetWindowTextW(show);

                    //入口地址

                    int ept= ntHead->OptionalHeader.AddressOfEntryPoint;

                    _itow_s(ept,r,16);

                    show=L"0x";

                    show+=r;

                    this->GetDlgItem(IDC_STATIC_BaseEntry)->SetWindowTextW(show);

其中没什么复杂度,只是将结构成员数据处理显示出来。这里也验证了。一般PE文件在磁盘中的对齐粒度是200H在内存中的对齐粒度是1000H也就是4K,一分页大小。

这一节就记到这里,后续的功能等我们学习到的时候再去添加。

版权:归博客园和Egojit所有,转载请标明出处。

PE文件学习系列笔记四-C++实现PE文件的分析的更多相关文章

  1. Html5 学习系列(四)文件操作API

    原文:Html5 学习系列(四)文件操作API 引言 在之前我们操作本地文件都是使用flash.silverlight或者第三方的activeX插件等技术,由于使用了这些技术后就很难进行跨平台.或者跨 ...

  2. 【Silverlight】Bing Maps学习系列(四):使用图钉层(Pushpin layer)及地图图层(MapLayer)(转)

    [Silverlight]Bing Maps学习系列(四):使用图钉层(Pushpin layer)及地图图层(MapLayer) 如果我们需要在Bing Maps中加入一个小图钉标记,该如何实现了? ...

  3. Python学习系列(四)(列表及其函数)

    Python学习系列(四)(列表及其函数) Python学习系列(一)(基础入门) Python学习系列(二)(基础知识) Python学习系列(三)(字符串) 一.基本概念 1,列表是什么?     ...

  4. Python学习系列(四)Python 入门语法规则2

    Python学习系列(四)Python 入门语法规则2 2017-4-3 09:18:04 编码和解码 Unicode.gbk,utf8之间的关系 2.对于py2.7, 如果utf8>gbk, ...

  5. 万恶技术系列笔记-jupyter工作路径和源文件打开方式

    万恶技术系列笔记-jupyter工作路径和源文件打开方式   脚本文件,ipynb的正确打开姿势: ipynb不能直接打开,需要复制到工作路径.例如 10_monkeys_model_1.ipynb ...

  6. PE文件学习系列三-PE头详解

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入) Q  Q:408365330     E-Mail:egojit@qq.com 最近比较忙 ...

  7. PE文件学习系列一为什么是PE

    合肥程序员群:49313181.    合肥实名程序员群:128131462 (不愿透露姓名和信息者勿加入)Q  Q:408365330     E-Mail:egojit@qq.com PE概述: ...

  8. 分布式缓存技术redis学习系列(四)——redis高级应用(集群搭建、集群分区原理、集群操作)

    本文是redis学习系列的第四篇,前面我们学习了redis的数据结构和一些高级特性,点击下面链接可回看 <详细讲解redis数据结构(内存模型)以及常用命令> <redis高级应用( ...

  9. RabbitMQ学习系列(四): 几种Exchange 模式

    上一篇,讲了RabbitMQ的具体用法,可以看看这篇文章:RabbitMQ学习系列(三): C# 如何使用 RabbitMQ.今天说些理论的东西,Exchange 的几种模式. AMQP协议中的核心思 ...

随机推荐

  1. Swift3.0都有哪些变化

    从写第一篇Swift文章的时候到现在Swift已经从1.2发展到了今天的3.0,这期间由于Swift目前还在发展阶段并不能向下兼容,因此第一篇文章中的部分代码在当前的Xcode环境中已经无法运行.在W ...

  2. 学习Linux系列--布署常用服务

    本系列文章记录了个人学习过程的点点滴滴. 回到目录 10.mediawiki 知名开源维基框架,我用来构建自己的知识库. 在mediawiki中新建一个http.conf文件 sudo vim /op ...

  3. nginx配置文件简单说明

    #定义Nginx运行的用户和用户组 user www www; #nginx进程数,建议设置为等于CPU总核心数. worker_processes 8; #全局错误日志定义类型,[ debug | ...

  4. AngularJS过滤器

    1.过滤器可以使用一个管道字符(|)添加到表达式和指令中. 再次强调一点,所有的运行都要加入angularJS的库文件(类似JQuery的引用) 常见的AngularJS 过滤器 (1) lowerc ...

  5. HTML5 History 模式

    vue-router 默认 hash 模式 -- 使用 URL 的 hash 来模拟一个完整的 URL,于是当 URL 改变时,页面不会重新加载. 如果不想要很丑的 hash,我们可以用路由的 his ...

  6. RTTI: dynamic_cast typeid

    dynamic_cast:将基类类型的指针向派生类指针安全转换.多用于下行转换.上行转换时,和static_cast是一样的.C++类型转换看这里.而const_cast用来修改类型的const或vo ...

  7. 学习日志 - Openwrt安装python然后wallproxy

    前提: - 先要把U盘插入路由器的usb口,大多数情况Openwrt都会自动挂载的吧,尽量找当前年或前一年的固件.ssh进路由器,可以看到/mnt/sda1 -  让路由器联网,因为需要从网络上下载安 ...

  8. spring MVC、mybatis配置读写分离

    spring MVC.mybatis配置读写分离 1.环境: 3台数据库机器,一个master,二台slave,分别为slave1,slave2 2.要实现的目标: ①使数据写入到master ②读数 ...

  9. Bootstrap3中.container和.container-fluid区别

    .container与.container_fluid是bootstrap中的两种不同类型的外层容器,按照官方的说法,这两者的区别是: .container 类用于固定宽度并支持响应式布局的容器..c ...

  10. moq 的常用使用方法

    测试方法                             Console.WriteLine(mock.Object.GetCountThing()); 匹配参数   mock.Setup(x ...