void CMyPE::OnClickedButton1()

{

	// TODO:  在此添加控件通知处理程序代码

	// 打开一个文件夹选择对话框

	CFileDialog dlg(TRUE);

	dlg.DoModal();

	// 将文件路径显示到编辑框

	CString path = dlg.GetFolderPath();

	CString path1 = dlg.GetFileName();

	m_Edit.SetWindowText(path + L"\\" + path1);

	// 将PE文件读到缓冲区

	HANDLE hFile = CreateFile(path + L"\\" + path1,

		GENERIC_WRITE | GENERIC_READ,

		FILE_SHARE_READ,

		NULL,

		OPEN_EXISTING,

		FILE_ATTRIBUTE_NORMAL,

		NULL);

	if (hFile == (HANDLE)-1)

	{

		printf("文件不存在!\n");

		return;

	}

	DWORD size = GetFileSize(hFile, NULL);

	LPBYTE pBuff = new BYTE[size];

	DWORD dwRead = 0;

	ReadFile(hFile, pBuff, size, &dwRead, 0);

	// 使用对应的结构体解析内存中的数据

	IMAGE_DOS_HEADER* pDos = NULL;

	pDos = (IMAGE_DOS_HEADER*)pBuff;

	if (pDos->e_magic != IMAGE_DOS_SIGNATURE)

	{

		MessageBox(L"不是有效的PE格式!\n");

		return;

	}

	// 找到NT头

	IMAGE_NT_HEADERS* pNt = NULL;

	pNt = (IMAGE_NT_HEADERS*)(pDos->e_lfanew + pBuff);

	if (pNt->Signature != IMAGE_NT_SIGNATURE)

	{

		MessageBox(L"不是有效的PE格式!\n");

		return;

	}

	// 找到文件头

	IMAGE_FILE_HEADER pFile = pNt->FileHeader;

	m_FileTree.DeleteAllItems();

	// 添加区段数量

	CString str1;

	str1.Format(L"区段数量:%d", pFile.NumberOfSections);

	m_FileTree.InsertItem(str1, NULL, TVI_LAST);

	// 添加扩展头大小

	CString str2;

	str2.Format(L"扩展头大小:%d", pFile.SizeOfOptionalHeader);

	m_FileTree.InsertItem(str2, NULL, TVI_LAST);

	// 找到扩展头

	IMAGE_OPTIONAL_HEADER pOptional = pNt->OptionalHeader;

	m_OptTree.DeleteAllItems();

	// OEP

	CString str3;

	str3.Format(L"OEP:%x", pOptional.AddressOfEntryPoint);

	m_OptTree.InsertItem(str3, NULL, TVI_LAST);

	// 镜像基址

	CString str4;

	str4.Format(L"镜像基址:%x", pOptional.ImageBase);

	m_OptTree.InsertItem(str4, NULL, TVI_LAST);

	// 块对齐数

	CString str5;

	str5.Format(L"块对齐数%x", pOptional.SectionAlignment);

	m_OptTree.InsertItem(str5, NULL, TVI_LAST);

	// 文件对齐数

	CString str6;

	str6.Format(L"文件对齐数:%x", pOptional.FileAlignment);

	m_OptTree.InsertItem(str6, NULL, TVI_LAST);

	// 内存大小

	CString str7;

	str7.Format(L"内存大小:%x", pOptional.SizeOfImage);

	m_OptTree.InsertItem(str7, NULL, TVI_LAST);

	// 找到数据目录表

	m_List3.DeleteAllItems();

	PIMAGE_DATA_DIRECTORY dData = pOptional.DataDirectory;

	DWORD dwIndex2 = 0;

	for (DWORD i = 0; i < pOptional.NumberOfRvaAndSizes; i++)

	{

		// 先插入一个item 到列表

		m_List3.InsertItem(dwIndex2, L"");

		CString str8;

		str8.Format(L"%x", dData[i].VirtualAddress);

		m_List3.SetItemText(dwIndex2, 0, str8);

		CString str9;

		str9.Format(L"%x", dData[i].Size);

		m_List3.SetItemText(dwIndex2, 1, str9);

		dwIndex2++;

	}

	// 区段表

	// 使用宏来找到区段头数组的首地址

	// 首地址 = NT头的首地址 + NT头的总字节数

	IMAGE_SECTION_HEADER* pScnHdr = NULL;

	// 使用宏来找到区段头数组的首地址

	pScnHdr = IMAGE_FIRST_SECTION(pNt);

	// 得到区段头的个数

	DWORD scnHdrCount = pNt->FileHeader.NumberOfSections;

	m_SCNTree.DeleteAllItems();

	for (DWORD i = 0; i < scnHdrCount; i++)

	{

		HTREEITEM hItem;

		CStringW str10(pScnHdr[i].Name);

		hItem = m_SCNTree.InsertItem(L"区段名称:" + str10, NULL, TVI_LAST);

		CString str11;

		str11.Format(L"区段大小:%x", pScnHdr[i].Misc.VirtualSize);

		m_SCNTree.InsertItem(str11, hItem);

		CString str12;

		str12.Format(L"RVA:%x", pScnHdr[i].VirtualAddress);

		m_SCNTree.InsertItem(str12, hItem);

		CString str13;

		str13.Format(L"文件大小:%x", pScnHdr[i].SizeOfRawData);

		m_SCNTree.InsertItem(str13, hItem);

		CString str14;

		str14.Format(L"文件偏移:%x", pScnHdr[i].PointerToRawData);

		m_SCNTree.InsertItem(str14, hItem);

	}

	/*导入表*/

	// 1:获取导入表的首地址

	DWORD dwImpTabRva = pNt->OptionalHeader.DataDirectory[1].VirtualAddress;

	// 将RVA转换为FOA

	DWORD dwImpTabFoa = rva2foa(pNt, dwImpTabRva);

	// 得到导入表数组的首地址

	IMAGE_IMPORT_DESCRIPTOR* pImp =

		(IMAGE_IMPORT_DESCRIPTOR*)(dwImpTabFoa + pBuff);

	// 2:遍历导入表数组,数组以0结尾

	m_ImportTree.DeleteAllItems();

	while (pImp->Name != 0)

	{

		// 3:在遍历出每一个导入表后,遍历它的INT或者IAT

		// 3.1 获取导入表DLL的名字

		DWORD dwNameFoa = rva2foa(pNt, pImp->Name);

		char* pDllName = (char*)(dwNameFoa + pBuff);

		HTREEITEM hItem;

		CStringW str15(pDllName);

		hItem = m_ImportTree.InsertItem(L"模块名称:" + str15, NULL, TVI_LAST);

		// 3,2 从INT中得到所有的导入函数的名字/序号

		IMAGE_THUNK_DATA* pInt = 0;

		DWORD dwIntFoa = rva2foa(pNt, pImp->OriginalFirstThunk);

		pInt = (IMAGE_THUNK_DATA*)(dwIntFoa + pBuff);

		while (pInt->u1.Function != 0)

		{

			// 判断导入的方式:序号导入还是名称导入

			if (IMAGE_SNAP_BY_ORDINAL(pInt->u1.Ordinal))

			{

				CString str16;

				str16.Format(L"函数序号:%x", pInt->u1.Ordinal & 0xFFFF);

				m_ImportTree.InsertItem(str16, hItem);

			}

			else

			{

				IMAGE_IMPORT_BY_NAME* pImpName = 0;

				DWORD dwNameFoa1 = rva2foa(pNt, pInt->u1.AddressOfData);

				pImpName = (IMAGE_IMPORT_BY_NAME*)(dwNameFoa1 + pBuff);

				CString str17(pImpName->Name);

				m_ImportTree.InsertItem(L"函数名称:" + str17, hItem);

			}

			++pInt;

		}

		++pImp;

	}

	/*导出表*/

	// 获取导出表首地址

	DWORD dwExpTabFoa = rva2foa(pNt, pNt->OptionalHeader.DataDirectory[0].VirtualAddress);

	m_ExportTree.DeleteAllItems();

	if (pNt->OptionalHeader.DataDirectory[0].VirtualAddress)

	{

		// 定位到导出表结构

		IMAGE_EXPORT_DIRECTORY* pExpTab =

			(IMAGE_EXPORT_DIRECTORY*)(dwExpTabFoa + pBuff);

		// 定位函数名称表

		DWORD* pENT = (DWORD*)(rva2foa(pNt, pExpTab->AddressOfNames) + pBuff);

		// 定位函数序号表

		WORD* pEOT = (WORD*)(rva2foa(pNt, pExpTab->AddressOfNameOrdinals) + pBuff);

		for (DWORD i = 0; i < pExpTab->NumberOfNames; i++)

		{

			char* pName = (char*)(rva2foa(pNt, pENT[i]) + pBuff);

			HTREEITEM hItem;

			CString str19;

			str19.Format(L"函数序号:%d", pEOT[i]);

			hItem = m_ExportTree.InsertItem(str19, NULL, TVI_LAST);

			CString str18(pName);

			m_ExportTree.InsertItem(L"函数名称:" + str18, hItem);

		}

	}

	/*资源表*/

	// 定位到第一层目录结构

	m_CtrlTree.DeleteAllItems();

	if (pNt->OptionalHeader.DataDirectory[2].VirtualAddress)

	{

		IMAGE_RESOURCE_DIRECTORY* pResDir = NULL;

		DWORD dwResTabRva = pNt->OptionalHeader.DataDirectory[2].VirtualAddress;

		DWORD dwResTabFoa = rva2foa(pNt, dwResTabRva);

		pResDir = (IMAGE_RESOURCE_DIRECTORY*)(dwResTabFoa + pBuff);

		parseResources((LPBYTE)pResDir, pResDir, m_CtrlTree, 1);

	}

	/*重定位表*/

	// 定位到重定位快的首地址

	m_ReTree.DeleteAllItems();

	if (pNt->OptionalHeader.DataDirectory[5].VirtualAddress)

	{

		DWORD dwRelTabRva = pNt->OptionalHeader.DataDirectory[5].VirtualAddress;

		DWORD dwRelTabFoa = rva2foa(pNt, dwRelTabRva);

		IMAGE_BASE_RELOCATION* pRelTab =

			(IMAGE_BASE_RELOCATION*)(dwRelTabFoa + pBuff);

		while (pRelTab->SizeOfBlock != 0)

		{

			TypeOffset* pTypeOffset = NULL;

			pTypeOffset = (TypeOffset*)(pRelTab + 1);

			DWORD dwCount = (pRelTab->SizeOfBlock - 8) / 2;

			CString str30;

			str30.Format(L"区段RVA:%x", pRelTab->VirtualAddress);

			HTREEITEM hItem;

			hItem = m_ReTree.InsertItem(str30, NULL, TVI_LAST);

			for (DWORD i = 0; i < dwCount; ++i)

			{

				CString str31;

				str31.Format(L"属性:%x", pTypeOffset[i].Type);

				m_ReTree.InsertItem(str31, hItem);

				CString str32;

				str32.Format(L"偏移:%x", pTypeOffset[i].Offset);

				m_ReTree.InsertItem(str32, hItem);

			}

			// 得到下一个重定位快的首地址

			pRelTab = (IMAGE_BASE_RELOCATION*)((LPBYTE)pRelTab + pRelTab->SizeOfBlock);

		}

	}

	/*TLS表*/

	// 定位到TLS的首地址

	m_TLSTree.DeleteAllItems();

	if (pNt->OptionalHeader.DataDirectory[9].VirtualAddress)

	{

		DWORD dwTLSTabRva = pNt->OptionalHeader.DataDirectory[9].VirtualAddress;

		DWORD dwTLSTabFoa = rva2foa(pNt, dwTLSTabRva);

		IMAGE_TLS_DIRECTORY* pTLSTab =

			(IMAGE_TLS_DIRECTORY*)(dwTLSTabFoa + pBuff);

		CString str33;

		str33.Format(L"数据块开始VA:%x", pTLSTab->StartAddressOfRawData);

		m_TLSTree.InsertItem(str33, NULL, TVI_LAST);

		CString str34;

		str34.Format(L"数据块结束VA:%x", pTLSTab->EndAddressOfRawData);

		m_TLSTree.InsertItem(str34, NULL, TVI_LAST);

		CString str35;

		str35.Format(L"回调表VA:%x", pTLSTab->AddressOfCallBacks);

		m_TLSTree.InsertItem(str35, NULL, TVI_LAST);

	}

}

  

WinPE基础知识之代码解析的更多相关文章

  1. PHP基础知识测试题及解析

      本试题共40道选择题,10道判断题,考试时间1个半小时 一:选择题(单项选择,每题2分): 1. LAMP具体结构不包含下面哪种(A ) A:Windows系统 B:Apache服务器 C:MyS ...

  2. WinPE基础知识之头部

    1.DOS头 // DOS MZ头,大小为64个字节 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // EXE标志,“MZ”(有用,解析时作为是否 ...

  3. oracle 基础知识(九)----SQL解析

    一,解析过程 二,硬解析,软解析,软软解析 01,硬解析 将SQL语句通过监听器发送到Oracle时, 会触发一个Server process生成,来对该客户进程服务.Server process得到 ...

  4. WinPE基础知识之重定位表

    typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; // (重要)需要重定位的位置,这是一个RVA DWORD SizeOfBl ...

  5. WinPE基础知识之导入表

    // 导入表 (结构体数组,以一个全零元素为结尾,每一个数组元素,代表一个PE文件导入信息) // 导入表存储的是从其它PE文件导入过来的函数名.序号,加载到内存之后,还存储这些函数的地址 typed ...

  6. WinPE基础知识之导出表

    // 导出的东西包括函数(变量.类)地址,序号,函数(变量.类)名 typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics; // ...

  7. Struts2入门1 Struts2基础知识

    Struts2入门1 Struts2基础知识 20131130 代码下载: 链接: http://pan.baidu.com/s/11mYG1 密码: aua5 前言: 之前学习了Spring和Hib ...

  8. 浅析C++基础知识

    近期想对C++的面试题目进行一下更加详细的整理.事实上认真思考一下C++程序猿的面试,我们能够发现对程序猿的能力的考察总是万变不离当中,这些基础知识主要分为五部分:一. C/C++基础知识 二. C/ ...

  9. [nRF51822] 11、基础实验代码解析大全 · 实验16 - 内部FLASH读写

     一.实验内容: 通过串口发送单个字符到NRF51822,NRF51822 接收到字符后将其写入到FLASH 的最后一页,之后将其读出并通过串口打印出数据. 二.nRF51822芯片内部flash知识 ...

随机推荐

  1. 数据分析 - Power BI 链接 mysql 数据分析

    链接数据库 点击确定后选择数据库, 然后输入用户名密码, 选择级别选择指定的数据库即可 之后弹出的导航器中即可有可预览的数据 更加推荐使用 再链接数据库的时候高级查询的 sql 中进行 sql 的执行 ...

  2. 在CSS中定义【导航栏】超链接样式

    1.案例css代码 <style> .divcss5 a:link{ color:#F00}/* 链接默认为红色 */ .divcss5 a:hover{ color:#000}/* 鼠标 ...

  3. 20190615 NACE关于采购订单的输出类型

    项目已经做好的配置,我们复盘一下 一.使用NACE 进入输出控制条件: EF 采购订单,首先看->输出类型 标准是使用 nast 作为记录表 1输出类型, 2过程, 3 存取顺序,4 条件记录: ...

  4. 用Excel如何将文本转换为数字的七种方法

    用Excel如何将文本转换为数字的七种方法 当下,很多工作都会用到Excel,下面本文分步介绍了如何将包含文本的Excel单元格转换为包含数字的单元格. 概述: 当导入在另一程序(如 dBASE 或  ...

  5. Spring Security(1):认证和授权的核心组件介绍及源码分析

    Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架.它包括认证(Authentication)和授权(Authorization)两个部 ...

  6. [Tensorflow] 使用 model.save_weights() 保存 / 加载 Keras Subclassed Model

    在 parameters.py 中,定义了各类参数. # training data directory TRAINING_DATA_DIR = './data/' # checkpoint dire ...

  7. 执行sudo命令时command not found的解决办法

    问题的原因: 在编译sudo包的时候默认开启了- -with-secure-path选项. 方法1: sudo vim /etc/sudoers,并在文件内增加这么一行:Defaults secure ...

  8. chrome 监听touch类事件报错:无法被动侦听事件preventDefault

    先上错误信息: Unable to preventDefault inside passive event listener due to target being treated as passiv ...

  9. Oracle 11.2.0.4_Linux单例篇

    Linux 下安装Oracle步骤: 1.设置ip地址  2.设置主机名 3.安装oracle依赖的软件包 mkdir /media/cdrom -p mount /dev/cdrom  /media ...

  10. 使用pycharm开发web——django2.1.5(四)视图和模板相关

    刘老师说这块很重要..... 应该是很重要,大概看了一下,这里面关于views中函数作用,大概看来可能就是相应请求,传入数据和跳转,基本功能上貌似这些框架都差不多吧(其实我并没用过3个框架以上.... ...