获取pE头相关的内容,就是类似如下内容

原理:比较简单,直接读取PE到内存,然后直接强转就行了。

#include <windows.h>

#include <stdio.h>

#include <tchar.h>

#pragma warning(disable:4996)

void viewImageFileCharacteristics(WORD);

int _tmain(int argc, TCHAR *argv[])

{

PIMAGE_DOS_HEADER pImageDosHeader;

PIMAGE_NT_HEADERS pImageNtHeaders;

PIMAGE_FILE_HEADER pImageFileHeader;

HANDLE hFile;

HANDLE hMapObject;

PUCHAR uFileMap;

//if(argc<2)

//return -1;

if(!(hFile=CreateFile(/*argv[1]*/L"c:\\hello.exe",GENERIC_READ,0,NULL,OPEN_EXISTING,0,0)))

return -1;

if (!(hMapObject=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL)))

return -1;

if(!(uFileMap=(PUCHAR)MapViewOfFile(hMapObject,FILE_MAP_READ,0,0,0)))

return -1;

pImageDosHeader=(PIMAGE_DOS_HEADER)uFileMap;

if (pImageDosHeader->e_magic != IMAGE_DOS_SIGNATURE)

return -1;

pImageNtHeaders=(PIMAGE_NT_HEADERS)((PUCHAR)uFileMap+pImageDosHeader->e_lfanew);

if (pImageNtHeaders->Signature!=IMAGE_NT_SIGNATURE)

return -1;

pImageFileHeader=(PIMAGE_FILE_HEADER) &(pImageNtHeaders->FileHeader);

printf("Machine:	0x%04X",pImageFileHeader->Machine);

((pImageFileHeader->Machine == IMAGE_FILE_MACHINE_I386)

?printf("(I386) \n")

:printf(" (?) \n"));

printf("NumberOfSections:	0x%04X\n",pImageFileHeader->NumberOfSections);

printf("TimeDateStamp:	0x%08X\n",pImageFileHeader->TimeDateStamp);

printf("PointerToSymbolTable:	0x08X\n",pImageFileHeader->PointerToSymbolTable);

printf("NumberOfSymbols:	0x%08X\n",pImageFileHeader->NumberOfSymbols);

printf("SizeOfOptionalHeader:	0x%04X\n",pImageFileHeader->SizeOfOptionalHeader);

printf("Characteristics:	0x%04X\n",pImageFileHeader->Characteristics);

viewImageFileCharacteristics(pImageFileHeader->Characteristics);

UnmapViewOfFile(uFileMap);

CloseHandle(hMapObject);

CloseHandle(hFile);

return 0;

}

void viewImageFileCharacteristics(WORD wCharacteristics)

{

char szCharacteristics[100];

memset(szCharacteristics,0,100);

szCharacteristics[0]='(';

if (wCharacteristics & 0x0001)

strcat(szCharacteristics,"RELOCS_STRIPPED|");

if (wCharacteristics & 0x0002)

strcat(szCharacteristics,"EXECUTABLE_IMAGE|");

if (wCharacteristics & 0x0004)

strcat(szCharacteristics,"LINE_NUMS_STRIPPED|");

if (wCharacteristics & 0x0100)

strcat(szCharacteristics,"32BIT_MACHINE|");

if (wCharacteristics & 0x0200)

strcat(szCharacteristics,"DEBUG_STRIPPED|");

if (wCharacteristics & 0x1000)

strcat(szCharacteristics,"FILE_SYSTEM|");

if (wCharacteristics & 0x2000)

strcat(szCharacteristics,"FILE_DLL|");

szCharacteristics[strlen(szCharacteristics)-1]=')';

szCharacteristics[strlen(szCharacteristics)]='\0';

printf("	%s\n",szCharacteristics);

}

执行结果:

Windows Pe 第三章 PE头文件-EX-相关编程-1(PE头内容获取)的更多相关文章

  1. 配置apue的头文件apue.h和unp的头文件anp.h

    配置apue的头文件apue.h和unp的头文件anp.h 如果要使用gcc -g 来生成可调试文件一定要修改Make.defines.linux文件中的CFLAGS变量 修改为:CFLAGS=-an ...

  2. Effective Objective-C 2.0 — 第二条:类的头文件中尽量少引入其他头文件

    第二条:类的头文件中尽量少引入其他头文件 使用向前声明(forward declaring) @class EOCEmployer 1, 将引入头文件的实际尽量延后,只在确有需要时才引入,这样就可以减 ...

  3. Windows Pe 第三章 PE头文件(中)

    这一章的上半部分大体介绍了下PE文件头,下半部分是详细介绍里面的内容,这一章一定要多读几遍,好好记记基础概念和知识,方便之后的学习. 简单回忆一下: 3.4  PE文件头部解析 3.4.1 DOS M ...

  4. Windows Pe 第三章 PE头文件(上)

    第三章  PE头文件 本章是全书重点,所以要好好理解,概念比较多,但是非常重要. PE头文件记录了PE文件中所有的数据的组织方式,它类似于一本书的目录,通过目录我们可以快速定位到某个具体的章节:通过P ...

  5. Windows Pe 第三章 PE头文件(下)

    3.5  数据结构字段详解 3.5.1  PE头IMAGE_NT_HEADER的字段 1.IMAGE_NT_HEADER.Signature +0000h,双字.PE文件标识,被定义为00004550 ...

  6. Python开发【第三章】:文件操作

    一.文件操作模式概述 1.打开文件的模式: r, 只读模式[默认] w,只写模式[不可读:不存在则创建:存在则删除内容:] a, 追加模式[不可读:不存在则创建:存在则只追加内容:] 2." ...

  7. c语言的头文件-不是c++类的头文件?

    下面的概述是参考的这篇文章:http://blog.csdn.net/bingxx11/article/details/7771437 c语言编程中也有,也需要头文件, 头文件不只是C++的类才需要! ...

  8. 在类的头文件里尽量少引入其它头文件 &lt;&lt;Effective Objective-C&gt;&gt;

    与C 和C++ 一样,Objective-C 也使用"头文件"(header file) 与"实现文件"(implementation file)来区隔代码.用 ...

  9. Windows Pe 第三章 PE头文件-EX-相关编程-2(RVA_FOA转换)

    RVA-FOA之间转换 1.首先PE头加载到内存之后是和文件头内容一样的,就算是偏移不同,一个是磁盘扇区大小(400H)另一个是内存页大小(1000H),但是因为两个都是开头位置,所以相同. 2.看下 ...

随机推荐

  1. 技术基础 | 在Apache Cassandra中改变VNodes数量的影响

    Apache Cassandra中num_tokens的默认值在4.0版本中将会有变化!这看起来好像只是在CHANGES.txt文件中做了个小小的改动,但实际上这个改动将会对集群的日常运维有着深远的影 ...

  2. 1.4 数据库和常用SQL语句(正文)——MySQL数据库命令和SQL语句

    前面我们已经讲述了,登录时,我们使用mysql –u root –p命令进行,此时如果设置了密码,则需要输入密码. 输入密码后即进入MySQL的操作界面,此时,命令行窗体左侧显示"mysql ...

  3. 基于es实现一个简单的搜索引擎

    一.什么是es Elasticsearch是一个基于ApacheLucene(TM)的开源搜索引擎.无论在开源还是专有领域,Lucene可以被认为是迄今为止最先进.性能最好的.功能最全的搜索引擎库.但 ...

  4. C# 通过ServiceStack 操作Redis——String类型的使用及示例

    1.引用Nuget包 ServiceStack.Redis 我这里就用别人已经封装好的Reids操作类,来演示,并附上一些说明 RedisConfigInfo--redis配置文件信息 /// < ...

  5. SpringMVC源码分析和启动流程

    https://yq.aliyun.com/articles/707995 在Spring的web容器启动时会去读取web.xml文件,相关启动顺序为:<context-param> -- ...

  6. BeautifulSoup爬取微博热搜榜

    获取url 设定请求头 requests发出get请求 实例化BeautifulSoup对象 BeautifulSoup提取数据 import requests 2 from bs4 import B ...

  7. 轻量易用的微信Sdk发布——Magicodes.Wx.Sdk

    概述 最简洁最易于使用的微信Sdk,包括公众号Sdk.小程序Sdk.企业微信Sdk等,以及Abp VNext集成. GitHub地址:https://github.com/xin-lai/Magico ...

  8. P1579_哥德巴赫猜想(JAVA语言)

    题目背景 1742年6月7日哥德巴赫写信给当时的大数学家欧拉,正式提出了以下的猜想:任何一个大于9的奇数都可以表示成3个质数之和.质数是指除了1和本身之外没有其他约数的数,如2和11都是质数,而6不是 ...

  9. OpenGL光照计算中法线矩阵原理及推到过程

    问题起源 在计算漫反射关照时,需要用到法线,通过法线和光线的点乘值,计算漫反射的产生的光线强度,所以需要从顶点着色器中将法线数据传递到片源着色器中,但是片源着色器中的顶点坐标是经过了模型矩阵变化过的世 ...

  10. 10、MyBatis教程之一对多处理

    11.一对多处理 一对多的理解: 一个老师拥有多个学生 如果对于老师这边,就是一个一对多的现象,即从一个老师下面拥有一群学生(集合)! 1.实体类编写 @Data public class Stude ...