获取pE头相关的内容,就是类似如下内容

原理:比较简单,直接读取PE到内存,然后直接强转就行了。

#include <windows.h>

#include <stdio.h>

#include <tchar.h>

#pragma warning(disable:4996)

void viewImageFileCharacteristics(WORD);

int _tmain(int argc, TCHAR *argv[])

{

PIMAGE_DOS_HEADER pImageDosHeader;

PIMAGE_NT_HEADERS pImageNtHeaders;

PIMAGE_FILE_HEADER pImageFileHeader;

HANDLE hFile;

HANDLE hMapObject;

PUCHAR uFileMap;

//if(argc<2)

//return -1;

if(!(hFile=CreateFile(/*argv[1]*/L"c:\\hello.exe",GENERIC_READ,0,NULL,OPEN_EXISTING,0,0)))

return -1;

if (!(hMapObject=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL)))

return -1;

if(!(uFileMap=(PUCHAR)MapViewOfFile(hMapObject,FILE_MAP_READ,0,0,0)))

return -1;

pImageDosHeader=(PIMAGE_DOS_HEADER)uFileMap;

if (pImageDosHeader->e_magic != IMAGE_DOS_SIGNATURE)

return -1;

pImageNtHeaders=(PIMAGE_NT_HEADERS)((PUCHAR)uFileMap+pImageDosHeader->e_lfanew);

if (pImageNtHeaders->Signature!=IMAGE_NT_SIGNATURE)

return -1;

pImageFileHeader=(PIMAGE_FILE_HEADER) &(pImageNtHeaders->FileHeader);

printf("Machine:	0x%04X",pImageFileHeader->Machine);

((pImageFileHeader->Machine == IMAGE_FILE_MACHINE_I386)

?printf("(I386) \n")

:printf(" (?) \n"));

printf("NumberOfSections:	0x%04X\n",pImageFileHeader->NumberOfSections);

printf("TimeDateStamp:	0x%08X\n",pImageFileHeader->TimeDateStamp);

printf("PointerToSymbolTable:	0x08X\n",pImageFileHeader->PointerToSymbolTable);

printf("NumberOfSymbols:	0x%08X\n",pImageFileHeader->NumberOfSymbols);

printf("SizeOfOptionalHeader:	0x%04X\n",pImageFileHeader->SizeOfOptionalHeader);

printf("Characteristics:	0x%04X\n",pImageFileHeader->Characteristics);

viewImageFileCharacteristics(pImageFileHeader->Characteristics);

UnmapViewOfFile(uFileMap);

CloseHandle(hMapObject);

CloseHandle(hFile);

return 0;

}

void viewImageFileCharacteristics(WORD wCharacteristics)

{

char szCharacteristics[100];

memset(szCharacteristics,0,100);

szCharacteristics[0]='(';

if (wCharacteristics & 0x0001)

strcat(szCharacteristics,"RELOCS_STRIPPED|");

if (wCharacteristics & 0x0002)

strcat(szCharacteristics,"EXECUTABLE_IMAGE|");

if (wCharacteristics & 0x0004)

strcat(szCharacteristics,"LINE_NUMS_STRIPPED|");

if (wCharacteristics & 0x0100)

strcat(szCharacteristics,"32BIT_MACHINE|");

if (wCharacteristics & 0x0200)

strcat(szCharacteristics,"DEBUG_STRIPPED|");

if (wCharacteristics & 0x1000)

strcat(szCharacteristics,"FILE_SYSTEM|");

if (wCharacteristics & 0x2000)

strcat(szCharacteristics,"FILE_DLL|");

szCharacteristics[strlen(szCharacteristics)-1]=')';

szCharacteristics[strlen(szCharacteristics)]='\0';

printf("	%s\n",szCharacteristics);

}

执行结果:

Windows Pe 第三章 PE头文件-EX-相关编程-1(PE头内容获取)的更多相关文章

  1. 配置apue的头文件apue.h和unp的头文件anp.h

    配置apue的头文件apue.h和unp的头文件anp.h 如果要使用gcc -g 来生成可调试文件一定要修改Make.defines.linux文件中的CFLAGS变量 修改为:CFLAGS=-an ...

  2. Effective Objective-C 2.0 — 第二条:类的头文件中尽量少引入其他头文件

    第二条:类的头文件中尽量少引入其他头文件 使用向前声明(forward declaring) @class EOCEmployer 1, 将引入头文件的实际尽量延后,只在确有需要时才引入,这样就可以减 ...

  3. Windows Pe 第三章 PE头文件(中)

    这一章的上半部分大体介绍了下PE文件头,下半部分是详细介绍里面的内容,这一章一定要多读几遍,好好记记基础概念和知识,方便之后的学习. 简单回忆一下: 3.4  PE文件头部解析 3.4.1 DOS M ...

  4. Windows Pe 第三章 PE头文件(上)

    第三章  PE头文件 本章是全书重点,所以要好好理解,概念比较多,但是非常重要. PE头文件记录了PE文件中所有的数据的组织方式,它类似于一本书的目录,通过目录我们可以快速定位到某个具体的章节:通过P ...

  5. Windows Pe 第三章 PE头文件(下)

    3.5  数据结构字段详解 3.5.1  PE头IMAGE_NT_HEADER的字段 1.IMAGE_NT_HEADER.Signature +0000h,双字.PE文件标识,被定义为00004550 ...

  6. Python开发【第三章】:文件操作

    一.文件操作模式概述 1.打开文件的模式: r, 只读模式[默认] w,只写模式[不可读:不存在则创建:存在则删除内容:] a, 追加模式[不可读:不存在则创建:存在则只追加内容:] 2." ...

  7. c语言的头文件-不是c++类的头文件?

    下面的概述是参考的这篇文章:http://blog.csdn.net/bingxx11/article/details/7771437 c语言编程中也有,也需要头文件, 头文件不只是C++的类才需要! ...

  8. 在类的头文件里尽量少引入其它头文件 &lt;&lt;Effective Objective-C&gt;&gt;

    与C 和C++ 一样,Objective-C 也使用"头文件"(header file) 与"实现文件"(implementation file)来区隔代码.用 ...

  9. Windows Pe 第三章 PE头文件-EX-相关编程-2(RVA_FOA转换)

    RVA-FOA之间转换 1.首先PE头加载到内存之后是和文件头内容一样的,就算是偏移不同,一个是磁盘扇区大小(400H)另一个是内存页大小(1000H),但是因为两个都是开头位置,所以相同. 2.看下 ...

随机推荐

  1. Java I/O流 04

    I/O流·其他流 序列流 * A:什么是序列流 * 序列流可以把多个字节输入流整合成一个,从序列流中读取数据时,将从被整合的第一个流开始,读完后再读下一个 * B:使用方式 * 整合两个:Sequen ...

  2. Codeforces Round #541 F. Asya And Kittens

    题面: 传送门 题目描述: Asya把N只(从1-N编号)放到笼子里面,笼子是由一行N个隔间组成.两个相邻的隔间有一个隔板. Asya每天观察到有一对想一起玩,然后就会把相邻的隔间中的隔板取出来,使两 ...

  3. python之commands和subprocess入门介绍(可执行shell命令的模块)

    一.commands模块 1.介绍 当我们使用Python进行编码的时候,但是又想运行一些shell命令,去创建文件夹.移动文件等等操作时,我们可以使用一些Python库去执行shell命令. com ...

  4. 【Azure 应用服务】App Service站点Header头中的中文信息显示乱码?当下载文件时,文件名也是乱码?

    问题描述 在本地开发的站点,响应头中的中文可以正常显示,部署到Azure App Service站点后,响应中文乱码.通过多方面验证,在代码中设置Response的Headers会显示乱码,而直接配置 ...

  5. js_笔记_8月7日记录_活动对象_作用域链_按值传递

    活动对象:简单说就是这个函数的参数和显示声明的变量或函数. 函数内接受的参数实际是创建了一个局部变量:[形参名] = [传进来的值],js的函数传参只传值. 作用域链:执行流进入一个函数,会先创建出作 ...

  6. 关于HashMap的一些思考

    一.HashMap的负载因子的作用 当 HashMap 中的元素个数(包含链表.红黑树上的元素)达到数组长度的0.75倍的时候,开始扩容.   二.HashMap的负载因子为什么是0.75 主要是为了 ...

  7. Spring笔记(三)

    Spring AOP 一.AOP(概念) 1. 什么是AOP 面向切面编程(方面),利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各个部分之间的耦合度降低,提高程序的可重用性,同时提高了 ...

  8. SqlServer触发器的创建与使用

    前言 上期我们介绍了SqlServer的视图和存储过程创建与使用,这期我们介绍一下触发器. 有需要回顾的可以电梯直达看一下: SqlServer视图的创建与使用 SqlServer存储过程的创建与使用 ...

  9. Golang学习的方法和建议

    学习方法: 学习方向:go方向是没有问题的 学习方法:多思考多练习,注重语法和关键词练习,切记哑巴学习,会看不会写,切记注意多写 课外学习,数据结构和算法:清华 谭浩强老师(链表.数组.排序...等等 ...

  10. 第26 章 : 理解 CNI 和 CNI 插件

    理解 CNI 和 CNI 插件 本文将主要分享以下几方面的内容: CNI 是什么? Kubernetes 中如何使用 CNI? 哪个 CNI 插件适合我? 如何开发自己的 CNI 插件? CNI 是什 ...