2. 程式人生 > >PE檔案結構解析 C、C++程式 vc2008編譯

PE檔案結構解析 C、C++程式 vc2008編譯

阿新 發佈:2018-11-05

//MyPeFile.h------------------------------------------------------------------------------------------------------

typedef unsigned short USHORT;
typedef unsigned long ULONG;
typedef unsigned char UCHAR;
typedef unsigned short WCHAR;    // wc,   16-bit UNICODE character
// 目錄入口
// 匯出目錄
#define IMAGE_DIRECTORY_ENTRY_EXPORT 0
// 匯入目錄
#define IMAGE_DIRECTORY_ENTRY_IMPORT 1
// 資源目錄
#define IMAGE_DIRECTORY_ENTRY_RESOURCE 2
// 異常目錄
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION 3
// 安全目錄
#define IMAGE_DIRECTORY_ENTRY_SECURITY 4
// 重定位基本表
#define IMAGE_DIRECTORY_ENTRY_BASERELOC 5
// 除錯目錄
#define IMAGE_DIRECTORY_ENTRY_DEBUG 6
// 描述字串
#define IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7
// 機器值(MIPS GP)
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8
// TLS目錄
#define IMAGE_DIRECTORY_ENTRY_TLS 9
// 載入配置目錄
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10

/*
* 預定義的資源種類
*/
#define RT_CURSOR MAKEINTRESOURCE(1)
#define RT_BITMAP MAKEINTRESOURCE(2)
#define RT_ICON MAKEINTRESOURCE(3)
#define RT_MENU MAKEINTRESOURCE(4)
#define RT_DIALOG MAKEINTRESOURCE(5)
#define RT_STRING MAKEINTRESOURCE(6)
#define RT_FONTDIR MAKEINTRESOURCE(7)
#define RT_FONT MAKEINTRESOURCE(8)
#define RT_ACCELERATOR MAKEINTRESOURCE(9)
#define RT_RCDATA MAKEINTRESOURCE(10)
#define RT_MESSAGETABLE MAKEINTRESOURCE(11)


typedef struct _IMAGE_DOS_HEADER { // DOS的.EXE頭部
  USHORT e_magic; // 魔術數字
  USHORT e_cblp; // 檔案最後頁的位元組數
  USHORT e_cp; // 檔案頁數
  USHORT e_crlc; // 重定義元素個數
  USHORT e_cparhdr; // 頭部尺寸,以段落為單位
  USHORT e_minalloc; // 所需的最小附加段
  USHORT e_maxalloc; // 所需的最大附加段
  USHORT e_ss; // 初始的SS值(相對偏移量)
  USHORT e_sp; // 初始的SP值
  USHORT e_csum; // 校驗和
  USHORT e_ip; // 初始的IP值
  USHORT e_cs; // 初始的CS值(相對偏移量)
  USHORT e_lfarlc; // 重分配表文件地址
  USHORT e_ovno; // 覆蓋號
  USHORT e_res[4]; // 保留字
  USHORT e_oemid; // OEM識別符號(相對e_oeminfo)
  USHORT e_oeminfo; // OEM資訊
  USHORT e_res2[10]; // 保留字
  long e_lfanew; // 新exe頭部的檔案地址
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

typedef struct _IMAGE_FILE_HEADER {
  USHORT Machine;
  USHORT NumberOfSections;
  ULONG TimeDateStamp;
  ULONG PointerToSymbolTable;
  ULONG NumberOfSymbols;
  USHORT SizeOfOptionalHeader;
  USHORT Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

#define IMAGE_SIZEOF_FILE_HEADER 20


typedef struct _IMAGE_DATA_DIRECTORY {
  ULONG VirtualAddress;
  ULONG Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16

typedef struct _IMAGE_OPTIONAL_HEADER {
  //
  // 標準域
  //
  USHORT Magic;
  UCHAR MajorLinkerVersion;
  UCHAR MinorLinkerVersion;
  ULONG SizeOfCode;
  ULONG SizeOfInitializedData;
  ULONG SizeOfUninitializedData;
  ULONG AddressOfEntryPoint;
  ULONG BaseOfCode;
  ULONG BaseOfData;
  //
  // NT附加域
  //
  ULONG ImageBase;
  ULONG SectionAlignment;
  ULONG FileAlignment;
  USHORT MajorOperatingSystemVersion;
  USHORT MinorOperatingSystemVersion;
  USHORT MajorImageVersion;
  USHORT MinorImageVersion;
  USHORT MajorSubsystemVersion;
  USHORT MinorSubsystemVersion;
  ULONG Reserved1;
  ULONG SizeOfImage;
  ULONG SizeOfHeaders;
  ULONG CheckSum;
  USHORT Subsystem;
  USHORT DllCharacteristics;
  ULONG SizeOfStackReserve;
  ULONG SizeOfStackCommit;
  ULONG SizeOfHeapReserve;
  ULONG SizeOfHeapCommit;
  ULONG LoaderFlags;
  ULONG NumberOfRvaAndSizes;
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

#define IMAGE_SIZEOF_SHORT_NAME 8
typedef struct _IMAGE_SECTION_HEADER {
UCHAR Name[IMAGE_SIZEOF_SHORT_NAME];
  union {
    ULONG PhysicalAddress;
    ULONG VirtualSize;
  } Misc;
  ULONG VirtualAddress;
  ULONG SizeOfRawData;
  ULONG PointerToRawData;
  ULONG PointerToRelocations;
  ULONG PointerToLinenumbers;
  USHORT NumberOfRelocations;
  USHORT NumberOfLinenumbers;
  ULONG Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

/*
0x00000020 程式碼段
0x00000040 已初始化資料段
0x00000080 未初始化資料段
0x04000000 該段資料不能被快取
0x08000000 該段不能被分頁
0x10000000 共享段
0x20000000 可執行段
0x40000000 可讀段
0x80000000 可寫段
*/
typedef struct _IMAGE_RESOURCE_DIRECTORY {
  ULONG Characteristics;
  ULONG TimeDateStamp;
  USHORT MajorVersion;
  USHORT MinorVersion;
  USHORT NumberOfNamedEntries;
  USHORT NumberOfIdEntries;
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
  ULONG Name;
  ULONG OffsetToData;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;
typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
  ULONG OffsetToData;
  ULONG Size;
  ULONG CodePage;
  ULONG Reserved;
} IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;
typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
  USHORT Length;
  WCHAR NameString[1];
} IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;
typedef struct _IMAGE_EXPORT_DIRECTORY {
  ULONG Characteristics;
  ULONG TimeDateStamp;
  USHORT MajorVersion;
  USHORT MinorVersion;
  ULONG Name;
  ULONG Base;
  ULONG NumberOfFunctions;
  ULONG NumberOfNames;
  int *AddressOfFunctions;
  int *AddressOfNames;
  int *AddressOfNameOrdinals;
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

 

 

 

//PE_Test1.cpp-----------------------------------------------------------------------------------------------------------------------

//------------------------------------------------------------------------------------------------------------------------------------------------

 

//------------------------------------------------------------------------------------------------------------------------------------------------

 

//------------------------------------------------------------------------------------------------------------------------------------------------

 

//------------------------------------------------------------------------------------------------------------------------------------------------

 

//------------------------------------------------------------------------------------------------------------------------------------------------

 

//------------------------------------------------------------------------------------------------------------------------------------------------

#include"iostream"
#include"fstream"
#include"string"
#include"vector"
#include"iomanip"
#include"MyPeFile.h"

using namespace std;
int main(void)
{
 int PeFlag=0;//Pe檔案標誌
 char DosStub[100];

 vector<char> DosStub2(40,0);

 string str;
 char dos[3];
 int i=0;
 ifstream fin("KillVirus.exe",ios::binary);//開啟 檔案

 IMAGE_DOS_HEADER Image_dos_header;

 IMAGE_FILE_HEADER Image_file_header;
 
 IMAGE_OPTIONAL_HEADER Image_Optional_header;

 IMAGE_SECTION_HEADER Image_section_header[20];

 fin.read((char *)&Image_dos_header,sizeof(Image_dos_header));//MS—DOS MZ頭部
 
// fin>>Image_dos_header;
 cout<<"MZ頭部:0x"<<hex<<Image_dos_header.e_magic<<endl;
 cout<<"PE_Addr:0x"<<hex<<Image_dos_header.e_lfanew<<endl;

 fin.seekg(0x50,ios::beg);//真實模式的殘餘部份用WinHex查詢的地址
 fin.read(DosStub,40);
 cout<<"DOS殘餘部分(用WinHex):";
 for(i=0;i<36;i++)
 {
  cout<<DosStub[i];
 }
 cout<<endl;

 fin.seekg(Image_dos_header.e_lfanew,ios::beg);//PE標誌
 fin.read((char *)&PeFlag,sizeof(PeFlag));
 cout<<"PE檔案標誌:0x"<<hex<<PeFlag<<endl;
 
 fin.read((char *)&Image_file_header,sizeof(Image_file_header));//PE檔案頭

 cout<<"Machine:0x"<<hex<<Image_file_header.Machine<<endl;
 cout<<"NumberOfSections:0x"<<hex<<Image_file_header.NumberOfSections<<endl;

// cout<<dec<<sizeof(Image_file_header)<<endl;

 fin.read((char *)&Image_Optional_header,sizeof(Image_Optional_header));//PE檔案
 cout<<"Magic:0x"<<hex<<Image_Optional_header.Magic<<endl;
 cout<<"可執行程式碼的大小:0x"<<hex<<Image_Optional_header.SizeOfCode<<endl;
 cout<<"應用程式入口的位置:0x"<<hex<<Image_Optional_header.AddressOfEntryPoint<<endl;
 cout<<".text:0x"<<hex<<Image_Optional_header.BaseOfCode<<endl;
 cout<<".data:0x"<<hex<<Image_Optional_header.BaseOfData<<endl;

 

 cout<<"FileAlignment:"<<hex<<Image_Optional_header.FileAlignment<<endl;

 cout<<"Name/t"<<"SizeOfRawData/t"<<"PointerToRawData/t"<<"Characteristics/t"<<endl;
 for(i=0;i<Image_file_header.NumberOfSections;i++)
 {
  fin.read((char *)&Image_section_header[i],sizeof(Image_section_header[i]));
  cout<<Image_section_header[i].Name<<"/t";
  cout<<hex<<Image_section_header[i].SizeOfRawData<<"/t";
  cout<<hex<<Image_section_header[i].PointerToRawData<<"/t";
  cout<<hex<<Image_section_header[i].Characteristics<<endl;
 }

 


cout<<"********************************/n";

/*

 fin.read(dos,3);//dos_mz
 for(i=0;i<3;i++)
 {
  cout<<dos[i];
 }

 fin.seekg(0x50,ios::beg);//dos stub
 fin.read(DosStub,40);
 cout<<endl;
 for(i=0;i<36;i++)
 {
  cout<<DosStub[i];
 }
 
 fin.seekg(0x100,ios::beg);//dos stub
 fin.read(DosStub,2);
 cout<<endl;
 for(i=0;i<2;i++)
 {
  cout<<DosStub[i];
 }
 cout<<endl;

 short m;
 cout<<sizeof(m)<<endl;*/
 fin.close();
 while(1);
 return 0;
}

 

 

 

相關推薦

PE檔案結構解析 CC++程式 vc2008編譯

//MyPeFile.h------------------------------------------------------------------------------------------------------ typedef unsigned short USHORT;typ

PE檔案結構解析

t.exe共 3072 bytes,下面是t.exe映象 PE 檔案頭的整體結構圖: windows 的 PE 檔案頭結構包括三大部分:DOS 檔案頭、NT 檔案頭以及 Section 表(節表),在 DOS 檔案頭後面有一小段 DOS 程式,被稱為 DOS stub 程

C++PE檔案格式解析類(輕鬆製作自己的PE檔案解析器)

PE是Portable Executable File Format(可移植的執行體)簡寫,它是目前Windows平臺上的主流可執行檔案格式。 PE檔案中包含的內容很多,具體我就不在這解釋了,有興趣的可以參看之後列出的參考資料及其他相關內容。 最近我也在學習PE檔案格式,參

CC++ 檔案的輸入輸出

FILE :是一種檔案型別,也稱檔案指標 注意:以下程式均為在vs2013中的用法,針對其他編譯器,寫法略有不同,但對檔案的用法都一樣! 定義 : FILE *fp fgetc(fp):從fp所指的檔案讀一個字元; fputc(ch,fp):將ch字元寫到檔案指標變數f

判斷檔案目錄是否存在:CC++Windows API boost

一、判斷檔案是否存在 #ifdef WIN32 #include <io.h>                      //C (Windows)    access #else #include <unistd.h>           

如何閱讀別人的程式碼---cc++程式學習

[ C/C++ ] 程式學習--如何閱讀別人的程式碼 ++++++++++++ 第一章: 導論 ++++++++++++ 1.要養成一個習慣, 經常花時間閱讀別人編寫的高品質程式碼. 2.要有選擇地閱讀程式碼, 同時, 還要有自己的目標. 您是想學習新的模式|編碼風格|還是滿足某些需求的方法.

andriod eclipse 如何設定ndk-build也即NDK自動編譯C/C++JNI程式

本篇文章是Android NDK開發技術的第三篇 詳細介紹如何設定eclipse 來自動編譯C/C++程式碼。 首先闡明兩個觀點 C/C++程式碼用ndk-build來進行編譯,java程式碼則需要用Android sdk編譯,為了開發快捷我們需要再每次更改完C語言程

Windows下使用Eclipse執行CC++程式

       相信大家都想在Eclipse下執行C、C++程式,可又無奈不知道怎麼配置,谷歌了好長時間也只是百度到了gcc環境下的配置方式,下了三四個軟體包,到最後還是配置失敗了。        那麼我現在介紹的這種方式呢,不是基於GCC編譯器,而是基於VC的。 步驟一:

常見軟體體系結構:B/S C/S

1 C/S l  C/S結構即客戶端/伺服器(Client/Server),例如QQ; l  需要編寫伺服器端程式,以及客戶端程式,例如我們安裝的就是QQ的客戶端程式; l  缺點:軟體更新時需要同時更新客戶端和伺服器端兩端,比較麻煩; l  優點:安全性比較好。 2 B

二叉排序樹與檔案的操作(CC++)

/* 功能要求: (1)從鍵盤輸入一組學生記錄建立二叉排序樹; (2)二叉排序樹存檔; (3)由檔案恢復記憶體的二叉排序樹; (4)中序遍歷二叉排序樹; (5)求二叉排序樹深度; (6)求二叉排序樹的所有節點數和葉子節點數; (7)向二叉排序樹插入一條學生記錄; (8)從二叉

PHPJavaPythonCC++ 這幾種程式語言都各有什麼特點或優點?

Java 猶如宮澤賢治的《不畏風雨》中出現的、性格木訥的女孩子。從小就由於遲鈍和大食量等特徵被別人當作笨蛋,從小學入學開始進入田徑部、堅持跑步,在中長跑中經常取得好成績,給人以活潑的印象。是十分努力的女孩子。 她的家境並不算好。父親Sun是有才能的藝術家,但不擅長理財,在她14歲的時候因為苦於借債積勞

CC++一次將整個檔案讀入記憶體

@1.問題描述:         C和C++的初學者經常採用一行一行讀入檔案的辦法對檔案資料進行處理。但是經常會有一些情況需要將一個檔案整體一次讀入記憶體處理。而C和C++庫中並沒有提供直接一次讀入檔案全部資料的函式。 @2.解決方法:         目前給出C

Matlab R2017b 編譯CC++程式的編譯器配置

Matlab跑程式碼時,有的程式碼含有Matlab、C或C++混合程式設計,需要在Matlab中配置C、C++編譯器,我自己的電腦系統中裝的是Matlab R2017b和Visual Studio 2015,以這個為例,在Matlab中配置VS2015編譯器。 注意:一定要

哪種程式語言好?大神為你分析 GoJavaCC++ 等主流程式語言

2004 年進入華為,一直在訊息產品開發一線耕耘,今年下半年轉入華為融合視訊業務。曾參與多個重要專案與重要版本的設計、重構與開發,輾轉多個語言:長期從事 C、C++ 開發,Java 與 Python 也有約 30K+ 程式碼的開發經驗,目前正在基於 Go 語言開發,對 HTML/JS/Shell 等指令碼

程式設計師進階之路(CC++JavaPython經典書籍及學習順序)

程式設計師進階之路 初級: 《計算機程式的構造和解釋》 C語言: 1.《C語言程式設計:現代方法:第2版》 2.《C Primer Plus 第五版》 3.《C程式設計語言(第2版·新版)》 4.《C和指標》 5.《C專家程式設計》 6.《C 陷阱與缺陷》 7.《資料結構C

CC++標頭檔案命名約定

標頭檔案命名約定 標頭檔案型別 約定 示例 說明 C++舊式風格 以.h結尾 iostream.h C++程式可以使用 C舊式風格 以.h結尾 math.h C、C++程式可以使用 C++新式風格 沒

檔案操作(CC++API)

1、C檔案操作: (1)標頭檔案 1 #include <stdio.h> (2)寫(註釋中的) 與 讀:

混合編譯c++檔案呼叫c檔案變數和函式c檔案呼叫c++檔案變數和函式

1.c++檔案呼叫c檔案變數和函式 前言:以前見到extern "C"這樣的語句,只是簡單地知道跟外部連結有關,但是沒有深刻理解它的意思。 首先,為什麼要使用extern "C"修飾符? C++呼叫其它語言的函式,由於編譯器生成函式的機制不一樣,所以需要經過特殊處理,才可以

windows下gVim執行cc++python程式

首先宣告,本帖只講源程式的編譯和執行怎麼實現,不講一些好用的外掛。 如果只是安裝了vc++ 6.0,則看下面: 很簡單,一共兩步: 1、建立環境變數 要建立三個環境變數,相應的路徑對應你vc++ 6.0或是python的安裝目錄即可: 1)PATH:一般你的環境

簡述CC++程式編譯的記憶體分配情況

C、C++中記憶體分配方式可以分為三種 1.從靜態儲存區域分配: 記憶體在程式編譯時就已經分配好,這塊記憶體在程式的整個執行期間都存在速度快,不容易出錯,因為有系統會善後。例如全域性變數,static變數等。 2.在棧上分配: