32位PE文件信息查看器(WIN32控制台)

最新推荐文章于 2024-12-06 12:09:46 发布
原创 最新推荐文章于 2024-12-06 12:09:46 发布 · 4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE文件格式 #32位

这是一个用于查看32位PE文件格式的控制台程序,能够读取DOS头、NT头、节区头、导入表和导出表信息。代码仅供学习参考,不保证鲁棒性和安全性,未包含边界检查。作者提醒,程序仅适用于标准32位PE文件,不适用于其他类型文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近重新撸了一遍PE文件的文件格式,这个程序算是复习的产物吧。

说明与警告:
1.只适用于32位PE文件,可以读取符合标准的32位PE文件的DOS头、NT头、节区头、导入表、导出表信息,想要其他功能请在PEFile类中找,没有请留言
2.因为是边复习功能边写的,所以不要纠结程序架构、编码风格、鲁棒性等各种问题,我会再改的
3.翻译可能是不准的,仅供参考
4.所有计数从0开始,程序不对是否越界进行检查
5.转载请注明出处,本人不对引用此源码后程序产生的任何问题负责

单独的PEFile类

class PEFile
{
    //转载请注明出处,本人不对引用此源码后程序产生的任何问题负责
public:
    BYTE* p_buffer;///内容储存区
    size_t size;///文件大小
    DWORD headerOffset;///NT文件头地址
    size_t GetFileSize(const char*filename)
    {
        HANDLE handle = CreateFile(filename, FILE_READ_EA, FILE_SHARE_READ, 0, OPEN_EXISTING, 0, 0);
        if (handle != INVALID_HANDLE_VALUE)
        {
            size_t size = ::GetFileSize(handle, NULL);
            CloseHandle(handle);
            return size;
        }
        return -1;
    }
public:
    BYTE GetBYTE(DWORD address)
    {
        return *((BYTE*)(p_buffer+address));
    }
    WORD GetWORD(DWORD address)
    {
        return *((WORD*)(p_buffer+address));
    }
    DWORD GetDWORD(DWORD address)
    {
        return *((DWORD*)(p_buffer+address));
    }
    PEFile()
    {
        p_buffer=nullptr;
        size=0;
        headerOffset=-1;
    }
    PEFile(const char*filename)
    {

        FILE* file=fopen(filename,"rb");
        if(!file)
        {
            printf("读取失败");
            exit(-1);
        }
        size=GetFileSize(filename);
        p_buffer=new BYTE[size+1];
        fread((void*)p_buffer,size+1,1,file);
        fclose(file);
        headerOffset=GetDWORD(0x3c);
    }
    PEFile(const PEFile& t)
    {
        p_buffer=new BYTE[t.size+1];
        headerOffset=t.headerOffset;
        memcpy(p_buffer,t.p_buffer,size+1);
    }
    PEFile& operator = (const PEFile& t)
    {
        if(p_buffer)
            delete[] p_buffer;
        p_buffer=new BYTE[t.size+1];
        headerOffset=t.headerOffset;
        memcpy(p_buffer,t.p_buffer,size+1);
    }
    bool LoadPEFile(const char* filename)
    {
        if(p_buffer)
            delete[] p_buffer;
        FILE* file=fopen(filename,"rb");
        if(!file)return 0;
        size=GetFileSize(filename);
        p_buffer=new BYTE[size+1];
        fread((void*)p_buffer,size+1,1,file);
        fclose(file);

        headerOffset=GetDWORD(0x3c);
        return 1;
    }
    ~PEFile()
    {
        delete[] p_buffer;
    }
    ///导入表地址
    IMAGE_DATA_DIRECTORY ImportDirectory()
    {
        return *(IMAGE_DATA_DIRECTORY*)(p_buffer+0x80+headerOffset);
    }
    ///导出表地址
    IMAGE_DATA_DIRECTORY ExportDirectory()
    {
        return *(IMAGE_DATA_DIRECTORY*)(p_buffer+0x78+headerOffset);
    }
    ///获取第i个数据目录
    IMAGE_DATA_DIRECTORY GetDataDirectory(WORD i)
    {
        return *(IMAGE_DATA_DIRECTORY*)(p_buffer+0x78+headerOffset+sizeof(IMAGE_DATA_DIRECTORY)*i);
    }
    ///节区数量
    WORD NumberOfSections()
    {
        return GetWORD(0x06+headerOffset);
    }
    ///获取第i个节区头(从0开始计数)
    IMAGE_SECTION_HEADER GetGetSectionHeader(WORD i)
    {
        return *(IMAGE_SECTION_HEADER*)(p_buffer+i*sizeof(IMAGE_SECTION_HEADER)+sizeof(IMAGE_NT_HEADERS32)+headerOffset);
    }
    ///RVA转换为RAW
    DWORD RVAtoRAW(DWORD RVA)
    {
        WORD sz=NumberOfSections();
        DWORD ret=RVA;
        for(WORD i=0;i<sz;i++)
        {
            IMAGE_SECTION_HEADER cur=GetGetSectionHeader(i);
            if(cur.VirtualAddress<=RVA)
            {
                DWORD t=RVA-cur.VirtualAddress+cur.PointerToRawData;
                if(t<ret)
                    ret=t;
            }
        }
        return ret;
    }
    ///获取导入描述表的数量
    size_t GetImportDescriptorNums()
    {
        return ImportDirectory().Size/sizeof(IMAGE_IMPORT_DESCRIPTOR);
    }
    ///获取第i张导入描述表
    IMAGE_IMPORT_DESCRIPTOR GetImportDescriptor(int i)
    {
        return  *(IMAGE_IMPORT_DESCRIPTOR*)(p_buffer+RVAtoRAW(ImportDirectory().VirtualAddress+i*sizeof(IMAGE_IMPORT_DESCRIPTOR)));
    }
    ///获取第i张导入描述表的INT长度
    size_t GetINTLength(WORD i)
    {
        IMAGE_IMPORT_DESCRIPTOR cur=GetImportDescriptor(i);
        DWORD pINT=RVAtoRAW(cur.OriginalFirstThunk);
        size_t ret=0;
        while(GetDWORD(pINT+ret*sizeof(DWORD)))
            ++ret;
        return ret;
    }
    ///获取第i张导入描述表的第j个函数的函数名
    BYTE* GetImprotFunctionName(int i,int j)
    {
        IMAGE_IMPORT_DESCRIPTOR cur=GetImportDescriptor(i);
        DWORD pINT=RVAtoRAW(cur.OriginalFirstThunk)+j*sizeof(DWORD);
        DWORD p_func=RVAtoRAW(GetWORD(pINT));
        return p_buffer+p_func+sizeof(WORD);
    }
    ///获取第i张导入描述表的IAT长度
    size_t GetIATLength(WORD i)
    {
        IMAGE_IMPORT_DESCRIPTOR cur=GetImportDescriptor(i);
        DWORD pINT=RVAtoRAW(cur.FirstThunk);
        size_t ret=0;
        while(GetDWORD(pINT+ret*sizeof(DWORD)))
            ++ret;
        return ret;
    }
    ///获取第i张导入描述表的第j个函数的地址
    DWORD GetImprotFunctionAddress(int i,int j)
    {
        IMAGE_IMPORT_DESCRIPTOR cur=GetImportDescriptor(i);
        DWORD pIAT=RVAtoRAW(cur.FirstThunk)+j*sizeof(DWORD);
        return GetDWORD(pIAT);
    }
    ///获取导出表
    IMAGE_EXPORT_DIRECTORY GetExportDirectory()
    {
        if(ExportDirectory().VirtualAddress!=NULL)
            return *(IMAGE_EXPORT_DIRECTORY*)(p_buffer+RVAtoRAW(ExportDirectory().VirtualAddress));
        else
        {
            IMAGE_EXPORT_DIRECTORY ret;
            memset(&ret,0,sizeof(ret));
            return ret;
        }
    }
    ///导出函数的个数
    size_t GetExprotFunctionNums()
    {
        IMAGE_EXPORT_DIRECTORY cur=GetExportDirectory();
        return cur.NumberOfFunctions;
    }
    ///导出函数的具名函数个数
    size_t GetExprotFunctionNameNums()
    {
        return GetExportDirectory().NumberOfNames;
    }
    ///给出第i个导出函数的信息
    char* GetExportMsg(WORD i,DWORD& address,DWORD& ordinal)
    {
        IMAGE_EXPORT_DIRECTORY cur=GetExportDirectory();

        if(cur.AddressOfFunctions!=0)
            address=GetDWORD(RVAtoRAW(cur.AddressOfFunctions)+i*sizeof(DWORD));
        else
            address=0;

        if(cur.AddressOfNameOrdinals!=0)
            ordinal=GetWORD(RVAtoRAW(cur.AddressOfNameOrdinals)+i*sizeof(WORD));
        else
            ordinal=0;
        if(cur.Name!=0)
        {
            DWORD p_name=GetDWORD(RVAtoRAW(cur.AddressOfNames)+i*sizeof(DWORD));
            return (char*)(p_buffer+RVAtoRAW(p_name));
        }
        else
            return nullptr;
    }
    ///获取DOS头
    IMAGE_DOS_HEADER GetDosHeader()
    {
        return *(IMAGE_DOS_HEADER*)p_buffer;
    }
    ///获取NT文件头
    IMAGE_FILE_HEADER GetNTFileHeader()
    {
        return *(IMAGE_FILE_HEADER*)(p_buffer+headerOffset+sizeof(DWORD));
    }
    IMAGE_OPTIONAL_HEADER32 GetNTOptionalHeader()
    {
        return *(IMAGE_OPTIONAL_HEADER32*)(p_buffer+headerOffset+0x18);
    }
};

完整代码

#include <cstdio>
#include <windows.h>
最低0.47元/天 解锁文章

200万优质内容无限畅学
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
深入探究 Win32 PE 文件格式
sqcfj的专栏
11-09 1753
深入探究 Win32 PE 文件格式<br />译自:An In-Depth Look into the Win32 Portable Executable File Format <br />翻译:Jason Sun(木水鱼) <br />邮件:[email protected] <br />2004年7月12日 <br />  <br /><br />Windows 内幕深入理解 Win32 PE 文件格式<br />Matt Pietrek <br />这篇文章假定你熟悉C++和Win32。 <br
Windows32PE文件结构
无名J0kзr的博客
02-19 1777
文章目录什么是PE文件PE结构图PE文件结构简介1. DOS头1.1 MZ头1.2 DOS残留2. PE头2.1 PE标识2.2 文件头2.3 可选头3. 节表4. 节表数据结构体关系图结构体关系详解1. DOS头2. PE头2.1 PE标识2.2 文件头2.3 可选头3. 节表 什么是PE文件 PE(Portable Executable)即可移植的执行体,使用了PE文件结构的可执行文件被称为PE文件,Win下包括EXE、DLL、SYS、OCX等 PE结构图 PE文件结构简介 1. DOS头 1.1 M
PEloader——32PE文件简单加载器
dawn_ing_的博客
12-06 1030
32PE加载器的简单实现
深入理解Win32PE文件格式(1)
cc011的专栏
06-16 1720
作者:Matt Pietrek本文中大部分内容翻译自MSDN.如有翻译不正确的地方,还望大家多多指点.摘要:  对PE文件格式的深入理解能够帮助我们更好的理解操作系统.如果你真正理解DLL和EXE的本质是什么,那么将有助于你成为一名更加优秀的程序员.这篇是两篇中深入理解关于PE格式中的第一篇,首先浏览一下最近几年PE格式所发生的变化,以及PE格式              大约有好几年前(1994
【滴水三期】32/64——PE文件头字段打印与解析
sunqingyu888的博客
08-03 1031
【滴水三期】32/64——PE文件头字段打印与解析
32PE下安装 64 系统的 方法
02-11
下一步,我们需要准备一些文件,包括 u 盘启动器(pe)、64 操作系统 iso 文件、360 驱动大师、32 的 bootsect 等。我们需要将这些文件保存在 u 盘里。 现在,让我们来看一下安装的过程。首先,我们需要将电脑...
Windows.环境下32汇编语言程序设计
03-23
Windows环境下进行32汇编语言程序设计是一项技术性极强的工作,它涉及到操作系统、处理器架构、编程语言以及软件开发工具等多个方面的知识。这里,我们将深入探讨这一主题,涵盖核心概念、关键技术和实践应用。 ...
win32PE文件(可执行文件)的常用分析与调试工具
05-02
内含多种工具,可对win32平台下的PE文件进行调试和分析,有利于进行PE文件的学习与深入研究
64/32PE文件查看器,类似于eXeScope工具
12-04
64/32PE文件查看器,类似于eXeScope工具,可以查看64或者32程序文件信息
WIN32下的PE工具PETool32源码
10-18
源码 最完整的查看PE信息的很不错的工具,也可以dump进程的PE信息
PE查看器源码
05-13
用MFC写的PE文件源码,其中有一些功能没有实现。里面还有他人写的,可以作为参考
VS2010写的PEinfo(PE文件查看器)源码.rar
07-10
学习了某论坛的解密系列教程,使用Visual Studio 2010写的PEinfo(PE文件信息查看器),实现了启动软件的‘闪屏’功能,就是打开软件时先出一个图片,图片消失后再出程序界面,附全套源码,欢迎一起学习和研究。
汇编写的PE查看工具及其源码
11-14
用汇编写的查看pe文件格式的工具及其源代码
控制台程序,打印pe头信息
weixin_33769125的博客
06-22 332
#include "stdafx.h"#include <stdio.h>#include <string.h>#include <iostream.h>#include <math.h>#include <stdlib.h>#define DWORD unsigned long#define LPVOID void...
Win32汇编:实现PE结构解析器
CSDN
06-16 8221
PE格式是Windows系统下最常用的可执行文件格式,有些应用必须建立在了解PE文件格式的基础之上,如可执行文件的加密与解密,文件型病毒的查杀等,熟练掌握PE文件结构,有助于软件的分析.
c语言,函数计算0869,【原创源码】【C/C++】32PE文件信息查看器WIN32控制台)...
weixin_35656285的博客
05-21 231
[C++] 纯文本查看 复制代码#include [i]#include class PEFile{//转载请注明出处,本人不对引用此源码后程序产生的任何问题负责public:BYTE* p_buffer;///内容储存区size_t size;///文件大小DWORD headerOffset;///NT文件头地址size_t GetFileSize(const char*filename){H...
深度探索Win32可执行文件格式
小发猫
05-23 1777
深度探索Win32可执行文件格式摘要对可执行文件的深入认识将带你深入到系统深处。如果你知道你的exe/dll里是些什么东东,你就是一个更有知识的程序员。作为系列文章的第一章,将关注这几年来PE格式的变化,同时也简单介绍一下PE格式。经过这次更新,作者加入了PE格式是如何与.NET协作的及PE文件表格(PE FILE SECTIONS),RVA,The DataDirectory,函数的输入等内容。
但是F:\微信信息管理\project\Lib\site-packages\win32里明明就有win32clipboard.pyd这个文件,他却报错ModuleNotFoundError: No module named 'win32clipboard'
最新发布
07-07
4. **Python 架构问题**:安装的 pywin32 与 Python 解释器的架构(32或64)不匹配。 ### 解决方案 #### 1. 检查模块搜索路径 在 `manage.py` 的开头添加以下代码,确保包含 `win32clipboard.pyd` 的目录在 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值