获取PE文件的区段表

最新推荐文章于 2024-01-22 21:25:06 发布
最新推荐文章于 2024-01-22 21:25:06 发布
阅读量4k 收藏 2
点赞数
分类专栏: C/C++/MFC PE文件格式 文章标签: image null header file delete dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SysProgram/article/details/6403451
版权

    获取PE文件的区段表,用的方法是,首先打开CreateFile,然后读取这个文件的DosHeader,

从DosHeader中取e_lfanew这个成员的值,这样就能知道“PE00”的偏移,然后SetFilePointer文件的指针

到e_lfanew + sizeof(IMAGE_NT_SIGNATURE)这个地址,读取FileHeader结构

,从文件头结构中获取NumberOfSections区段的个数,根据区段个数分配够用的缓冲区,

最后SetFilePointer将文件指针从当前位置偏移FileHeader.SizeOfOptionalHeader,进行读取IMAGE_SECTION_HEADER。

 

OK,搞定。

 

代码如下:

 

 //清空列表控件
 m_ListCtrlSection.DeleteAllItems();

 

 IMAGE_DOS_HEADER DosHeader = {0};
 IMAGE_FILE_HEADER FileHeader = {0};
 HANDLE  hFile = INVALID_HANDLE_VALUE;
 DWORD  dwReadLen = 0;
 WORD  NumOfSec = 0; //区段表个数
 IMAGE_SECTION_HEADER *pSecHeader = NULL;
 //打开文件
 hFile = CreateFile("C://windows//system32//cmd.exe",GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
 if (hFile == INVALID_HANDLE_VALUE)
 {
  MessageBox(_T("无法打开文件,分析失败!"));
  return;
 }
 
 //读取数据
 if (!ReadFile(hFile,&DosHeader,sizeof(DosHeader),&dwReadLen,NULL))
 {
  MessageBox(_T("无法读取文件,分析失败!"));
  return;
 }
 SetFilePointer(hFile,DosHeader.e_lfanew + sizeof(IMAGE_NT_SIGNATURE),NULL,FILE_BEGIN);
 ReadFile(hFile,&FileHeader,sizeof(FileHeader),&dwReadLen,NULL);
 //得出区段个数
 NumOfSec = FileHeader.NumberOfSections;
 //分配区段内存
 DWORD SectionSize = NumOfSec * IMAGE_SIZEOF_SECTION_HEADER;
 char *pSecBuff = new char[SectionSize + 1];
 //移动指针到区段表
 SetFilePointer(hFile,FileHeader.SizeOfOptionalHeader,NULL,FILE_CURRENT);
 ReadFile(hFile,pSecBuff,SectionSize,&dwReadLen,NULL);

 //读取完毕,关闭句柄
 CloseHandle(hFile);

 int iIndexItem = 0;
 TCHAR tzBuff[10] = {0};
 char szSecName[IMAGE_SIZEOF_SHORT_NAME] = {0};
 //内存数据指针转换
 pSecHeader = (PIMAGE_SECTION_HEADER)pSecBuff;
 for (int i = 0; i < NumOfSec; i++)
 {
  memcpy(szSecName,pSecHeader->Name,8);
  iIndexItem = m_ListCtrlSection.InsertItem(i,(LPCTSTR)szSecName);
  
  //显示VirtualAddress和VirtualSize
  wsprintf(tzBuff,_T("%08X"),pSecHeader->VirtualAddress);
  m_ListCtrlSection.SetItemText(iIndexItem,1,tzBuff);
  wsprintf(tzBuff,_T("%08X"),pSecHeader->Misc.VirtualSize);
  m_ListCtrlSection.SetItemText(iIndexItem,2,tzBuff);
  
  //显示RawAddress和RawData
  wsprintf(tzBuff,_T("%08X"),pSecHeader->PointerToRawData);
  m_ListCtrlSection.SetItemText(iIndexItem,3,tzBuff);
  wsprintf(tzBuff,_T("%08X"),pSecHeader->SizeOfRawData);
  m_ListCtrlSection.SetItemText(iIndexItem,4,tzBuff);

  wsprintf(tzBuff,_T("%08X"),pSecHeader->Characteristics);
  m_ListCtrlSection.SetItemText(iIndexItem,5,tzBuff);

  //指针后移
  pSecHeader++;
 }
 //释放内存
 if (pSecBuff)
 {
  delete []pSecBuff;
 }

PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)
cay22的专栏
06-23 4624
PE文件格式分析系列(文章2) 一个PE文件rdata段的分析(Win32工程Release版)(一) 在分析MFC工程调试版的PE文件时, 导入在idata段 而这个Win32工程Release版的PE文件, 导入在rdata段, 并且rdata段不仅包含导入信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段. IMAGE_DIRECTORY_ENT
PE格式解析-区段及导入结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段与导入的结构详解
PE文件增加区段
weixin_52971884的博客
01-08 1013
该程序主要是对PE文件增加区段,如果对您有帮助请点一个赞,那方面写的不好的请直接评论批评,我一定会尽最大努力改正 #include <stdio.h> #include <stdlib.h> #include <windows.h> int main () { HANDLE hfile = CreateFileA( "C:\\Users\\486\\Desktop\\WP\\magic.exe", GENERIC_ALL, FILE_SHARE_R
PE常见区段
qq_31314583的博客
04-18 266
【代码】PE常见区段头。
PE 文件区段:.text .data .idata .rdata
LYSM
07-22 9162
通常,一个 PE 文件中有 4 个区段: .text:(代码段),可读、可执行 .data:(数据段),存放全局变量、全局常量等 .idata:(数据段),导入函数的代码段,存放外部函数地址。(当然还有 edata ,导出函数代码段,但不常用) .rdata:(数据段),资源数据段,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
PE文件区段.rar
04-06
标题中的“取PE文件区段”指的是在编程领域中处理可执行文件(Portable Executable, PE)时,获取其内存映像的特定部分,通常包括代码、数据等区段PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库...
易语言取PE文件区段源码-易语言
06-13
易语言取PE文件区段源码的目标就是读取这些信息。 在易语言中实现这个功能,我们首先需要了解PE文件的头文件结构,如DOS头、PE头(COFF头)以及区段DOS头用于兼容旧的DOS系统,而PE头则包含PE文件的元数据,如...
易语言取PE文件区段
07-23
"易语言取PE文件区段"是指通过易语言编程,获取PE文件中的各个区段信息。这包括区段的名字、虚拟地址、虚拟大小、物理地址、大小、以及对齐方式等。这些信息对于分析和理解PE文件的结构至关重要。例如,你可以通过...
易语言取PE文件区段源码
06-03
在易语言中获取PE文件区段源码涉及的知识点主要包括以下几个方面: 1. **PE文件结构**:PE文件文件头(COFF Header)和可选头(Optional Header)组成,后面跟着一系列的区段或节。每个区段包含有代码、数据或...
易语言源码易语言取PE文件区段源码.rar
02-18
例如,"取"字在易语言中常用于获取某个值或信息,"PE文件区段"则涉及到计算机程序的内存布局。 PE(Portable Executable)文件格式是Windows操作系统中可执行文件的标准格式,包括.exe和.dll等。PE文件包含多个...
pe区段随即取名工具过云查杀工具
10-16
这个 就是好用 下载自己测试看看吧这个 就是好用 下载自己测试看看吧这个 就是好用 下载自己测试看看吧这个 就是好用 下载自己测试看看吧这个 就是好用 下载自己测试看看吧这个 就是好用 下载自己测试看看吧
PE文件代码段特征码扫描 以及进程代码段扫描
xiaobai_2511的博客
03-16 3566
好久没写博客了  今天好累  休息一下 想起来写个博客  (未加壳文件) 最近在做PE文件的特征码扫描   刚开始的时候一头雾水  因为对PE文件的格式不是很了解   之前虽然看过一些PE文件的帖子 但是都是看不下去  现在针对这几天的努力 贴上我对PE文件特征码扫描的一些见解  方法和代码 1、PE文件特征码扫描   a). 读文件  判断是否是PE格式的文件文件文件的开始
PE文件格式总结
m0_48995611的博客
06-11 536
PE文件格式总结基本介绍1.DOS HeaderDOS stub2.NT headers2.1File header2.2 Optional header3.Section headers4.Sections其他 时间:202106 基本介绍 PE文件主要由 文件头 和 区段(Section) 构成(如图所示),文件头记录相关信息,而区段则存放相关数据。相连代数据在文件中存储紧接上一部分。 文件头部分包括: (1) DOS Header (2) DOS Stub (3) NT Headers
最详细PE文件格式讲解!!!!!
最新发布
SXXYNHHXX的博客
01-22 2846
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ headerDOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
php 解析pe版本号,PE 文件解析2-获取PE头、区段、数据目录
weixin_28976179的博客
03-16 378
本帖最后由 appsion 于 2020-10-31 12:33 编辑PE 文件解析2 -获取PE头、区段、数据目录新手学习PE文件解析记录,持续更新. 部分参考来源于网络, 无法逐一标注, 如果侵权,请及时联系. 如有错误请指正,误喷.上文链接:https://www.52pojie.cn/thread-1294150-1-1.html2.png (61.5 KB, 下载次数: 0)2020...
逆向基础-PE文件结构
AppWhite_Star的博客
07-30 427
逆向基础-PE文件结构
PE 新增一个节区细节
多一份贡献,多一份环保
08-19 251
PE 新增节区的实际代码与细节
浅谈PE文件结构(四)
weixin_43137410的博客
07-02 1563
完结啦!撒花!
PE结构】3.区段
SMOne
06-23 2174
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出七、导入八、资源九、其他五、区段头概念:    区段存储着PE文件主体也就是区段的一些属性。    整个区段,是一个结构体数组。    数组中的每个元素,也就是每个结构体,对应着PE文件主体中的一段数据,这段数据成为段或节。    结构体:    这个结构体在winnt.h中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值