c++读取pe格式文件

81 阅读 0 评论 54 点赞

我是靠谱客的博主淡淡画板，这篇文章主要介绍c++读取pe格式文件，现在分享给大家，希望可以做个参考。

复制代码

#include <stdio.h>
#include <windows.h>
int main(int argc,char *argv[])
{
FILE *fp;
char filename[MAX_PATH];
IMAGE_DOS_HEADER DOS_header;
//DOS头结构
IMAGE_NT_HEADERS nt_header;
//PE头结构
IMAGE_SECTION_HEADER *psection_header;	//节表结构指针
printf("请输入文件名：");
gets(filename);
fp=fopen(filename,"rb");
if(fp==NULL)
{
printf("nError：打开文件出错，请重试!n");
getchar();
exit(0);
}
system("cls");
printf("n当前文件：%snn",filename);
//检查前两个字节是否为MZ
char ch;
ch=fgetc(fp);
if(ch != 'M')
{
printf("n-->->->该文件不是有效的PE文件!n");
exit(0);
}
else
{
ch=fgetc(fp);
if(ch != 'Z')
{
printf("n-->->->该文件不是有效的PE文件!n");
exit(0);
}
else
{
printf("n-->->->该文件通过第一重有效性检验!n");
}
}
// 判断是否被感染，因为在一般情况下这个位置都应该不变，为0x00
fseek(fp,0x7f,0);
ch=fgetc(fp);
if(ch!=0x00)
{
printf("n-->->->该文件已经被感染!n");
fclose(fp);
exit(0);
}
rewind(fp);
printf("n------------------文件信息-------------------------n");
fread(&DOS_header,sizeof(struct _IMAGE_DOS_HEADER),1,fp);
printf("nPE文件头偏移：%8X hn",DOS_header.e_lfanew);
fseek(fp,DOS_header.e_lfanew,0);
fread(&nt_header,sizeof(struct _IMAGE_NT_HEADERS),1,fp);
if(nt_header.Signature != 0x00004550)
{
printf("n-->->->该文件没有通过第二重有效性检验!n");
fclose(fp);
exit(0);
}
printf("n-->->->该文件通过第二重有效性检验!n");
printf("n包含节的个数：%8X hn",nt_header.FileHeader.NumberOfSections);
printf("n程序入口地址：%8X hn",nt_header.OptionalHeader.AddressOfEntryPoint);
printf("n优先虚拟地址：%8X hn",nt_header.OptionalHeader.ImageBase);
printf("n内存文件映像尺寸：0x%Xnnn",nt_header.OptionalHeader.SizeOfImage);
system("pause");
system("cls");
printf("n------------------各节详尽分析-----------------------nnn");
psection_header = new IMAGE_SECTION_HEADER[nt_header.FileHeader.NumberOfSections];
fread(psection_header,nt_header.FileHeader.NumberOfSections*sizeof(struct _IMAGE_SECTION_HEADER),1,fp);
for(int i=0;i<nt_header.FileHeader.NumberOfSections;i++)
{
printf("n第 %d 节的节表名称：%sn",i+1,psection_header[i].Name);
printf("n第 %d 节的文件偏移：%Xhn",i+1,psection_header[i].PointerToRawData);
printf("n第 %d 节的内存偏移：%Xhn",i+1,psection_header[i].VirtualAddress);
printf("n第 %d 节的实际大小：%XHn",i+1,psection_header[i].Misc.VirtualSize);
printf("n第 %d 节对齐后大小：%XHn",i+1,psection_header[i].SizeOfRawData);
printf("n第 %d 节的相关属性：%XHnnn",i+1,psection_header[i].Characteristics);
}
fclose(fp);
getchar();
return 0;
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
#include <stdio.h>
#include <windows.h>
int main(int argc,char *argv[])
{
FILE *fp;
char filename[MAX_PATH];
IMAGE_DOS_HEADER DOS_header;
//DOS头结构
IMAGE_NT_HEADERS nt_header;
//PE头结构
IMAGE_SECTION_HEADER *psection_header;	//节表结构指针
printf("请输入文件名：");
gets(filename);
fp=fopen(filename,"rb");
if(fp==NULL)
{
printf("nError：打开文件出错，请重试!n");
getchar();
exit(0);
}
system("cls");
printf("n当前文件：%snn",filename);
//检查前两个字节是否为MZ
char ch;
ch=fgetc(fp);
if(ch != 'M')
{
printf("n-->->->该文件不是有效的PE文件!n");
exit(0);
}
else
{
ch=fgetc(fp);
if(ch != 'Z')
{
printf("n-->->->该文件不是有效的PE文件!n");
exit(0);
}
else
{
printf("n-->->->该文件通过第一重有效性检验!n");
}
}
// 判断是否被感染，因为在一般情况下这个位置都应该不变，为0x00
fseek(fp,0x7f,0);
ch=fgetc(fp);
if(ch!=0x00)
{
printf("n-->->->该文件已经被感染!n");
fclose(fp);
exit(0);
}
rewind(fp);
printf("n------------------文件信息-------------------------n");
fread(&DOS_header,sizeof(struct _IMAGE_DOS_HEADER),1,fp);
printf("nPE文件头偏移：%8X hn",DOS_header.e_lfanew);
fseek(fp,DOS_header.e_lfanew,0);
fread(&nt_header,sizeof(struct _IMAGE_NT_HEADERS),1,fp);
if(nt_header.Signature != 0x00004550)
{
printf("n-->->->该文件没有通过第二重有效性检验!n");
fclose(fp);
exit(0);
}
printf("n-->->->该文件通过第二重有效性检验!n");
printf("n包含节的个数：%8X hn",nt_header.FileHeader.NumberOfSections);
printf("n程序入口地址：%8X hn",nt_header.OptionalHeader.AddressOfEntryPoint);
printf("n优先虚拟地址：%8X hn",nt_header.OptionalHeader.ImageBase);
printf("n内存文件映像尺寸：0x%Xnnn",nt_header.OptionalHeader.SizeOfImage);
system("pause");
system("cls");
printf("n------------------各节详尽分析-----------------------nnn");
psection_header = new IMAGE_SECTION_HEADER[nt_header.FileHeader.NumberOfSections];
fread(psection_header,nt_header.FileHeader.NumberOfSections*sizeof(struct _IMAGE_SECTION_HEADER),1,fp);
for(int i=0;i<nt_header.FileHeader.NumberOfSections;i++)
{
printf("n第 %d 节的节表名称：%sn",i+1,psection_header[i].Name);
printf("n第 %d 节的文件偏移：%Xhn",i+1,psection_header[i].PointerToRawData);
printf("n第 %d 节的内存偏移：%Xhn",i+1,psection_header[i].VirtualAddress);
printf("n第 %d 节的实际大小：%XHn",i+1,psection_header[i].Misc.VirtualSize);
printf("n第 %d 节对齐后大小：%XHn",i+1,psection_header[i].SizeOfRawData);
printf("n第 %d 节的相关属性：%XHnnn",i+1,psection_header[i].Characteristics);
}
fclose(fp);
getchar();
return 0;
}