-
-
编写PE分析工具是遇到的问题
-
发表于: 2006-5-22 17:43
-
我试者自己编写PE分析工具,结果遇到提示
"0x00401154"指令引用的"0x1020000"内存。该内存不能为"read".
很多Copy了阿勇的代码.
主要的代码如下:
BOOL DlgProc (HWND hWnd,UINT uMsg,WPARAM wParam,LPARAM lParam)
{
int lowID;
switch (uMsg){
case WM_INITDIALOG:
LoadIcon( hInst , MAKEINTRESOURCE(10));
break;
case WM_COMMAND:
lowID=LOWORD(wParam);
if (lowID==1001)
LoadFile("a.exe");//我在当前目录下放的一个PE格式的文件
ShowFileHeaderInfo(hWnd);//显示文件头信息
break;
case WM_CLOSE:
EndDialog(hWnd,FALSE);
break;
default:
return FALSE;
}
return TRUE;
}
BOOL LoadFile(LPSTR pszFileName,HWND hWnd)
{
HANDLE hFile;
BOOL bSuccess=FALSE;
char buf[20];
hFile=CreateFile(pszFileName,GENERIC_READ,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING ,FILE_ATTRIBUTE_ARCHIVE,0);
if(hFile!=INVALID_HANDLE_VALUE)
{
DWORD dwFileSize;
HANDLE hMapFile;
LPVOID lpMem;
stMapFile.hFile=hFile;
dwFileSize=GetFileSize(hFile,0);
hMapFile=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);
if(hMapFile)
{
stMapFile.hMapping =hMapFile;
lpMem=MapViewOfFile(hMapFile,FILE_MAP_READ,0,0,0);
if(lpMem)
{
if(IsPEFile(lpMem)==FALSE)
{
MessageBox(NULL,"不是PE格式的文件","info",MB_ICONINFORMATION|MB_OK);
}
else
{
stMapFile.ImageBase=(LPVOID)lpMem;
MessageBox(NULL,"是PE格式的文件","info",MB_ICONINFORMATION|MB_OK);
bSuccess=TRUE;
ShowFileHeaderInfo(hWnd);
}
UnmapViewOfFile(lpMem);
}
CloseHandle(hMapFile);
}
CloseHandle(hFile);
}
return bSuccess;
}
急啊!帮帮忙!谢谢各位了!
这是Radasm代码http://home.goofar.com/buluo/pe.rar
"0x00401154"指令引用的"0x1020000"内存。该内存不能为"read".
很多Copy了阿勇的代码.
主要的代码如下:
BOOL DlgProc (HWND hWnd,UINT uMsg,WPARAM wParam,LPARAM lParam)
{
int lowID;
switch (uMsg){
case WM_INITDIALOG:
LoadIcon( hInst , MAKEINTRESOURCE(10));
break;
case WM_COMMAND:
lowID=LOWORD(wParam);
if (lowID==1001)
LoadFile("a.exe");//我在当前目录下放的一个PE格式的文件
ShowFileHeaderInfo(hWnd);//显示文件头信息
break;
case WM_CLOSE:
EndDialog(hWnd,FALSE);
break;
default:
return FALSE;
}
return TRUE;
}
BOOL LoadFile(LPSTR pszFileName,HWND hWnd)
{
HANDLE hFile;
BOOL bSuccess=FALSE;
char buf[20];
hFile=CreateFile(pszFileName,GENERIC_READ,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,OPEN_EXISTING ,FILE_ATTRIBUTE_ARCHIVE,0);
if(hFile!=INVALID_HANDLE_VALUE)
{
DWORD dwFileSize;
HANDLE hMapFile;
LPVOID lpMem;
stMapFile.hFile=hFile;
dwFileSize=GetFileSize(hFile,0);
hMapFile=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);
if(hMapFile)
{
stMapFile.hMapping =hMapFile;
lpMem=MapViewOfFile(hMapFile,FILE_MAP_READ,0,0,0);
if(lpMem)
{
if(IsPEFile(lpMem)==FALSE)
{
MessageBox(NULL,"不是PE格式的文件","info",MB_ICONINFORMATION|MB_OK);
}
else
{
stMapFile.ImageBase=(LPVOID)lpMem;
MessageBox(NULL,"是PE格式的文件","info",MB_ICONINFORMATION|MB_OK);
bSuccess=TRUE;
ShowFileHeaderInfo(hWnd);
}
UnmapViewOfFile(lpMem);
}
CloseHandle(hMapFile);
}
CloseHandle(hFile);
}
return bSuccess;
}
急啊!帮帮忙!谢谢各位了!这是Radasm代码http://home.goofar.com/buluo/pe.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
这类错误一般不容易直接看出来,一般通过调试来解决
如果自己调试有困难的话可以把,可以把文件传上来,大伙来帮你调 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
