[共享]自己动手用汇编写PE文件头信息查看工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[共享]自己动手用汇编写PE文件头信息查看工具

发表于: 2008-11-27 09:41 14555

[共享]自己动手用汇编写PE文件头信息查看工具

xhK

2008-11-27 09:41

14555

编程语言：MASAM32 汇编
编程环境：MASM32
所需知识：汇编语言，PE文件结构（http://bbs.pediy.com/showthread.php?s=&threadid=22892这里有）

首先是写有界面的程序，需要定义资源文件
不定义资源文件，若在编程过程中生成控件，则是相当麻烦的
程序最终界面如下

所以定义如下资源，贴出代码
#include <resource.h>

#define ICO_MAIN 2000
#define DLG_MAIN 2000
#define IDC_INFO 2001
#define IDM_MAIN 4000
#define IDM_OPEN 4001
#define IDM_EXIT 4002

ICO_MAIN ICON "Main.ico"

DLG_MAIN DIALOG 100,100,250,140
STYLE DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
CAPTION "PE文件基本信息"
MENU IDM_MAIN
FONT 9,"宋体"
{
CONTROL "",IDC_INFO,"RichEdit20A",196 | ES_WANTRETURN | WS_CHILD | ES_READONLY | WS_VISIBLE |WS_BORDER | WS_VSCROLL | WS_TABSTOP,0,0,249,140

}

IDM_MAIN menu discardable
{
popup "文件(&F)"
BEGIN
menuitem "打开文件(&O)...", IDM_OPEN
menuitem separator
menuitem "退出(&X)", IDM_EXIT
END
}

将这些代码放进peinfo.rc文件中，用rc.exe进行编译生成peinfo.res文件

下来写主程序文件，也贴出代码，必要的地方有注释
.386
.model flat,stdcall
option casemap:none

include windows.inc
include user32.inc
include kernel32.inc
include comdlg32.inc
includelib user32.lib
includelib kernel32.lib
includelib comdlg32.lib

ICO_MAIN equ 2000
DLG_MAIN equ 2000
IDC_INFO equ 2001
IDM_MAIN equ 4000
IDM_OPEN equ 4001
IDM_EXIT equ 4002

.data?
hInstance dd ?
hRichEdit dd ?
hWinMain dd ?
hWinEdit dd ?
szFileName db MAX_PATH dup (?)

.const
szDllEdit db 'RichEd20.dll',0
szClassEdit db 'RichEdit20A',0
szFont db '宋体',0
szExtPe db 'PE Files',0,'*.exe;*dll;*.scr;*fon;*.drv',0
db 'All Files(*.*)',0,'*.*',0,0
szErr db '文件格式错误！',0
szErrFormat db '这个文件不是PE格式的文件！',0

szMsg db '文件名:%s',0dh,0ah
db '--------------------------------------------',0dh,0ah
db '运行平台：                0x%04X',0dh,0ah
db '节区数量：                %d',0dh,0ah
db '文件标记：                0x%04X',0dh,0ah
db '建议装入地址：             0x%08X',0dh,0ah,0
szMsgSection db '---------------------------------------------',0dh,0ah
db '节区名称节区大小虚拟地址 Raw_尺寸  Raw_偏移  节区属性',0dh,0ah
db '----------------------------------------------',0dh,0ah
szFmtSection db '%s  %08X  %08X  %08X  %08X  %08X',0dh,0ah,0,0

;///////////////////////////////////////////////////////////////////////////

.code

_AppendInfo proc _lpsz
local @stCR:CHARRANGE

pushad
invoke GetWindowTextLength,hWinEdit
mov @stCR.cpMin,eax
mov @stCR.cpMax,eax
invoke SendMessage,hWinEdit,EM_EXSETSEL,0,addr @stCR
invoke SendMessage,hWinEdit,EM_REPLACESEL,FALSE,_lpsz
popad
ret
_AppendInfo endp
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
_ProcessPeFile proc _lpFile,_lpPeHead,_dwSize
local @szBuffer[1024]:byte,@szSectionName[16]:byte

pushad
mov edi,_lpPeHead
assume edi:ptr IMAGE_NT_HEADERS

movzx ecx,[edi].FileHeader.Machine
movzx edx,[edi].FileHeader.NumberOfSections
movzx ebx,[edi].FileHeader.Characteristics
invoke wsprintf,addr @szBuffer,addr szMsg,\
addr szFileName,ecx,edx,ebx,[edi].OptionalHeader.ImageBase
invoke SetWindowText,hWinEdit,addr @szBuffer
;----------------------------------------------
;循环显示每个节区的信息
;----------------------------------------------
invoke _AppendInfo,addr szMsgSection
movzx ecx,[edi].FileHeader.NumberOfSections
add edi,sizeof IMAGE_NT_HEADERS
assume edi:ptr IMAGE_SECTION_HEADER
.repeat
push ecx
;-----------------------------------------------------------------
;获取节的名称，由于节名名称不一定是以0结尾的，所以要进行处理
;-----------------------------------------------------------------
invoke RtlZeroMemory,addr @szSectionName,sizeof @szSectionName
push esi
push edi
mov ecx,8
mov esi,edi
lea edi,@szSectionName
cld
@@:
lodsb
.if !al
mov al,' '
.endif
stosb
loop @B
pop edi
pop esi
;---------------------------------------------------------------------
invoke wsprintf,addr @szBuffer,addr szFmtSection,\
addr @szSectionName,[edi].Misc.VirtualSize,\
[edi].VirtualAddress,[edi].SizeOfRawData,\
[edi].PointerToRawData,[edi].Characteristics
invoke _AppendInfo,addr @szBuffer
add edi,sizeof IMAGE_SECTION_HEADER
pop ecx
.untilcxz
assume edi:nothing
popad
ret

_ProcessPeFile endp
;/////////////////////////////////////////////////////////////////////////////////
_Init proc
local @stCf:CHARFORMAT

invoke GetDlgItem,hWinMain,IDC_INFO
mov hWinEdit,eax
invoke LoadIcon,hInstance,ICO_MAIN
invoke SendMessage,hWinMain,WM_SETICON,ICON_BIG,eax
invoke SendMessage,hWinEdit,EM_SETTEXTMODE,TM_PLAINTEXT,0
invoke RtlZeroMemory,addr @stCf,sizeof @stCf
mov @stCf.cbSize,sizeof @stCf
mov @stCf.yHeight,9 * 20
mov @stCf.dwMask,CFM_FACE or CFM_SIZE or CFM_BOLD
invoke lstrcpy,addr @stCf.szFaceName,addr szFont
invoke SendMessage,hWinEdit,EM_SETCHARFORMAT,0,addr @stCf
invoke SendMessage,hWinEdit,EM_EXLIMITTEXT,0,-1
ret
_Init endp
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
_Handler proc C _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext
pushad
mov esi,_lpExceptionRecord
mov edi,_lpContext
assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT
mov eax,_lpSEH
push [eax + 0ch]
pop [edi].regEbp
push [eax + 8]
pop [edi].regEip
push eax
pop [edi].regEsp
assume esi:nothing,edi:nothing
popad
mov eax,ExceptionContinueExecution
ret
_Handler endp
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
_OpenFile proc
local @stOF:OPENFILENAME
local @hFile,@dwFileSize,@hMapFile,@lpMemory
invoke RtlZeroMemory,addr @stOF,sizeof @stOF
mov @stOF.lStructSize,sizeof @stOF
push hWinMain
pop @stOF.hwndOwner
mov @stOF.lpstrFilter,offset szExtPe
mov @stOF.lpstrFile,offset szFileName
mov @stOF.nMaxFile,MAX_PATH
mov @stOF.Flags,OFN_PATHMUSTEXIST or OFN_FILEMUSTEXIST
invoke GetOpenFileName,addr @stOF
.if !eax
jmp @F
.endif
;----------------------------------------------------------
;打开文件并建立Mapping
;----------------------------------------------------------
invoke CreateFile,addr szFileName,GENERIC_READ,\
FILE_SHARE_READ or FILE_SHARE_WRITE,NULL,\
OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE,NULL
.if eax != INVALID_HANDLE_VALUE
mov @hFile,eax
invoke GetFileSize,eax,NULL
mov @dwFileSize,eax
.if eax
invoke CreateFileMapping,@hFile,\
NULL,PAGE_READONLY,0,0,NULL
.if eax
mov @hMapFile,eax
invoke MapViewOfFile,eax,\
FILE_MAP_READ,0,0,0
.if eax
mov @lpMemory,eax
;-------------------------------------
;创建用于错误处理的SEH结构
;-------------------------------------
assume fs:nothing
push ebp
push offset _ErrFormat
push offset _Handler
push fs:[0]
mov fs:[0],esp
;-------------------------
;检测PE文件是否有效
;-------------------------
mov esi,@lpMemory
assume esi:ptr IMAGE_DOS_HEADER
.if [esi].e_magic != IMAGE_DOS_SIGNATURE
jmp _ErrFormat
.endif
add esi,[esi].e_lfanew
assume esi:ptr IMAGE_NT_HEADERS
.if [esi].Signature != IMAGE_NT_SIGNATURE
jmp _ErrFormat
.endif
invoke _ProcessPeFile,@lpMemory,esi,@dwFileSize
jmp _ErrorExit
_ErrFormat: invoke MessageBox,hWinMain,addr szErrFormat,NULL,MB_OK
_ErrorExit:
pop fs:[0]
add esp,0ch
invoke UnmapViewOfFile,@lpMemory
.endif
invoke CloseHandle,@hMapFile
.endif
invoke CloseHandle,@hMapFile
.endif
.endif
@@:
ret
_OpenFile endp
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
_ProcDlgMain proc uses ebx edi esi hWnd,wMsg,wParam,lParam
mov eax,wMsg
.if eax == WM_CLOSE
invoke EndDialog,hWnd,NULL
.elseif eax == WM_INITDIALOG
push hWnd
pop hWinMain
call _Init
.elseif eax == WM_COMMAND
mov eax,wParam
.if ax == IDM_OPEN
call _OpenFile
;invoke MessageBox,NULL,NULL,NULL,NULL
.elseif ax == IDM_EXIT
invoke EndDialog,hWnd,NULL
.endif
.else
mov eax,FALSE
ret
.endif
mov eax,TRUE
ret
_ProcDlgMain endp
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
start:
invoke LoadLibrary,offset szDllEdit
mov hRichEdit,eax
invoke GetModuleHandle,NULL
mov hInstance,eax
invoke DialogBoxParam,hInstance,DLG_MAIN,NULL,offset _ProcDlgMain,NULL
invoke FreeLibrary,hRichEdit
invoke ExitProcess,NULL
end start
代码在这里这里显示的确够乱的，我会打包上去，供大家下载的
把peinfo.asm编译成peinfo.obj，再与peinfo.res连接，就大功告成了，一个查看pe文件头信息的工具就出来了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

PEinfo.rar （12.16kb，122次下载）
2.JPG （11.69kb，570次下载）
3.JPG （39.35kb，571次下载）

收藏・6

免费・7

支持

最新回复 (14)
小菜鸟一雪币： 894 活跃值： (4032) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 2 楼楼主强大 2008-11-27 12:42 0
arsionkx 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	arsionkx 3 楼我晕，这也是原创？和罗的书上的代码界面基本一样，我还以为不同的界面在程序里有，原来是其它软件改过来的 2008-11-27 15:13 0
xhK 雪币： 159 活跃值： (38) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	xhK 3 4 楼看来你真的是晕了，界面是系统的，因为用的系统的东西 2008-11-27 17:05 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 5 楼谢谢楼主分享，挺好的编程资料 2008-11-27 21:06 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 6 楼下载一个收藏。感谢原创分享！ 2008-12-1 00:03 0
adsljz 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	adsljz 7 楼这个是干嘛的？ 2008-12-1 05:29 0
yanguu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 0 关注私信	yanguu 8 楼收藏收藏，路过路过。。。。 2008-12-1 08:41 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼学习手记，值得赞扬.... 2008-12-1 09:40 0
毫子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	毫子 10 楼 dddddddddddddddddd 2008-12-2 23:26 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 11 楼强大，ASM的，难为了 2008-12-3 05:43 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 12 楼好东西定~~~ 2008-12-19 15:43 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 13 楼跟罗云彬书上的一模一样我汗。 2009-2-9 02:52 0
cswuyg 雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	cswuyg 14 楼 ⊙﹏⊙b汗，我搜'RichEd20.dll'无意中跑来这里，竟然发现这个例子跟书上的差不多。⊙﹏⊙b汗不过也不是完全一样，把“_ProcessPeFile.asm”文件的函数放到Main.asm里面了。。还有，下面的第三行复制漏了个‘0’，所以显示的时候中间多了一行东西。 szMsgSection db '---------------------------------------------',0dh,0ah db '节区名称节区大小虚拟地址 Raw_尺寸 Raw_偏移节区属性',0dh,0ah db '----------------------------------------------',0dh,0ah 2010-4-12 22:48 0
hackjack 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	hackjack 15 楼我自己写了一个PE文件头的查看程序。不过是自己把PE文件信息打印到控制台啦。 2010-4-19 14:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xhK

发帖

122

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
小菜鸟一雪币： 894 活跃值： (4032) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 904 粉丝 4 关注私信	小菜鸟一 2 楼楼主强大 2008-11-27 12:42 0
arsionkx 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	arsionkx 3 楼我晕，这也是原创？和罗的书上的代码界面基本一样，我还以为不同的界面在程序里有，原来是其它软件改过来的 2008-11-27 15:13 0
xhK 雪币： 159 活跃值： (38) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 122 粉丝 0 关注私信	xhK 3 4 楼看来你真的是晕了，界面是系统的，因为用的系统的东西 2008-11-27 17:05 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 5 楼谢谢楼主分享，挺好的编程资料 2008-11-27 21:06 0
陈埃雪币： 204 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 84 粉丝 1 关注私信	陈埃 6 楼下载一个收藏。感谢原创分享！ 2008-12-1 00:03 0
adsljz 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	adsljz 7 楼这个是干嘛的？ 2008-12-1 05:29 0
yanguu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 0 关注私信	yanguu 8 楼收藏收藏，路过路过。。。。 2008-12-1 08:41 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼学习手记，值得赞扬.... 2008-12-1 09:40 0
毫子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	毫子 10 楼 dddddddddddddddddd 2008-12-2 23:26 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 11 楼强大，ASM的，难为了 2008-12-3 05:43 0
okyzx 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	okyzx 12 楼好东西定~~~ 2008-12-19 15:43 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 13 楼跟罗云彬书上的一模一样我汗。 2009-2-9 02:52 0
cswuyg 雪币： 90 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	cswuyg 14 楼 ⊙﹏⊙b汗，我搜'RichEd20.dll'无意中跑来这里，竟然发现这个例子跟书上的差不多。⊙﹏⊙b汗不过也不是完全一样，把“_ProcessPeFile.asm”文件的函数放到Main.asm里面了。。还有，下面的第三行复制漏了个‘0’，所以显示的时候中间多了一行东西。 szMsgSection db '---------------------------------------------',0dh,0ah db '节区名称节区大小虚拟地址 Raw_尺寸 Raw_偏移节区属性',0dh,0ah db '----------------------------------------------',0dh,0ah 2010-4-12 22:48 0
hackjack 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	hackjack 15 楼我自己写了一个PE文件头的查看程序。不过是自己把PE文件信息打印到控制台啦。 2010-4-19 14:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复