首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 《加密与解密(第4版)》
    3. 发新帖
[求助]读PE文件头问题
发表于: 2009-4-30 10:30 9518

[求助]读PE文件头问题

whitewhite 活跃值
2009-4-30 10:30
9518
请问一个正在运行的pe文件,怎么样才能读取到自身的文件头部信息呢?
有多少种方法?有API提供这个功能吗?最好用win32汇编实现

第一次提问,比较没水平,请大家见谅!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (7)
haolongo
雪    币: 86
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我来看看,我也不懂这些。
2009-5-28 12:11
0
shenerming
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
可以获取各个模块的基地址,这里有个API,是HMODULE GetModuleHandle ( LPCTSTR lpModuleName);
2009-5-28 12:16
0
gankeyu
雪    币: 173
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
GetModuleHandle (0)就可以得到MZ开始的PE了
2009-5-29 23:58
0
forevering
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
菜鸟也来学习
2009-6-30 13:56
0
hackjack
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
通过遍历进程名找到进程ID号。然后
ReadProcessMemory(hProcess,(LPCVOID)0x01000000,tmpBuffer,0x400,&dwNumberOfBytesRead)),就可以得到PE头文件啦。
2010-4-13 20:44
0
infopoint
雪    币: 196
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
菜鸟来签过到!
2010-5-15 17:42
0
zOOmAId
雪    币: 61
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
为什么一定是0x01000000?不可以是0x00400000么?
2010-9-29 10:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//