[求助]请问如何编写查看文件是否是pe格式文件-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼可以直接获取文件大小然后申请buffer后Read进去，或者MapViewOfFile更方便一点~ 2009-8-30 07:38 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 3 楼楼主可以搜索下论坛，论坛上有不少分析PE文件分析工具源码。至于打开文件可以使用fopen函数，像这样: BOOL OpenFileOffopen(const char filename) { FILE pFile; int len; char * buff; pFile=fopen(filename,"rb"); if(NULL==pFile) { return FALSE; } else { fseek(pFile,0,SEEK_END); len=ftell(pFile); buff=new char[len+1]; rewind(pFile); fread(buff,len,1,pFile); m_lpFile=buff; fclose(pFile); return TRUE; } } 或者使用内存映射文件，像这样: BOOL OpenFileofMapping(const char *filename) { HANDLE hFile; HANDLE hFileMapping=NULL; LPVOID pVoid; hFile = CreateFile(filename, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_FLAG_SEQUENTIAL_SCAN, NULL); if(hFile==INVALID_HANDLE_VALUE) { return FALSE; } hFileMapping=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL); if(hFileMapping==NULL) { return FALSE; } pVoid=MapViewOfFile(hFileMapping,FILE_MAP_READ,0,0,0); if(NULL==pVoid) { return FALSE; } m_lpFile=(LPTSTR)pVoid; return TRUE; } 这里是一个C++的源码 http://bbs.pediy.com/showthread.php?t=95422&highlight= 楼主可以参考下。 2009-8-30 09:43 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 4 楼直接map进去不更好？ 2009-8-30 20:00 0
dannylai 雪币： 122 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 38 粉丝 0 关注私信	dannylai 1 5 楼 http://blog.chinaunix.net/u3/96987/showart_1988475.html 看这个 2009-8-31 09:00 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 6 楼这代码经典。可以看看下面的： WindPE v1.0 (PE文件格式分析工具) WinPEDump v2.0 Beta (可执行文件格式分析器… PEEncrypt 文件加密加壳修改 PE入口地址随意区段名器 FS := TFileStream.Create(F, fmOpenRead); if FS.Size < $1000 then begin //判断文件大小，小于0x1000的判定为非有效PE result := 0; exit; end; FS.ReadBuffer(doshead, sizeof(IMAGE_DOS_HEADER)); if doshead.e_magic <> IMAGE_DOS_SIGNATURE then begin //判断Dos头 result := 0; exit; end; FS.Seek(doshead._lfanew, SoFromBeginning); FS.ReadBuffer(pehead, sizeof(IMAGE_NT_HEADERS)); if pehead.Signature <> IMAGE_NT_SIGNATURE then begin //判断PE头 result := 0; exit; end; if pehead.FileHeader.Characteristics and IMAGE_FILE_DLL = IMAGE_FILE_DLL {//判断是EXE还是DLL}then result := 2 else result := 1; 2009-9-1 05:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

achillis

雪币： 7651

活跃值： (523)

能力值：

( LV9，RANK：610 )

在线值：

发帖

32

回帖

2032

粉丝

47

关注

私信

achillis 15: 2 楼

可以直接获取文件大小然后申请buffer后Read进去，或者MapViewOfFile更方便一点~

2009-8-30 07:38

0

SJQIANG

雪币： 179

活跃值： (26)

能力值：

( LV7，RANK：100 )

在线值：

发帖

12

回帖

231

粉丝

0

关注

私信

SJQIANG 2: 3 楼

楼主可以搜索下论坛，论坛上有不少分析PE文件分析工具源码。
至于打开文件可以使用fopen函数，像这样:

BOOL OpenFileOffopen(const char *filename)
{
	FILE * pFile;       
	int len;
	char * buff;

	pFile=fopen(filename,"rb");
	if(NULL==pFile)
	{
		return FALSE;
	}
	else
	{
	    fseek(pFile,0,SEEK_END);
	    len=ftell(pFile);
	    buff=new char[len+1];
	    rewind(pFile);
	    fread(buff,len,1,pFile);
	    m_lpFile=buff;
	    fclose(pFile);
	
		return TRUE;
	}

	

}

或者使用内存映射文件，像这样:

BOOL OpenFileofMapping(const char *filename)
{
	HANDLE hFile;
	HANDLE hFileMapping=NULL; 	LPVOID pVoid;

	hFile = CreateFile(filename,      
                GENERIC_READ,                        
                FILE_SHARE_READ,           
                NULL,                      
                OPEN_EXISTING,            
                FILE_FLAG_SEQUENTIAL_SCAN,     
                NULL);                   

                if(hFile==INVALID_HANDLE_VALUE)
	{
		return FALSE;
	}

	hFileMapping=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);

	if(hFileMapping==NULL)
	{
		return FALSE;
	}

	pVoid=MapViewOfFile(hFileMapping,FILE_MAP_READ,0,0,0);

	if(NULL==pVoid)
	{
		return FALSE;
	}
	m_lpFile=(LPTSTR)pVoid;
	
	return TRUE;

}

这里是一个C++的源码 http://bbs.pediy.com/showthread.php?t=95422&highlight=
楼主可以参考下。

2009-8-30 09:43

0

kalrey

雪币： 146

活跃值： (33)

能力值：

( LV5，RANK：60 )

在线值：

发帖

28

回帖

171

粉丝

1

关注

私信

kalrey 1: 4 楼

直接map进去不更好？

2009-8-30 20:00

0

dannylai

雪币： 122

活跃值： (40)

能力值：

( LV5，RANK：60 )

在线值：

发帖

7

回帖

38

粉丝

0

关注

私信

dannylai 1: 5 楼

http://blog.chinaunix.net/u3/96987/showart_1988475.html

看这个

2009-8-31 09:00

0

panti

雪币： 1602

活跃值： (14)

能力值：

( LV2，RANK：10 )

在线值：

发帖

18

回帖

254

粉丝

0

关注

私信

panti: 6 楼

这代码经典。
可以看看下面的：
WindPE v1.0 (PE文件格式分析工具)
WinPEDump v2.0 Beta (可执行文件格式分析器…
PEEncrypt 文件加密加壳修改 PE入口地址
随意区段名器

FS := TFileStream.Create(F, fmOpenRead);
if FS.Size < $1000 then
begin //判断文件大小，小于0x1000的判定为非有效PE
   result := 0;
   exit;
end;

FS.ReadBuffer(doshead, sizeof(IMAGE_DOS_HEADER));

if doshead.e_magic <> IMAGE_DOS_SIGNATURE then
begin //判断Dos头
   result := 0;
   exit;
end;

FS.Seek(doshead._lfanew, SoFromBeginning);
FS.ReadBuffer(pehead, sizeof(IMAGE_NT_HEADERS));
if pehead.Signature <> IMAGE_NT_SIGNATURE then
begin //判断PE头
   result := 0;
   exit;
end;
if pehead.FileHeader.Characteristics and IMAGE_FILE_DLL = IMAGE_FILE_DLL
   {//判断是EXE还是DLL}then
   result := 2
else
   result := 1;

2009-9-1 05:52

0