获取pE头相关的内容,就是类似如下内容

原理:比较简单,直接读取PE到内存,然后直接强转就行了。

#include <windows.h>

#include <stdio.h>

#include <tchar.h>

#pragma warning(disable:4996)

void viewImageFileCharacteristics(WORD);

int _tmain(int argc, TCHAR *argv[])

{

PIMAGE_DOS_HEADER pImageDosHeader;

PIMAGE_NT_HEADERS pImageNtHeaders;

PIMAGE_FILE_HEADER pImageFileHeader;

HANDLE hFile;

HANDLE hMapObject;

PUCHAR uFileMap;

//if(argc<2)

//return -1;

if(!(hFile=CreateFile(/*argv[1]*/L"c:\\hello.exe",GENERIC_READ,0,NULL,OPEN_EXISTING,0,0)))

return -1;

if (!(hMapObject=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL)))

return -1;

if(!(uFileMap=(PUCHAR)MapViewOfFile(hMapObject,FILE_MAP_READ,0,0,0)))

return -1;

pImageDosHeader=(PIMAGE_DOS_HEADER)uFileMap;

if (pImageDosHeader->e_magic != IMAGE_DOS_SIGNATURE)

return -1;

pImageNtHeaders=(PIMAGE_NT_HEADERS)((PUCHAR)uFileMap+pImageDosHeader->e_lfanew);

if (pImageNtHeaders->Signature!=IMAGE_NT_SIGNATURE)

return -1;

pImageFileHeader=(PIMAGE_FILE_HEADER) &(pImageNtHeaders->FileHeader);

printf("Machine:	0x%04X",pImageFileHeader->Machine);

((pImageFileHeader->Machine == IMAGE_FILE_MACHINE_I386)

?printf("(I386) \n")

:printf(" (?) \n"));

printf("NumberOfSections:	0x%04X\n",pImageFileHeader->NumberOfSections);

printf("TimeDateStamp:	0x%08X\n",pImageFileHeader->TimeDateStamp);

printf("PointerToSymbolTable:	0x08X\n",pImageFileHeader->PointerToSymbolTable);

printf("NumberOfSymbols:	0x%08X\n",pImageFileHeader->NumberOfSymbols);

printf("SizeOfOptionalHeader:	0x%04X\n",pImageFileHeader->SizeOfOptionalHeader);

printf("Characteristics:	0x%04X\n",pImageFileHeader->Characteristics);

viewImageFileCharacteristics(pImageFileHeader->Characteristics);

UnmapViewOfFile(uFileMap);

CloseHandle(hMapObject);

CloseHandle(hFile);

return 0;

}

void viewImageFileCharacteristics(WORD wCharacteristics)

{

char szCharacteristics[100];

memset(szCharacteristics,0,100);

szCharacteristics[0]='(';

if (wCharacteristics & 0x0001)

strcat(szCharacteristics,"RELOCS_STRIPPED|");

if (wCharacteristics & 0x0002)

strcat(szCharacteristics,"EXECUTABLE_IMAGE|");

if (wCharacteristics & 0x0004)

strcat(szCharacteristics,"LINE_NUMS_STRIPPED|");

if (wCharacteristics & 0x0100)

strcat(szCharacteristics,"32BIT_MACHINE|");

if (wCharacteristics & 0x0200)

strcat(szCharacteristics,"DEBUG_STRIPPED|");

if (wCharacteristics & 0x1000)

strcat(szCharacteristics,"FILE_SYSTEM|");

if (wCharacteristics & 0x2000)

strcat(szCharacteristics,"FILE_DLL|");

szCharacteristics[strlen(szCharacteristics)-1]=')';

szCharacteristics[strlen(szCharacteristics)]='\0';

printf("	%s\n",szCharacteristics);

}

执行结果:

Windows Pe 第三章 PE头文件-EX-相关编程-1(PE头内容获取)的更多相关文章

  1. 配置apue的头文件apue.h和unp的头文件anp.h

    配置apue的头文件apue.h和unp的头文件anp.h 如果要使用gcc -g 来生成可调试文件一定要修改Make.defines.linux文件中的CFLAGS变量 修改为:CFLAGS=-an ...

  2. Effective Objective-C 2.0 — 第二条:类的头文件中尽量少引入其他头文件

    第二条:类的头文件中尽量少引入其他头文件 使用向前声明(forward declaring) @class EOCEmployer 1, 将引入头文件的实际尽量延后,只在确有需要时才引入,这样就可以减 ...

  3. Windows Pe 第三章 PE头文件(中)

    这一章的上半部分大体介绍了下PE文件头,下半部分是详细介绍里面的内容,这一章一定要多读几遍,好好记记基础概念和知识,方便之后的学习. 简单回忆一下: 3.4  PE文件头部解析 3.4.1 DOS M ...

  4. Windows Pe 第三章 PE头文件(上)

    第三章  PE头文件 本章是全书重点,所以要好好理解,概念比较多,但是非常重要. PE头文件记录了PE文件中所有的数据的组织方式,它类似于一本书的目录,通过目录我们可以快速定位到某个具体的章节:通过P ...

  5. Windows Pe 第三章 PE头文件(下)

    3.5  数据结构字段详解 3.5.1  PE头IMAGE_NT_HEADER的字段 1.IMAGE_NT_HEADER.Signature +0000h,双字.PE文件标识,被定义为00004550 ...

  6. Python开发【第三章】:文件操作

    一.文件操作模式概述 1.打开文件的模式: r, 只读模式[默认] w,只写模式[不可读:不存在则创建:存在则删除内容:] a, 追加模式[不可读:不存在则创建:存在则只追加内容:] 2." ...

  7. c语言的头文件-不是c++类的头文件?

    下面的概述是参考的这篇文章:http://blog.csdn.net/bingxx11/article/details/7771437 c语言编程中也有,也需要头文件, 头文件不只是C++的类才需要! ...

  8. 在类的头文件里尽量少引入其它头文件 &lt;&lt;Effective Objective-C&gt;&gt;

    与C 和C++ 一样,Objective-C 也使用"头文件"(header file) 与"实现文件"(implementation file)来区隔代码.用 ...

  9. Windows Pe 第三章 PE头文件-EX-相关编程-2(RVA_FOA转换)

    RVA-FOA之间转换 1.首先PE头加载到内存之后是和文件头内容一样的,就算是偏移不同,一个是磁盘扇区大小(400H)另一个是内存页大小(1000H),但是因为两个都是开头位置,所以相同. 2.看下 ...

随机推荐

  1. git的工作管理和基础操作

    git的工作管理和基础操作 在本地创建git仓库管理我们的代码 初次使用git,先在本地配置一些基础信息 $ git config -l $ git config --global user.name ...

  2. MySQL 40题练习题和答案

    2.查询"生物"课程比"物理"课程成绩高的所有学生的学号: 思路:    获取所有有生物课程的人(学号,成绩) - 临时表    获取所有有物理课程的人(学号, ...

  3. mysql基本指令2

    pymysql:  - 连接.关闭(游标)  - execute()   -- SQL注入    sss' or 1=1 --   - 增删改: conn.commit()  - fetchone f ...

  4. 【老孟Flutter】Flutter 2的新功能

    老孟导读:昨天期待已久的 Flutter 2.0 终于发布了, Flutter Web和Null安全性趋于稳定,Flutter桌面安全性逐渐转向Beta版! 原文链接:https://medium.c ...

  5. P1092 虫食算 题解(搜索)

    题目链接 P1092 虫食算 解题思路 好题啊!这个搜索好难写...... 大概是要考虑进位和考虑使用过某个数字这两个东西,但就很容易出错...... 首先这个从后往前搜比较好想,按照从后往前出现的顺 ...

  6. 归并排序(JAVA语言)

    public class merge { public static void main(String[] args) { // TODO Auto-generated method stub int ...

  7. C语言之漫谈指针(下)

    C语言之漫谈指针(下) 在上节我们讲到了一些关于指针的基础知识: 详见:C语言之漫谈指针(上) 本节大纲: 零.小tips 一.字符指针 二.指针数组与数组指针 三.数组传参与指针传参 四.函数指针及 ...

  8. Distributed | Google File System

    本文为我读GFS论文后做的总结,包括文件系统的读写流程,和一些重要机制. [Google File System] 设计理念 组件失效被认为是常态事件.GFS包括数百上千台普通设备,在任何时间都有可能 ...

  9. Vscode部分快捷键 Ps的简单使用 less中的除法问题 H5 四种布局

    vscode 部分快捷键 ctrl+/ 注释ctrl+回车 光标下移alt+shift+上下箭头 将本行代码向上或向下复制ul>li 自动写alt ,鼠标一直点,就会有很多光标,可以一起写ctr ...

  10. Java【IO流、字节流、字符流】

    1.内存是临时存储 Input输入(读取) output输出(输出) 流:数据(字符字节)1个字符=2个字节 1个字节=8个二进制位 输入:把硬盘中的数据读取到内存中 输出:把内存中的数据写入到硬盘中 ...