PE查看工具编写-解密系列【工具篇】解读.ppt

工具篇 -- PEInfo 实践是检验学习成果的唯一标准！通过本章节的学习，大家可以学会自己编写一个PE结构的分析工具，这对于理解PE格式和相关原理非常有帮助的^~^ 程序预览：PEInfo.exe 编程思路：文件格式检查 - FileHeader读取 - FileOptionalHeader读取 - 数据目录表读取 - 区块表读取 - 输出表读取 - 输入表读取 工具篇 -- PEInfo PE格式分析工具的编写并不难，主要就是对PE格式的各个结构进行定位。 我们在头文件里边定义了一个MAP_FILE_STRUCT 结构来存放有关信息。 typedef struct _MAP_FILE_STRUCT { HANDLE hFile; // 文件句柄 HANDLE hMapping; // 映射文件句柄 LPVOID ImageBase; // 映像基址 } MAP_FILE_STRUCT, *PMAP_FILE_STRUCT; 文件格式检查 DOS stub - PE IMAGE_DOS_HEADER STRUCT { WORD e_magic // DOS可执行文件标记 。。。。。。 DWORD e_lfanew // 指向PE文件头（+3ch） } PIMAGE_DOS_HEADER ENDS PIMAGE_DOS_HEADER pDH = NULL; 判断pDH - e_magic == ‘MZ’; 并通过 pDH - e_lfanew 找到 IMAGE_NT_HEADERS 文件格式检查 IMAGE_NT_HEADERS STRUCT { DWORD Signature IMAGE_FILE_HEADER FileHeader IMAGE_OPTIONAL_HEADER32 OptionalHeader } PIMAGE_NT_HEADERS ENDS PIMAGE_NT_HEADERS pNTH = NULL; 检测pNTH - Signature == ‘PE’; 至此，我们确定他符合PE文件的特征。 具体C++（API编程即将推出）实现代码： FileHeader 读取 PIMAGE_NT_HEADERS GetNtHeaders(LPVOID ImageBase) { if( !IsPEFile(ImageBase) ) return NULL; PIMAGE_NT_HEADERS pNtH; PIMAGE_DOS_HEADER pDH; pDH = (PIMAGE_DOS_HEADER)ImageBase; pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH -e_lfanew); return pNtH; } FileHeader 读取 PIMAGE_FILE_HEADER GetFileHeader(LPVOID ImageBase) { PIMAGE_DOS_HEADER pDH = NULL; PIMAGE_NT_HEADERS pNtH = NULL; PIMAGE_FILE_HEADER pFH = NULL; if( !IsPEFile(ImageBase) ) return NULL; pDH = (PIMAGE_DOS_HEADER)ImageBase; pNtH = (PIMAGE_NT_HEADERS)((DWORD)pDH + pDH - e_lfanew); pFH = pNtH - FileHeader; return pFH; } FileOptionalHeader 读取 PIMAGE_OPTIONAL_HEADER GetOptionalHeader(LPVOID ImageBase) { PIMAGE_DOS_HEADER pDH = NULL; PIMAGE_NT_HEADERS pNtH = NULL; PIMAGE_OPTIONAL_HEADER pOH = NULL; if( !IsPEFile(ImageBase) ) return NULL; pDH = (PIMAGE_DOS_HEADER)Im