51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

网络安全编程:PE编程实例之PE查看器

作者:佚名
安全 应用安全
写PE查看器并不是件复杂的事情,只要按照PE结构一步一步地解析就可以了。下面简单地解析其中几个字段内容,显示一下节表的信息,其余的内容只要稍作修改即可。

[[395692]]

微信公众号:计算机与网络安全

ID:Computer-network

写PE查看器并不是件复杂的事情,只要按照PE结构一步一步地解析就可以了。下面简单地解析其中几个字段内容,显示一下节表的信息,其余的内容只要稍作修改即可。PE查看器的界面如图1所示。

 

 

 

图1 PE查看器解析记事本程序 

 

 

PE查看器的界面按照图1所示的设置,不过这个可以按照个人的偏好进行布局设置。编写该PE查看器的步骤为打开文件并创建文件内存映像,判断文件是否为PE文件并获得PE格式相关结构体的指针,解析基本的PE字段,枚举节表,最后关闭文件。需要在类中添加几个成员变量及成员函数,添加的内容如图2所示。

 

 

 

图2 在类中添加的成员变量及成员函数 

 

 

按照前面所说的顺序,依次实现添加的各个成员函数。

  1. BOOL CPeParseDlg::FileCreate(char *szFileName) 
  3.   BOOL bRet = FALSE
  4.   m_hFile = CreateFile(szFileName, 
  5.     GENERIC_READ | GENERIC_WRITE, 
  6.     FILE_SHARE_READ,NULL,OPEN_EXISTING, 
  7.     FILE_ATTRIBUTE_NORMAL,NULL); 
  8.   if ( m_hFile == INVALID_HANDLE_VALUE ) 
  9.   { 
  10.     return bRet; 
  11.   } 
  12.   m_hMap = CreateFileMapping(m_hFile, NULL
  13.     PAGE_READWRITE | SEC_IMAGE,0, 0, 0); 
  14.   if ( m_hMap == NULL ) 
  15.   { 
  16.     CloseHandle(m_hFile); 
  17.     return bRet; 
  18.   } 
  19.   m_lpBase = MapViewOfFile(m_hMap, 
  20.     FILE_MAP_READ | FILE_SHARE_WRITE, 
  21.     0, 0, 0); 
  22.   if ( m_lpBase == NULL ) 
  23.   { 
  24.     CloseHandle(m_hMap); 
  25.     CloseHandle(m_hFile); 
  26.     return bRet; 
  27.   } 
  28.   bRet = TRUE
  29.   return bRet; 

这个函数的主要功能是打开文件并创建内存文件映像。通常对文件进行连续读写时直接使用ReadFile()和WriteFile()两个函数。当不连续操作文件时,每次在ReadFile()或者WriteFile()后就要使用SetFilePointer()来调整文件指针的位置,这样的操作较为繁琐。内存文件映像的作用是把整个文件映射入进程的虚拟空间中,这样操作文件就像操作内存变量或内存数据一样方便。

创建内存文件映像所使用的函数有两个,分别是CreateFileMapping()和MapViewOfFile()。CreateFileMapping()函数的定义如下: 

  1. HANDLE CreateFileMapping( 
  2.  HANDLE hFile, 
  3.  LPSECURITY_ATTRIBUTES lpAttributes, 
  4.  DWORD flProtect, 
  5.  DWORD dwMaximumSizeHigh, 
  6.  DWORD dwMaximumSizeLow, 
  7.  LPCTSTR lpName 
  8. ); 

参数说明如下。

hFile:该参数是 CreateFile()函数返回的句柄。

lpAttributes:是安全属性,该值通常是 NULL。

flProtect:创建文件映射后的属性,通常设置为可读可写 PAGE_READWRITE。如果需要像装载可执行文件那样把文件映射入内存的话,那么需要使用 SEC_IMAGE。最后3个参数在这里为0。如果创建的映射需要在多进程中共享数据的话,那么最后一个参数设定为一个字符串,以便通过该名称找到该块共享内存。

该函数的返回值为一个内存映射的句柄。

MapViewOfFile()函数的定义如下: 

  1. LPVOID MapViewOfFile( 
  2.  HANDLE hFileMappingObject, 
  3.  DWORD dwDesiredAccess, 
  4.  DWORD dwFileOffsetHigh, 
  5.  DWORD dwFileOffsetLow, 
  6.  SIZE_T dwNumberOfBytesToMap 
  7. ); 

参数说明如下。

hFileMappingObject:该参数为 CreateFileMapping()返回的句柄。

dwDesiredAccess:想获得的访问权限,通常情况下也是可读可写 FILE_MAP_READ、FILE_MAP_WRITE。

最后3个参数一般给0值就可以了。

按照编程的规矩,打开要关闭,申请要释放。CreateFileMapping()的关闭需要使用CloseHandle()函数。MapViewOfFile()的关闭,要使用UnmapViewOfFile()函数,该函数的定义如下: 

  1. BOOL UnmapViewOfFile( 
  2.  LPCVOID lpBaseAddress 
  3. ); 

该函数的参数就是MapViewOfFile()函数的返回值。

接着说PE查看器,文件已经打开,就要判断文件是否为有效的PE文件了。如果是有效的PE文件,就把解析PE格式的相关结构体的指针也得到。代码如下: 

  1. BOOL CPeParseDlg::IsPeFileAndGetPEPointer() 
  3.   BOOL bRet = FALSE
  4.   // 判断是否为 MZ 头 
  5.   m_pDosHdr = (PIMAGE_DOS_HEADER)m_lpBase; 
  6.   if ( m_pDosHdr->e_magic != IMAGE_DOS_SIGNATURE ) 
  7.   { 
  8.     return bRet; 
  9.   } 
  10.   // 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 PE 头的位置 
  11.   m_pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)m_lpBase + m_pDosHdr->e_lfanew); 
  12.   // 判断是否为 PE\0\0 
  13.   if ( m_pNtHdr->Signature != IMAGE_NT_SIGNATURE ) 
  14.   { 
  15.     return bRet; 
  16.   } 
  17.   // 获得节表的位置 
  18.   m_pSecHdr = (PIMAGE_SECTION_HEADER)((DWORD)&(m_pNtHdr->OptionalHeader) 
  19.     + m_pNtHdr->FileHeader.SizeOfOptionalHeader); 
  20.   bRet = TRUE
  21.   return bRet; 

这段代码应该非常容易理解,继续看解析PE格式的部分。 

  1. VOID CPeParseDlg::ParseBasePe() 
  3.   CString StrTmp; 
  4.   // 入口地址 
  5.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.AddressOfEntryPoint); 
  6.   SetDlgItemText(IDC_EDIT_EP, StrTmp); 
  7.   // 映像基地址 
  8.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.ImageBase); 
  9.   SetDlgItemText(IDC_EDIT_IMAGEBASE, StrTmp); 
  10.   // 连接器版本号 
  11.   StrTmp.Format("%d.%d"
  12.     m_pNtHdr->OptionalHeader.MajorLinkerVersion, 
  13.     m_pNtHdr->OptionalHeader.MinorLinkerVersion); 
  14.   SetDlgItemText(IDC_EDIT_LINKVERSION, StrTmp); 
  15.   // 节表数量 
  16.   StrTmp.Format("%02X", m_pNtHdr->FileHeader.NumberOfSections); 
  17.   SetDlgItemText(IDC_EDIT_SECTIONNUM, StrTmp); 
  18.   // 文件对齐值大小 
  19.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.FileAlignment); 
  20.   SetDlgItemText(IDC_EDIT_FILEALIGN, StrTmp); 
  21.   // 内存对齐值大小 
  22.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.SectionAlignment); 
  23.   SetDlgItemText(IDC_EDIT_SECALIGN, StrTmp); 

PE格式的基础信息,就是简单地获取结构体的成员变量,没有过多复杂的内容。获取导入表、导出表比获取基础信息复杂。接下来进行节表的枚举,具体代码如下: 

  1. VOID CPeParseDlg::EnumSections() 
  3.   int nSecNum = m_pNtHdr->FileHeader.NumberOfSections; 
  4.   int i = 0; 
  5.   CString StrTmp; 
  6.   for ( i = 0; i < nSecNum; i ++ ) 
  7.   { 
  8.     m_SectionLIst.InsertItem(i, (const char *)m_pSecHdr[i].Name); 
  9.     StrTmp.Format("%08X", m_pSecHdr[i].VirtualAddress); 
  10.     m_SectionLIst.SetItemText(i, 1, StrTmp); 
  11.     StrTmp.Format("%08X", m_pSecHdr[i].Misc.VirtualSize); 
  12.     m_SectionLIst.SetItemText(i, 2, StrTmp); 
  13.     StrTmp.Format("%08X", m_pSecHdr[i].PointerToRawData); 
  14.     m_SectionLIst.SetItemText(i, 3, StrTmp); 
  15.     StrTmp.Format("%08X", m_pSecHdr[i].SizeOfRawData); 
  16.     m_SectionLIst.SetItemText(i, 4, StrTmp); 
  17.     StrTmp.Format("%08X", m_pSecHdr[i].Characteristics); 
  18.     m_SectionLIst.SetItemText(i, 5, StrTmp); 
  19.   } 

最后的动作是释放动作,因为很简单,这里就不给出代码了。将这些自定义函数通过界面上的“查看”按钮联系起来,整个PE查看器就算是写完了。  

 

责任编辑:庞桂玉 来源: 计算机与网络安全
网络安全网络安全编程PE编程
相关推荐
网络安全编程PE编程实例添加节区
添加节区在很多场合都会用到,比如在加壳中、在免杀中都会经常用到对PE文件添加一个节区。

2021-04-30 18:50:44

网络安全PE编程添加节区
网络安全编程PE编程实例查壳工具
对于PE可执行文件来说,为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。下面来写一个查壳的工具。

2021-04-26 10:32:38

网络安全PE编程工具
网络安全编程PE编程实例之地址转换
这3种地址的转换如果始终使用手动来计算会非常累,因此通常的做法是借助工具来完成。这里编写一个对这3种地址进行转换的工具。

2021-04-28 14:35:48

网络安全PE编程代码
网络安全编程PE文件结构概述
PE结构是Windows下可执行文件的标准结构,可执行文件的装载、内存分布、执行等都依赖于PE结构,而在逆向分析软件时,为了有目的、更高效地了解程序,必须掌握PE结构。

2021-04-19 10:26:41

网络安全PE文件
网络安全编程PE结构的地址与地址的转换
程序在内存中与在文件中有着不同的地址形式,而且PE相关的地址不只有这两种形式。与PE结构相关的地址形式有3种,且这3种地址形式可以进行转换。

2021-04-22 09:35:23

网络安全PE地址
网络安全编程:服务控制管理实例
几乎每一种操作系统都有一种在系统启动时启动的进程机制,这种机制不会依赖于用户的交互。

2021-02-19 09:30:52

网络安全服务控制管理器代码
网络安全编程:DLL编程
本文通过一个简单的DLL程序来初步了解DLL程序的编写。一起来看看吧。

2021-03-03 12:20:42

网络安全DLL编程
网络安全PHP安全编程建议
要提供互联网服务,当你在开发代码的时候必须时刻保持安全意识。可能大部分PHP脚本都对安全问题都不在意,这很大程度上是因为有大量的无经验程序员在使用这门语言。但是,没有理由让你因为对你的代码的不确定性而导致不一致的安全策略。当你在服务器上放任何涉及到钱的东西时,就有可能会有人尝试破解它。创建一个论坛程序或者任何形式的购物车,被攻击的...

2016-10-10 00:18:27

网络安全编程:Windows消息机制实例
那么窗口接收到消息后的一系列行为是如何发生的?下面通过熟悉Windows的消息机制来理解消息处理背后的秘密。

2021-01-18 10:35:18

网络安全Windows代码
网络安全编程:远程线程编程
关于远程线程的知识,本文介绍3个例子,分别是DLL的注入、卸载远程DLL和不依赖DLL进行代码注入。

2021-03-05 13:46:56

网络安全远程线程
网络安全编程:Winsock编程基础
网络攻防是一个比较大的话题,比如端口扫描、SQLInjection扫描、数据包嗅探、网络密码猜解、后门、木马等知识的基础技术。这些技术在入侵剖析中是比较常见的技术。

2021-01-26 13:45:03

网络安全Winsock编程
网络安全编程:创建进程
当运行一个程序的时候,操作系统就会将这个程序从磁盘文件装入内存,分配各种运行程序所需的资源,创建主线程等一系列的工作。进程是运行当中的程序,进程是向操作系统申请资源的基本单位。运行一个记事本程序时,操作系统就会创建一个记事本的进程。当关闭记事本时,记事本进程也随即结束。

2021-02-21 18:19:43

网络安全网络安全编程创建进程
网络安全编程:结束进程
利用调用SendMessage()函数发送WMCLOSE消息到目标窗口的方法,会让程序正常结束而退出。本文介绍类似任务管理器的功能,强制结束某个指定的进程。

2021-02-23 10:20:07

网络安全进程代码
网络安全编程:调试API函数产生断点
产生中断的方法是设置断点。常见的产生中断的断点方法有3种,分别是中断断点、内存断点和硬件断点。下面介绍这3种断点的不同。

2021-05-08 11:50:59

网络安全API函数代码
网络安全编程:逆向调试分析工具OllyDbg
在逆向分析中,调试工具可以说是非常重要的。调试器能够跟踪一个进程的运行时状态,在逆向中称为动态分析工具。本文介绍应用层下最流行的调试工具OllyDbg。

2021-03-31 11:35:00

网络安全OllyDbg分析工具
网络安全编程:C语言逆向wcslen函数
该定义取自MSDN。wcslen()函数的具体用法,这里就不进行介绍了,主要看它的反汇编代码实现。

2021-04-14 15:53:58

网络安全C语言wcslen
网络安全编程:多线程编程基础知识
线程是进程中的一个执行单位(每个进程都必须有一个主线程),一个进程可以有多个线程,而一个线程只存在于一个进程中。在数据关系上,进程与线程是一对多的关系。

2021-03-01 11:20:13

网络安全多线程代码
网络安全编程:目录监控工具
本文介绍通过ReadDirectoryChangesW()来编写一个监视目录变化的程序。

2021-06-18 09:55:09

网络安全目录监控
事件查看器维护服务安全实例
文章中我们介绍了事件查看器的运行方式、记录的日志类型和显示的事件类型。在这篇文章中我们将给出事件查看器维护服务器安全的实例,相信对安全维护人员维护系统会有一定的借鉴和参考价值。

2009-12-07 10:19:16

网络安全编程:C语言逆向函数的识别
下面借助IDA来分析由VC6编译连接C语言的代码,从而来学习掌握逆向的基础知识。

2021-04-06 11:04:54

网络安全C语言代码
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服