网络安全编程:PE编程实例之PE查看器

微信公众号:计算机与网络安全

创新互联公司是一家专业从事网站设计、成都网站设计、网页设计的品牌网络公司。如今是成都地区具影响力的网站设计公司,作为专业的成都网站建设公司,创新互联公司依托强大的技术实力、以及多年的网站运营经验,为您提供专业的成都网站建设、营销型网站建设及网站设计开发服务!

ID:Computer-network

写PE查看器并不是件复杂的事情,只要按照PE结构一步一步地解析就可以了。下面简单地解析其中几个字段内容,显示一下节表的信息,其余的内容只要稍作修改即可。PE查看器的界面如图1所示。

图1 PE查看器解析记事本程序

PE查看器的界面按照图1所示的设置,不过这个可以按照个人的偏好进行布局设置。编写该PE查看器的步骤为打开文件并创建文件内存映像,判断文件是否为PE文件并获得PE格式相关结构体的指针,解析基本的PE字段,枚举节表,最后关闭文件。需要在类中添加几个成员变量及成员函数,添加的内容如图2所示。

图2 在类中添加的成员变量及成员函数

按照前面所说的顺序,依次实现添加的各个成员函数。

 
 
 
    
  
  
  
  1. BOOL CPeParseDlg::FileCreate(char *szFileName)
    2. 
  
  
  
  2. {
    3. 
  
  
  
  3.   BOOL bRet = FALSE;
    4. 
  
  
  
  4.   m_hFile = CreateFile(szFileName,
    5. 
  
  
  
  5.     GENERIC_READ | GENERIC_WRITE,
    6. 
  
  
  
  6.     FILE_SHARE_READ,NULL,OPEN_EXISTING,
    7. 
  
  
  
  7.     FILE_ATTRIBUTE_NORMAL,NULL);
    8. 
  
  
  
  8.   if ( m_hFile == INVALID_HANDLE_VALUE )
    9. 
  
  
  
  9.   {
    10. 
  
  
  
  10.     return bRet;
    11. 
  
  
  
  11.   }
    12. 
  
  
  
  12.   m_hMap = CreateFileMapping(m_hFile, NULL,
    13. 
  
  
  
  13.     PAGE_READWRITE | SEC_IMAGE,0, 0, 0);
    14. 
  
  
  
  14.   if ( m_hMap == NULL )
    15. 
  
  
  
  15.   {
    16. 
  
  
  
  16.     CloseHandle(m_hFile);
    17. 
  
  
  
  17.     return bRet;
    18. 
  
  
  
  18.   }
    19. 
  
  
  
  19.   m_lpBase = MapViewOfFile(m_hMap,
    20. 
  
  
  
  20.     FILE_MAP_READ | FILE_SHARE_WRITE,
    21. 
  
  
  
  21.     0, 0, 0);
    22. 
  
  
  
  22.   if ( m_lpBase == NULL )
    23. 
  
  
  
  23.   {
    24. 
  
  
  
  24.     CloseHandle(m_hMap);
    25. 
  
  
  
  25.     CloseHandle(m_hFile);
    26. 
  
  
  
  26.     return bRet;
    27. 
  
  
  
  27.   }
    28. 
  
  
  
  28.   bRet = TRUE;
    29. 
  
  
  
  29.   return bRet;
    30. 
  
  
  
  30. }
    31.

这个函数的主要功能是打开文件并创建内存文件映像。通常对文件进行连续读写时直接使用ReadFile()和WriteFile()两个函数。当不连续操作文件时,每次在ReadFile()或者WriteFile()后就要使用SetFilePointer()来调整文件指针的位置,这样的操作较为繁琐。内存文件映像的作用是把整个文件映射入进程的虚拟空间中,这样操作文件就像操作内存变量或内存数据一样方便。

创建内存文件映像所使用的函数有两个,分别是CreateFileMapping()和MapViewOfFile()。CreateFileMapping()函数的定义如下:

 
 
 
    
  
  
  
  1. HANDLE CreateFileMapping(
    2. 
  
  
  
  2.  HANDLE hFile,
    3. 
  
  
  
  3.  LPSECURITY_ATTRIBUTES lpAttributes,
    4. 
  
  
  
  4.  DWORD flProtect,
    5. 
  
  
  
  5.  DWORD dwMaximumSizeHigh,
    6. 
  
  
  
  6.  DWORD dwMaximumSizeLow,
    7. 
  
  
  
  7.  LPCTSTR lpName
    8. 
  
  
  
  8. );
    9.

参数说明如下。

hFile:该参数是 CreateFile()函数返回的句柄。

lpAttributes:是安全属性,该值通常是 NULL。

flProtect:创建文件映射后的属性,通常设置为可读可写 PAGE_READWRITE。如果需要像装载可执行文件那样把文件映射入内存的话,那么需要使用 SEC_IMAGE。最后3个参数在这里为0。如果创建的映射需要在多进程中共享数据的话,那么最后一个参数设定为一个字符串,以便通过该名称找到该块共享内存。

该函数的返回值为一个内存映射的句柄。

MapViewOfFile()函数的定义如下:

 
 
 
    
  
  
  
  1. LPVOID MapViewOfFile(
    2. 
  
  
  
  2.  HANDLE hFileMappingObject,
    3. 
  
  
  
  3.  DWORD dwDesiredAccess,
    4. 
  
  
  
  4.  DWORD dwFileOffsetHigh,
    5. 
  
  
  
  5.  DWORD dwFileOffsetLow,
    6. 
  
  
  
  6.  SIZE_T dwNumberOfBytesToMap
    7. 
  
  
  
  7. );
    8.

参数说明如下。

hFileMappingObject:该参数为 CreateFileMapping()返回的句柄。

dwDesiredAccess:想获得的访问权限,通常情况下也是可读可写 FILE_MAP_READ、FILE_MAP_WRITE。

最后3个参数一般给0值就可以了。

按照编程的规矩,打开要关闭,申请要释放。CreateFileMapping()的关闭需要使用CloseHandle()函数。MapViewOfFile()的关闭,要使用UnmapViewOfFile()函数,该函数的定义如下:

 
 
 
    
  
  
  
  1. BOOL UnmapViewOfFile(
    2. 
  
  
  
  2.  LPCVOID lpBaseAddress
    3. 
  
  
  
  3. );
    4.

该函数的参数就是MapViewOfFile()函数的返回值。

接着说PE查看器,文件已经打开,就要判断文件是否为有效的PE文件了。如果是有效的PE文件,就把解析PE格式的相关结构体的指针也得到。代码如下:

 
 
 
    
  
  
  
  1. BOOL CPeParseDlg::IsPeFileAndGetPEPointer()
    2. 
  
  
  
  2. {
    3. 
  
  
  
  3.   BOOL bRet = FALSE;
    4. 
  
  
  
  4.   // 判断是否为 MZ 头
    5. 
  
  
  
  5.   m_pDosHdr = (PIMAGE_DOS_HEADER)m_lpBase;
    6. 
  
  
  
  6.   if ( m_pDosHdr->e_magic != IMAGE_DOS_SIGNATURE )
    7. 
  
  
  
  7.   {
    8. 
  
  
  
  8.     return bRet;
    9. 
  
  
  
  9.   }
    10. 
  
  
  
  10.   // 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 PE 头的位置
    11. 
  
  
  
  11.   m_pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)m_lpBase + m_pDosHdr->e_lfanew);
    12. 
  
  
  
  12.   // 判断是否为 PE\0\0
    13. 
  
  
  
  13.   if ( m_pNtHdr->Signature != IMAGE_NT_SIGNATURE )
    14. 
  
  
  
  14.   {
    15. 
  
  
  
  15.     return bRet;
    16. 
  
  
  
  16.   }
    17. 
  
  
  
  17.   // 获得节表的位置
    18. 
  
  
  
  18.   m_pSecHdr = (PIMAGE_SECTION_HEADER)((DWORD)&(m_pNtHdr->OptionalHeader)
    19. 
  
  
  
  19.     + m_pNtHdr->FileHeader.SizeOfOptionalHeader);
    20. 
  
  
  
  20.   bRet = TRUE;
    21. 
  
  
  
  21.   return bRet;
    22. 
  
  
  
  22. }
    23.

这段代码应该非常容易理解,继续看解析PE格式的部分。

 
 
 
    
  
  
  
  1. VOID CPeParseDlg::ParseBasePe()
    2. 
  
  
  
  2. {
    3. 
  
  
  
  3.   CString StrTmp;
    4. 
  
  
  
  4.   // 入口地址
    5. 
  
  
  
  5.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.AddressOfEntryPoint);
    6. 
  
  
  
  6.   SetDlgItemText(IDC_EDIT_EP, StrTmp);
    7. 
  
  
  
  7.   // 映像基地址
    8. 
  
  
  
  8.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.ImageBase);
    9. 
  
  
  
  9.   SetDlgItemText(IDC_EDIT_IMAGEBASE, StrTmp);
    10. 
  
  
  
  10.   // 连接器版本号
    11. 
  
  
  
  11.   StrTmp.Format("%d.%d",
    12. 
  
  
  
  12.     m_pNtHdr->OptionalHeader.MajorLinkerVersion,
    13. 
  
  
  
  13.     m_pNtHdr->OptionalHeader.MinorLinkerVersion);
    14. 
  
  
  
  14.   SetDlgItemText(IDC_EDIT_LINKVERSION, StrTmp);
    15. 
  
  
  
  15.   // 节表数量
    16. 
  
  
  
  16.   StrTmp.Format("%02X", m_pNtHdr->FileHeader.NumberOfSections);
    17. 
  
  
  
  17.   SetDlgItemText(IDC_EDIT_SECTIONNUM, StrTmp);
    18. 
  
  
  
  18.   // 文件对齐值大小
    19. 
  
  
  
  19.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.FileAlignment);
    20. 
  
  
  
  20.   SetDlgItemText(IDC_EDIT_FILEALIGN, StrTmp);
    21. 
  
  
  
  21.   // 内存对齐值大小
    22. 
  
  
  
  22.   StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.SectionAlignment);
    23. 
  
  
  
  23.   SetDlgItemText(IDC_EDIT_SECALIGN, StrTmp);
    24. 
  
  
  
  24. }
    25.

PE格式的基础信息,就是简单地获取结构体的成员变量,没有过多复杂的内容。获取导入表、导出表比获取基础信息复杂。接下来进行节表的枚举,具体代码如下:

 
 
 
    
  
  
  
  1. VOID CPeParseDlg::EnumSections()
    2. 
  
  
  
  2. {
    3. 
  
  
  
  3.   int nSecNum = m_pNtHdr->FileHeader.NumberOfSections;
    4. 
  
  
  
  4.   int i = 0;
    5. 
  
  
  
  5.   CString StrTmp;
    6. 
  
  
  
  6.   for ( i = 0; i < nSecNum; i ++ )
    7. 
  
  
  
  7.   {
    8. 
  
  
  
  8.     m_SectionLIst.InsertItem(i, (const char *)m_pSecHdr[i].Name);
    9. 
  
  
  
  9.     StrTmp.Format("%08X", m_pSecHdr[i].VirtualAddress);
    10. 
  
  
  
  10.     m_SectionLIst.SetItemText(i, 1, StrTmp);
    11. 
  
  
  
  11.     StrTmp.Format("%08X", m_pSecHdr[i].Misc.VirtualSize);
    12. 
  
  
  
  12.     m_SectionLIst.SetItemText(i, 2, StrTmp);
    13. 
  
  
  
  13.     StrTmp.Format("%08X", m_pSecHdr[i].PointerToRawData);
    14. 
  
  
  
  14.     m_SectionLIst.SetItemText(i, 3, StrTmp);
    15. 
  
  
  
  15.     StrTmp.Format("%08X", m_pSecHdr[i].SizeOfRawData);
    16. 
  
  
  
  16.     m_SectionLIst.SetItemText(i, 4, StrTmp);
    17. 
  
  
  
  17.     StrTmp.Format("%08X", m_pSecHdr[i].Characteristics);
    18. 
  
  
  
  18.     m_SectionLIst.SetItemText(i, 5, StrTmp);
    19. 
  
  
  
  19.   }
    20. 
  
  
  
  20. }
    21.

最后的动作是释放动作,因为很简单,这里就不给出代码了。将这些自定义函数通过界面上的“查看”按钮联系起来,整个PE查看器就算是写完了。

当前题目:网络安全编程:PE编程实例之PE查看器
文章转载:http://www.hantingmc.com/qtweb/news14/144164.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

网站设计公司知识

同城分类信息

成都网站建设    犀浦防纹窗    香港云服务器租用    免备案虚拟主机    清舞人间    成都网站制作    什邡网站建设    犀浦门窗定制    双流做网站    四川网站建设    成都企业网站维护    网站排名    成都微信开发    微信公众号开发    成都SEO优化公司    网站优化排名推广    重庆电商网站定制    成都封阳台    关键词优化排名    德阳定制网站建设