脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程C 语言 → C语言怎么获得进程的PE文件信息

C语言怎么获得进程的PE文件信息

 更新时间:2016年01月02日 12:54:31   投稿:hebedich  
这篇文章主要介绍了C语言怎么获得进程的PE文件信息的相关代码,需要的朋友可以参考下

一、打印Sections信息。下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window"生成的可执行文件的Sections结构字节的信息

#include<stdio.h>
#include<windows.h>

char *strPath="C:/c1_hwv3/Debug/c1_hwv3.exe";

int main()
{
  IMAGE_DOS_HEADER myDosHeader;
  LONG e_lfanew;
  FILE *pFile;
  pFile=fopen(strPath,"rb+");

  fread(&myDosHeader,sizeof(IMAGE_DOS_HEADER),1,pFile);
  e_lfanew=myDosHeader.e_lfanew;

  IMAGE_FILE_HEADER myFileHeader;
  int nSectionCount;

  fseek(pFile,(e_lfanew+sizeof(DWORD)),SEEK_SET);
  fread(&myFileHeader,sizeof(IMAGE_FILE_HEADER),1,pFile);
  nSectionCount=myFileHeader.NumberOfSections;

  IMAGE_SECTION_HEADER *pmySectionHeader=
    (IMAGE_SECTION_HEADER *)calloc(nSectionCount,sizeof(IMAGE_SECTION_HEADER));
  fseek(pFile,(e_lfanew+sizeof(IMAGE_NT_HEADERS)),SEEK_SET);
  fread(pmySectionHeader,sizeof(IMAGE_SECTION_HEADER),nSectionCount,pFile);

  for(int i=0;i<nSectionCount;i++,pmySectionHeader++)
  {
    printf("Name: %s\n", pmySectionHeader->Name);
    printf("union_PhysicalAddress: %08x\n", pmySectionHeader->Misc.PhysicalAddress);
    printf("union_VirtualSize: %04x\n", pmySectionHeader->Misc.VirtualSize);
    printf("VirtualAddress: %08x\n", pmySectionHeader->VirtualAddress);
    printf("SizeOfRawData: %08x\n", pmySectionHeader->SizeOfRawData);
    printf("PointerToRawData: %04x\n", pmySectionHeader->PointerToRawData);
    printf("PointerToRelocations: %04x\n", pmySectionHeader->PointerToRelocations);
    printf("PointerToLinenumbers: %04x\n", pmySectionHeader->PointerToLinenumbers);
    printf("NumberOfRelocations: %04x\n", pmySectionHeader->NumberOfRelocations);
    printf("NumberOfLinenumbers: %04x\n", pmySectionHeader->NumberOfLinenumbers);
    printf("Charateristics: %04x\n", pmySectionHeader->Characteristics);
  }
//  pmySectionHeader-=m_nSectionCount;

  if(pmySectionHeader!=NULL)
  {
    free(pmySectionHeader);
    pmySectionHeader=NULL;
  }

  fclose(pFile);
  return 0;
}

运行程序打印出如下信息

Name: .text

union_PhysicalAddress: 00022350

union_VirtualSize: 22350

VirtualAddress: 00001000

SizeOfRawData: 00023000

PointerToRawData: 1000

PointerToRelocations: 0000

PointerToLinenumbers: 0000

NumberOfRelocations: 0000

NumberOfLinenumbers: 0000

Charateristics: 60000020

Name: .rdata

union_PhysicalAddress: 00001615

union_VirtualSize: 1615

VirtualAddress: 00024000

SizeOfRawData: 00002000

PointerToRawData: 24000

PointerToRelocations: 0000

PointerToLinenumbers: 0000

NumberOfRelocations: 0000

NumberOfLinenumbers: 0000

Charateristics: 40000040

Name: .data

union_PhysicalAddress: 00005650

union_VirtualSize: 5650

VirtualAddress: 00026000

SizeOfRawData: 00004000

PointerToRawData: 26000

PointerToRelocations: 0000

PointerToLinenumbers: 0000

NumberOfRelocations: 0000

NumberOfLinenumbers: 0000

Charateristics: c0000040

Name: .idata

union_PhysicalAddress: 00000b23

union_VirtualSize: 0b23

VirtualAddress: 0002c000

SizeOfRawData: 00001000

PointerToRawData: 2a000

PointerToRelocations: 0000

PointerToLinenumbers: 0000

NumberOfRelocations: 0000

NumberOfLinenumbers: 0000

Charateristics: c0000040

Name: .reloc

union_PhysicalAddress: 00000f00

union_VirtualSize: 0f00

VirtualAddress: 0002d000

SizeOfRawData: 00001000

PointerToRawData: 2b000

PointerToRelocations: 0000

PointerToLinenumbers: 0000

NumberOfRelocations: 0000

NumberOfLinenumbers: 0000

Charateristics: 42000040

pe文件结构图:

时间,时间,会给我答案 time will give me the answer

再给大家分享一则

#include <windows.h>
#include <stdio.h>
#define MAX_SECTION_NUM  16
#define MAX_IMPDESC_NUM  64
 
HANDLE hHeap;
PIMAGE_DOS_HEADER pDosHeader;
PCHAR  pDosStub;
DWORD  dwDosStubSize;
DWORD  dwDosStubOffset;
PIMAGE_NT_HEADERS      pNtHeaders;
PIMAGE_FILE_HEADER     pFileHeader;
PIMAGE_OPTIONAL_HEADER32  pOptHeader;
PIMAGE_SECTION_HEADER  pSecHeaders;
PIMAGE_SECTION_HEADER  pSecHeader[MAX_SECTION_NUM];
WORD wSecNum;
PBYTE pSecData[MAX_SECTION_NUM];
DWORD dwSecSize[MAX_SECTION_NUM];
DWORD dwFileSize;
 
void OutputPEInMem(HANDLE hd)
{
  // 请在这里填入你的代码
  DWORD             dwBase;
  dwBase = (DWORD)hd;
  pDosHeader = (PIMAGE_DOS_HEADER)dwBase;
  pNtHeaders = (PIMAGE_NT_HEADERS)(dwBase + pDosHeader->e_lfanew);
  pOptHeader = &(pNtHeaders->OptionalHeader);
  pFileHeader = &(pNtHeaders->FileHeader);
  printf("Address Of Entry Point: 0x%08x\n", pOptHeader->AddressOfEntryPoint);
  printf("ImageBase: 0x%08x\n", pOptHeader->ImageBase);
  printf("Number Of Sections: %d\n", pFileHeader->NumberOfSections);
  printf("Size Of Image: 0x%04x\n", pOptHeader->SizeOfImage);
  return;
}
 
int main(int argc, char *argv[])
{
  DWORD pid = 0;
  pid=atoi(argv[1]);
  HANDLE hd=OpenProcess(PROCESS_ALL_ACCESS,FALSE,pid);
   
  LPCSTR lpszFileName = "hello.exe";
  LPCSTR lpszInjFileName = "hello_inj0.exe";
 
   
  OutputPEInMem(hd);
  hHeap = GetProcessHeap();
 
  if (! CopyPEFileToMem(lpszFileName)) {
    return 1;
  }
  return 0;
}

您可能感兴趣的文章:

相关文章

  • C++中平衡二叉搜索树的模拟实现

    C++中平衡二叉搜索树的模拟实现

    二叉搜索树虽可以缩短查找的效率,但如果数据有序或接近有序二叉搜索树将退化为单支树,查找元素相当于在顺序表中搜索元素,效率低下,所以本文给大家介绍了C++平衡二叉的搜索树模拟实现方法,需要的朋友可以参考下
    2023-09-09
  • c++和python实现顺序查找实例

    c++和python实现顺序查找实例

    这篇文章主要介绍了c++和python实现顺序查找实例,流程即将目标数值和数据库中的每个数值进行比较,如果相同则搜索完成,如果不同则继续比较下一处,下面来看看具体的实例操作吧,需要的朋友可以参考一下
    2022-03-03
  • C++宏函数和内联函数的使用

    C++宏函数和内联函数的使用

    本文主要介绍了C++宏函数和内联函数的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2022-07-07
  • 一篇文章带你了解C++中的异常

    一篇文章带你了解C++中的异常

    这篇文章主要为大家详细介绍了C++中的异常,使用数据库,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-02-02
  • C++实现KDTree 附完整代码

    C++实现KDTree 附完整代码

    这篇文章主要介绍了C++实现KDTree的代码详解,包括kdTree概念介绍及分割的作用,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2021-07-07
  • C语言编程C++柔性数组结构示例讲解

    C语言编程C++柔性数组结构示例讲解

    这篇文章主要介绍了C语言编程系列中的柔性数组,文中含有详细的示例代码讲解,有需要的朋友可以借鉴参考下,希望能够有所帮助
    2021-09-09
  • C语言实现销售管理系统设计

    C语言实现销售管理系统设计

    这篇文章主要为大家详细介绍了C语言实现销售管理系统设计,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2022-03-03
  • C++实现LeetCode(189.旋转数组)

    C++实现LeetCode(189.旋转数组)

    这篇文章主要介绍了C++实现LeetCode(189.旋转数组),本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
    2021-07-07
  • vs运行时报C4996代码错误的问题解决

    vs运行时报C4996代码错误的问题解决

    C4996错误的意思:是VS觉得strcpy这函数不安全,建议你使更安全的函数,那么如何解决呢,本文主要介绍了vs运行时报C4996代码错误的问题解决,感兴趣的可以了解一下
    2024-01-01
  • C++中的字符串(1)

    C++中的字符串(1)

    这篇文章主要简单介绍C++中的字符串,字符串就是连续的一连串字符,在C++当中, 处理字符串的方式有两种类型。一种来自于C语言,也被称为C风格字符串。另外一种是基于string类库,下面来看文章学校内容
    2021-11-11

最新评论