VC读取PE文件的OEP
OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。照着网上的教程写了一遍,收获不小,现在对PE文件的前两部分已经有一定的了解了。
下面的代码很简单,首先用CreateFile读取PE文件,PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件头中包含了PE文件头的起始地址,而DOS块中的数据没啥用,该块的大小为112字节,通常其内容为“This program cannot be run in DOS mode.”。
所以我们现在要做的就是读取DOS MS 文件头,其存放于IMAGE_DOS_HEADER结构体中,用ReadFile函数来读取。
读取到IMAGE_DOS_HEADER结构体的数据后,直接获取结构体中e_lfanew成员的值,这个值就是PE文件头的地址。
现在已经到了PE文件头的位置,而我们要读取的OEP则是存放于PE文件头的IMAGE_DATA_HEADER32结构体中。在PE文件头到IMAGE_DATA_HEADER32结构体之间包含PE文件标志和一个IMAGE_FILE_HEADER结构体。也就是说,说PE文件头走到IMAGE_DATA_HEADER32的位置,首先要经过PE文件标志,接着再走到IMAGE_FILE_HEADER结构体的位置。
PE文件标志是一个DWORD类型,占4个字节。
IMAGE_FILE_HEADER结构体有4个WORD成员和3个DWORD成员,占20个字节。
现在到了IMAGE_DATA_HEADER32结构体,我们要获取的OEP在该结构体的第7个成员中,在其之前分别有2个BYTE成员、1个WORD成员和3个DWORD成员,所以在该结构体的16个字节就是存放OEP的起始地址。
那么,我们在PE文件头的起始位置加上PE文件标志占用的字节,再加上OEP值之前6个成员占用的字节,也就是加40个字节。这样就到了OEP的起始位置了。
现在用SetFilePointer函数定位文件读取的起始位置,然后用Read_File函数就可以读取OEP的值了。
下面的完整的代码:
#include <windows.h>
#include <stdio.h>
int main()
{
HANDLE hFile;
//打开文件
if ( ( hFile = CreateFile( "notepad.exe", GENERIC_READ, FILE_SHARE_READ, NULL,
OPEN_EXISTING, FILE_FLAG_SEQUENTIAL_SCAN, NULL ) ) == INVALID_HANDLE_VALUE )
{
printf( "文件打开失败!\n" );
return 0;
}
//DOS MZ文件头
IMAGE_DOS_HEADER dos_head[ sizeof( IMAGE_DOS_HEADER ) ];
DWORD dwRead; //读取到的字节大小
//读取文件
if ( !ReadFile( hFile, &dos_head, sizeof( IMAGE_DOS_HEADER ), &dwRead, NULL ) )
{
printf( "读取IMAGE_DOS_HEADER失败!\n" );
CloseHandle( hFile );
return 0;
}
//指向PE文件头
int EntryPoint = dos_head->e_lfanew;
//批向IMAGE_NT_HEADERS结构体中的
//IMAGE_OPTIONAL_HEADER32结构体的
//第7个成员AddressOfEntryPoint, 即程序执行入口RVA
//RVA 偏移量 文件映射到内存的偏移地址
EntryPoint += 40;
//设置文件读写地址
SetFilePointer( hFile, EntryPoint, NULL, FILE_BEGIN );
DWORD dwOEP;
//读取AddressOfEntryPoint的值
if ( !ReadFile( hFile, &dwOEP, sizeof( dwOEP ), &dwRead, NULL ) )
{
CloseHandle( hFile );
return 0;
}
//关闭文件
CloseHandle( hFile );
printf( "OEP by file:%d\n", dwOEP );
return 0;
}
转载于:https://www.cnblogs.com/pcdelphi/archive/2009/12/04/2017978.html
VC读取PE文件的OEP相关推荐
- VC读取PE文件的OEP(程序入口)
为什么80%的码农都做不了架构师?>>> OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中.照着网上的教程写了一遍 ...
- 图解VC++版PE文件解析器源码分析
该源码下载自 http://download.csdn.net/download/witch_soya/4979587 1 Understand 分析的图表 2 PE结构解析的主要代码简要分析 首先看 ...
- VS VC 读取 INI文件
1.获取应程序同极目录下的config.ini路劲void GetConfigFilePath(char *path,int len, char *file) {char module[256] = ...
- VC++读取txt文件指针的变化
VC++在读取txt文本的时候,指针的位置是不断的变化的.是一点一点的向前推进的.在这个地方我们通过一个例子来分析VC++指针移动的情况,首先我们建立一个txt文本,并且在文本中输入一下面这些数据: ...
- VC读取EXCEL文件
2012-11-23 15:43 3026人阅读 评论(0) 收藏 举报 通过VC实现对Excel表格的操作的方法有多种,如:通过ODBC数据库实现,通过解析Excel表格文件,通过OLE/COM的实 ...
- [转]VC++中对文件的写入和读取
本文转自:http://blog.csdn.net/fanghb_1984/article/details/7425705 本文介绍两种方法对文件进行读取和写入操作:1.采用fstream类:2.采用 ...
- VC++中对文件的写入和读取
VC++中对文件的写入和读取 本文介绍两种方法对文件进行读取和写入操作:1.采用fstream类:2.采用CStdioFile类. CStdioFile继承自CFile,一个CStdioFile对象代 ...
- mfc 获得服务器文件信息,VC编程之VC 读取服务器上的文件(HTTP方式)
本文主要向大家介绍了VC编程之VC 读取服务器上的文件(HTTP方式),通过具体的内容向大家展示,希望对大家学习VC编程有所帮助. CString GetStringFromUrl(LPCTSTR p ...
- c语言读取exe的pe标记,PE文件信息读取程序(1.关键函数部分)
#include "stdafx.h" #include "PEFuncs.h" #include //需要引入如下.lib文件 //#pragma comme ...
最新文章
- 【解决】联想thinkpad E40 如何禁用触摸板
- Python—程序设计:抽象工厂模式
- SDK目录结构和adb工具及命令介绍
- windows 添加开始菜单
- Mac查看本机ip地址
- python手机编译器可以干什么_Python是什么?Python学习用哪些编译器?
- 汽车销售网页html模板,汽车经销商HTML模板
- 对datatable类型列名排序_表格数据的排序功能(支持多列)
- marquee命令的基本用法
- 腾讯 Github 全球贡献前十;三星可折叠手机售价 1.6 万;OpenTitan 正式开源|极客头条...
- mysq 没有mysql数据库_mysq 没有mysql数据库
- 少儿编程python学啥-少儿编程学什么?少儿编程课程体系介绍
- Xshell5:Xshell下载和安装教程
- 关于区块链的一些特有技术
- 深度学习图像数据库总结(收藏用)
- 大面积无线网络覆盖5大方案,满足不同场所的实际需求
- 徐家骏的华为十年:从DBA到副总裁的辛酸与喜悦[转载]
- UVA 10074 Take the Land(最大子矩阵和变形)
- msk 频偏_QPSK,OQPSK,MSK概述.ppt
- 下行控制信息 - 上行DCI
热门文章
- flask WTForms
- matplotlib.patches.Polygon
- Pandas 文本数据方法 find( ) rfind( ) index( ) rindex( )
- python中正则表达式中_python 中 正则表达式(Regular Expressions)学习
- 负载均衡 > 用户指南 > 证书管理 > 证书要求
- Css学习总结(1)——20个很有用的CSS技巧
- mysql alter atafter_MySQL 常用操作
- python输入输出有问题_Python中的输入与输出
- Gradle 3.0.0设置Apk文件输出命名
- 使用wampserver部署的织梦站点无法登录后台