判断是否为PE文件改进版
原来的程序一遇到0字节的文件就会挂掉,在这里我添加了SEH错误处理代码,完美解决了挂掉的问题!
.386.model flat, stdcalloption casemap :none include windows.incinclude user32.incincludelib user32.libinclude kernel32.incincludelib kernel32.lib.data?hFile dd ?hMapFile dd ?lpFile dd ?.constszErr db "不是有效的32位程序!",0szOK db "是可执行文件!",0szNO db "打开文件失败!",0szName db "d: .exe",0Copyright db " www.xbin.cn ",0.code_SEH proc _lpExceptionRecord,_lpSEH,_lpContext,_lpDispatcherContext pushad mov esi,_lpExceptionRecord mov edi,_lpContext assume esi:ptr EXCEPTION_RECORD,edi:ptr CONTEXT mov eax,_lpSEH push [eax + 0ch] pop [edi].regEbp push [eax + 8] pop [edi].regEip push eax pop [edi].regEsp assume esi:nothing,edi:nothing popad mov eax,ExceptionContinueExecution ret_SEH endpStart:;设置SEHassume fs:nothingpush offset _ErrFormatpush offset _SEHpush fs:[0]mov fs:[0],esp;打开文件invoke CreateFile,offset szName,GENERIC_READ,NULL,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL.if eax == INVALID_HANDLE_VALUE invoke MessageBox,NULL,offset szNO,NULL,MB_OK JMP _END.endifmov hFile,eax;建立映射文件invoke CreateFileMapping,hFile,NULL,PAGE_READONLY,0,0,NULLmov hMapFile,eaxinvoke MapViewOfFile,hMapFile,FILE_MAP_READ,0,0,0mov lpFile,eax;把映射文件的首地址给ESImov esi,eaxassume esi:ptr IMAGE_DOS_HEADER;判断MZ标志mov di,[esi].e_magicmov bx,5a4dh.if di != bx invoke MessageBox,NULL,offset szErr,NULL,MB_OK JMP _END.endif;判断PE标志add esi,[esi].e_lfanewassume esi:ptr IMAGE_NT_HEADERSmov edi,[esi].Signature.if edi != 00004550h invoke MessageBox,NULL,offset szErr,NULL,MB_OK JMP _END.endifinvoke MessageBox,NULL,offset szOK,NULL,MB_OKassume esi:nothingJMP _END_ErrFormat:invoke MessageBox,NULL,offset szErr,NULL,MB_OKpop fs:[0]add esp,0ch_END:invoke UnmapViewOfFile,lpFileinvoke CloseHandle,hMapFileinvoke CloseHandle,hFileinvoke ExitProcess,0end Start
判断是否为PE文件改进版相关推荐
- 使用Python判断文件是否为PE文件
PE的全称是Portable Executable,指可移植的可执行文件,目前的最新版本是2013年2月6日发布的8.3版.PE文件包括exe文件.com文件.dll文件.ocx文件.sys文件.sc ...
- c语言读取exe的pe标记,PE文件信息读取程序(1.关键函数部分)
#include "stdafx.h" #include "PEFuncs.h" #include //需要引入如下.lib文件 //#pragma comme ...
- 网络安全学习第6篇 - 爆破及PE文件解释
1.请采用暴力破解的方式去尝试破解crack.exe文件(在实验报告中说明破解原理即可,无需提交破解后的文件) 2.请依据参考文档中的内容编写一个小程序,使其可以实现如下功能: ①判断一个文件是否为P ...
- 【逆向】PE文件解析
文章目录 PE文件 DOS头部 PE/NT头解析 区段头/区块表解析 数据目录表(存放在某个区段) 1. 导出表 2. 导入表 3. 重定位表 PE文件 PE文件:PE文件是在windows平台可执行 ...
- 使用程序判断一个文件是否是有效的PE文件
判断一个文件是否为有效的PE文件,判断2个字段: DOS头的e_magic字段是否为0x5A4D: NT头的Signature字段是否为0x00004550: 若都是的话则是一个有效的PE文件: VC ...
- [系统安全] 四十一.APT系列(6)Python解析PE文件并获取时间戳判断来源区域
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- c语言怎么判断文件类型,判断你的文件是否为合法的PE文件和应用类型
作者:赖锋 源代码下载 可能很多的人都没有注意到一些事情,就是你的程序是不是合法的可运行的应用程序,例如一个文件只是把后缀改成 .exe 的形式就显示为应用程序的图标了! 你不想写一个根据后缀名就确定 ...
- 判断文件是否是PE文件
判断一个文件的文件属性是不是PE文件:主要思路就是:比较文件的DOS头和NT头的白哦之是不是"MZ"和"PE",判断文件是不是EXE文件或者DLL文件或者其他的 ...
- 如何判断一个文件是否为PE文件
PE文件,Portable Executable file format简称. 那么如何判断一个文件是否为PE格式的文件? 1.首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATU ...
最新文章
- python popen阻塞_对Python subprocess.Popen子进程管道阻塞详解
- Nginx主配置文件nginx.conf详细说明
- 使用最新目标跟踪框mmtracking实现自己的目标跟踪项目
- 8. An Introduction to MCMC for Machine Learning (5)
- triplet loss后面不收敛_Policy Gradient——一种不以loss来反向传播的策略梯度方法...
- 科大星云诗社动态20210308
- Socket.IO for Unity 简要介绍
- 查询分析器下如何备份数据库
- 面向中文自然语言处理的60余类系统开源实践项目与工业探索索引
- LIRe 源代码分析 7:算法类[以颜色布局为例]
- MyEclipse 代码自动提示功能失效 提示No Default Proposals 或 no completions available 的解决方法 转...
- BERT 的演进和应用
- 个人经历 | 聊聊我的安全成长之路
- app防止被抓包,包括Fiddler,Charles,HttpCanary等工具
- mybatis plus(包米豆)json存储Mysql数据库
- STC 数码管显示及74HC573在其中的应用
- 蓝桥杯—大胖子走迷宫—广搜
- HotKey学习总结
- 外包怎么了?请不要“妖魔化”它。
- oracle cve 漏洞,CVE安全漏洞的理解