目录
请依据参考文档中的内容编写一个小程序,使其可以实现如下功能:
1、判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
2、请提交实验报告和你的源代码文件
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
以下图例来自老师给的资料
从这张图中可以直观的看出,PE文件首先具有一个DOS的结构头
其定义如下(来自winnt.h头文件中的定义):
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file WORD e_cp; // Pages in file WORD e_crlc; // Relocations WORD e_cparhdr; // Size of header in paragraphs WORD e_minalloc; // Minimum extra paragraphs needed WORD e_maxalloc; // Maximum extra paragraphs needed WORD e_ss; // Initial (relative) SS value WORD e_sp; // Initial SP value WORD e_csum; // Checksum WORD e_ip; // Initial IP value WORD e_cs; // Initial (relative) CS value WORD e_lfarlc; // File address of relocation table WORD e_ovno; // Overlay number WORD e_res[4]; // Reserved words WORD e_oemid; // OEM identifier (for e_oeminfo) WORD e_oeminfo; // OEM information; e_oemid specific WORD e_res2[10]; // Reserved words LONG e_lfanew; // File address of new exe header } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
其中比较重要的是第一个值e_magic和最后一个值e_lfanew
以下定义也来自winnt.h头文件
#define IMAGE_DOS_SIGNATURE 0x5A4D // MZ #define IMAGE_OS2_SIGNATURE 0x454E // NE #define IMAGE_OS2_SIGNATURE_LE 0x454C // LE #define IMAGE_VXD_SIGNATURE 0x454C // LE #define IMAGE_NT_SIGNATURE 0x00004550 // PE00
如果文件是一个PE文件,其e_magic值为0x5A4D,即MZ
即我们可以读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件
如果是PE文件,再进行接下来的操作
下面说第二个值e_lfanew,从它的英文注释中可以看出,这个值是表明了一个新的exe头部的地址
从实际来解释,即这个LONG值是一个偏移量,偏移后的位置是一个exe header
在查阅资料的过程中,也看到了有这样的解释
//Offset to start of PE header 指向PE文件头
其意思大致是相同的(其实就是一样的)
第二步:将文件指针移到这个位置,读取这个头部的信息
那么这个头部是什么呢
根据资料,这个Header实际为
typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
解释如下:
Signature 表明了文件是一个PE文件,值为PE\0\0
FileHeader 为 IMAGE_FILE_HEADER 结构体,存储了头部信息
OptionalHeader 则存储了可选头信息
查看一下 IMAGE_FILE_HEADER的定义
typedef struct _IMAGE_FILE_HEADER { WORD Machine; WORD NumberOfSections; DWORD TimeDateStamp; DWORD PointerToSymbolTable; DWORD NumberOfSymbols; WORD SizeOfOptionalHeader; WORD Characteristics; } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
IMAGE_OPTIONAL_HEADER
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE MajorLinkerVersion; BYTE MinorLinkerVersion; DWORD SizeOfCode; DWORD SizeOfInitializedData; DWORD SizeOfUninitializedData; DWORD AddressOfEntryPoint; DWORD BaseOfCode; DWORD BaseOfData; DWORD ImageBase; DWORD SectionAlignment; DWORD FileAlignment; WORD MajorOperatingSystemVersion; WORD MinorOperatingSystemVersion; WORD MajorImageVersion; WORD MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
这里就不一一翻译了,毕竟这次的实验主要是判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
直接说一下吧
判断是否为PE文件的部分前面说了
这里用于判断为dll还是exe还是其他类型的文件的参数主要是以下两个
一个是
FileHeader里面的Characteristics
FileHeader.Characteristics与IMAGE_FILE_DLL做'&'运算后,若文件是OCX和DLL,此结果为0x2000,与其他格式的PE文件都不同(可以先将OCX和DLL筛选出来)
为什么不与IMAGE_FILE_EXECUTABLE_IMAGE做运算?因为上图红框内也标注了,DLL也是一个executable的文件,所以这里做了运算之后,EXE和DLL两个的结果是相等的,无法正确判断
然后我们就要借助于
刚刚说到的另一个重要的参数
OptionalHeader里面的ImageBase
从定义上可以看出,这个值是文件首选的在内存中加载的地址
DLL的这个值默认为0x10000000
而对于应用EXE来说,它则是0x00400000
所以我们可以通过判断ImageBase的值是否为的值是0x10000000,区分OCX和DLL文件
如果不是DLL或者OCX
直接判断ImageBase的值是否为0x00400000,判断文件是否为EXE
如果都不是,列为其他文件
总结一下:
读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件
将文件指针移到PE头的位置,读取这个头部的信息
读取PE头里面的IMAGE_FILE_HEADER 结构体的Characteristics
判断Characteristics与IMAGE_FILE_DLL做'&'运算的结果是否为IMAGE_FILE_DLL
再判断ImageBase的值是否为0x10000000,区分OCX和DLL文件
判断ImageBase的值是否为0x00400000,判断文件是否为EXE
P.S
这里要说一下,实际上,即使同为DLL或者同为EXE程序,每个程序的实际参数都是不一定的,都是可以改变的
比如来自小甲鱼PE详解的这段话:
即使同为EXE文件,是运行在64位还是32位操作系统上,也会使其中参数不一(这里一下想不起来是哪几个参数了)
即使同为DLL文件,他的ImageBase字段也有可能不一致,刚刚也说了,以上实验用作判断的ImageBase的值是“默认”的时候的值
因此,以上的判断方法,仅仅是针对普遍的EXE、DLL和其他PE文件而言
并不能保证正确判断、区分所有的PE文件
但是没有找到一个更好的方法,如果有错误或者可以改进的地方,还希望指出
这里根据实验04的代码进行了一点修改,依然采取在生成的可执行文件所在的目录下遍历的方式
// EX06.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include "pch.h" #include<iostream> #include<Windows.h> #include<fileapi.h> #include<tchar.h> #define OtherPE 3 #define isDLL 2 #define isEXE 1 #define NotPE 0 using namespace std; int myCheck(char *FilePath) { //用于读取IMAGE_DOS_HEADER信息 IMAGE_DOS_HEADER myDosHeader; HANDLE hFile = CreateFile( FilePath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL ); DWORD readSize = 0; //将信息读入IMAGE_DOS_HEADER ReadFile(hFile, &myDosHeader, sizeof(myDosHeader), &readSize, NULL); //判断头部是否为0x5A4D,即MZ if (myDosHeader.e_magic == 0x5A4D) { IMAGE_NT_HEADERS myNtHeaders; readSize = 0; //如果是,将指针设置到PE文件头的位置 SetFilePointer(hFile, myDosHeader.e_lfanew, NULL, FILE_BEGIN); //读取PE文件头 ReadFile(hFile, &myNtHeaders, sizeof(myNtHeaders), &readSize, NULL); CloseHandle(hFile); //判断是否为DLL if ((myNtHeaders.FileHeader.Characteristics & IMAGE_FILE_DLL) == IMAGE_FILE_DLL) { if (myNtHeaders.OptionalHeader.ImageBase == 1)//0x10000000 { return isDLL; } return OtherPE;//OCX } //判断是否为EXE else if (myNtHeaders.OptionalHeader.ImageBase == 0x00400000) { return isEXE; } //其他PE else { return OtherPE; } } CloseHandle(hFile); return NotPE; } int main() { WIN32_FIND_DATA stFindFile; HANDLE hFindFile; char *szFilter = (char *)"*.*"; // 所有类型的文件 char szCheckFile[MAX_PATH]; // 保存检测的文件的路径 char szSearch[MAX_PATH]; // 保存完整筛选路径 int ret = 0; // 搜索的返回值 char directory[256];//保存目录值 //获取当前目录 GetCurrentDirectory(256, directory); lstrcpy(szCheckFile, directory);//存入路径中 lstrcat(szCheckFile, "\\");// 添加'\' lstrcpy(szSearch, directory);//存入路径中 lstrcat(szSearch, "\\");//添加'\' lstrcat(szSearch, szFilter);//添加过滤条件 hFindFile = FindFirstFile(szSearch, &stFindFile); if (hFindFile != INVALID_HANDLE_VALUE) { do { // 组成完整的程序的路径 lstrcat(szCheckFile, stFindFile.cFileName); // switch (myCheck(szCheckFile)) { case isEXE: cout << stFindFile.cFileName << " is a EXE File" << endl; break; case isDLL: cout << stFindFile.cFileName << " is a DLL File" << endl; break; case OtherPE: cout << stFindFile.cFileName << " is not EXE or DLL but a PE File" << endl; break; default: cout << stFindFile.cFileName << " is not a PE File" << endl; break; } // 重置文件路径 // 这里不重置szCheckFile里的值,接下来会出错 lstrcpy(szCheckFile, directory); lstrcat(szCheckFile, "\\"); ret = FindNextFile(hFindFile, &stFindFile); } while (ret != 0); } FindClose(hFindFile); system("pause"); return 0; }
测试文件夹如下:
从系统目录随便复制了几个PE文件,和随便选择了几个其他格式文件
结果如下: