欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

C++ 實現(xiàn)PE文件特征碼識別的步驟

 更新時間:2021年06月23日 14:36:00   作者:lyshark  
PE文件就是我們常說的EXE可執(zhí)行文件,針對文件特征的識別可以清晰的知道該程序是使用何種編程語言實現(xiàn)的,前提是要有特征庫,PE特征識別有多種形式,第一種是靜態(tài)識別,第二種則是動態(tài)識別,我們經(jīng)常使用的PEID查殼工具是基于靜態(tài)檢測的方法。

打開PE文件映射:

在讀取PE結(jié)構(gòu)之前,首先要做的就是打開PE文件到內(nèi)存,這里打開文件我們使用了CreateFile()函數(shù)該函數(shù)可以打開文件并返回文件句柄,接著使用CreateFileMapping()函數(shù)創(chuàng)建文件的內(nèi)存映像,最后使用MapViewOfFile()讀取映射中的內(nèi)存并返回一個句柄,后面的程序就可以通過該句柄操作打開后的文件了.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 讀取PE結(jié)構(gòu)的封裝
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以創(chuàng)建文件,也可以打開文件,這里則是打開文件的含義
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 獲取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 創(chuàng)建文件的內(nèi)存映像
	// 此方法非常靈活,其不需要將程序完全讀入內(nèi)存中,節(jié)約空間。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 讀取映射中的內(nèi)存并返回一個句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

int main(int argc, char * argv[])
{
	HANDLE lpMapAddress = NULL;

	lpMapAddress = OpenPeFile("c://lyshark.exe");
	printf("打開文件句柄: %d \n", lpMapAddress);

	system("pause");
	return 0;
}

判斷是否為PE文件:

當(dāng)文件已經(jīng)打開后,接下來就要判斷文件是否為有效的PE文件,這里我們首先將鏡像轉(zhuǎn)換為PIMAGE_DOS_HEADER格式并通過pDosHead->e_magic屬性找到PIMAGE_NT_HEADERS結(jié)構(gòu),然后判斷其是否符合PE文件規(guī)范即可,這里需要注意32位于64位PE結(jié)構(gòu)所使用的的結(jié)構(gòu)定義略有不同,代碼中已經(jīng)對其進行了區(qū)分.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 讀取PE結(jié)構(gòu)的封裝
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以創(chuàng)建文件,也可以打開文件,這里則是打開文件的含義
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 獲取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 創(chuàng)建文件的內(nèi)存映像
	// 此方法非常靈活,其不需要將程序完全讀入內(nèi)存中,節(jié)約空間。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 讀取映射中的內(nèi)存并返回一個句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

// 判斷是否為PE文件
BOOL IsPeFile(HANDLE ImageBase, BOOL Is64 = FALSE)
{
	PIMAGE_DOS_HEADER pDosHead = NULL;
	if (ImageBase == NULL)
		return FALSE;

	// 將映射文件轉(zhuǎn)為DOS結(jié)構(gòu),并判斷開頭是否為MZ
	pDosHead = (PIMAGE_DOS_HEADER)ImageBase;
	if (IMAGE_DOS_SIGNATURE != pDosHead->e_magic)
		return FALSE;

	if (Is64 == TRUE)
	{
		// 根據(jù) IMAGE_DOS_HEADER 的 e_lfanew 的值得到 64位 NT 頭的位置
		PIMAGE_NT_HEADERS64 pNtHead64 = NULL;
		pNtHead64 = (PIMAGE_NT_HEADERS64)((DWORD64)pDosHead + pDosHead->e_lfanew);
		if (pNtHead64->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	else if (Is64 == FALSE)
	{
		// 根據(jù) IMAGE_DOS_HEADER 的 e_lfanew 的值得到 32位 NT 頭的位置
		PIMAGE_NT_HEADERS pNtHead32 = NULL;
		pNtHead32 = (PIMAGE_NT_HEADERS)((DWORD)pDosHead + pDosHead->e_lfanew);
		if (pNtHead32->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	return TRUE;
}

int main(int argc, char * argv[])
{
	HANDLE lpMapAddress = NULL;

	// 打開文件拿到PE句柄
	lpMapAddress = OpenPeFile("c://lyshark.exe");

	// 判斷是否為PE文件,這里定義的為真返回1,為假返回0
	BOOL ret = IsPeFile(lpMapAddress, 0);
	printf("是否為PE文件: %d \n", ret);

	system("pause");
	return 0;
}

判斷PE文件特征碼:

判斷程序使用了何種編譯器編寫,通常情況是要用文件的入口處代碼和特征碼進行匹配,通常情況下我們只需要匹配程序開頭的前32個字節(jié)就差不多了,當(dāng)然為了匹配精度更高,我們也可以對多個字段進行驗證,這里就只寫出大體輪廓吧.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 讀取PE結(jié)構(gòu)的封裝
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以創(chuàng)建文件,也可以打開文件,這里則是打開文件的含義
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 獲取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 創(chuàng)建文件的內(nèi)存映像
	// 此方法非常靈活,其不需要將程序完全讀入內(nèi)存中,節(jié)約空間。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 讀取映射中的內(nèi)存并返回一個句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

// 判斷是否為PE文件
BOOL IsPeFile(HANDLE ImageBase, BOOL Is64 = FALSE)
{
	PIMAGE_DOS_HEADER pDosHead = NULL;
	if (ImageBase == NULL)
		return FALSE;

	// 將映射文件轉(zhuǎn)為DOS結(jié)構(gòu),并判斷開頭是否為MZ
	pDosHead = (PIMAGE_DOS_HEADER)ImageBase;
	if (IMAGE_DOS_SIGNATURE != pDosHead->e_magic)
		return FALSE;

	if (Is64 == TRUE)
	{
		// 根據(jù) IMAGE_DOS_HEADER 的 e_lfanew 的值得到 64位 NT 頭的位置
		PIMAGE_NT_HEADERS64 pNtHead64 = NULL;
		pNtHead64 = (PIMAGE_NT_HEADERS64)((DWORD64)pDosHead + pDosHead->e_lfanew);
		if (pNtHead64->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	else if (Is64 == FALSE)
	{
		// 根據(jù) IMAGE_DOS_HEADER 的 e_lfanew 的值得到 32位 NT 頭的位置
		PIMAGE_NT_HEADERS pNtHead32 = NULL;
		pNtHead32 = (PIMAGE_NT_HEADERS)((DWORD)pDosHead + pDosHead->e_lfanew);
		if (pNtHead32->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	return TRUE;
}

// 掃描特征碼,對比
void GetPeSignature(LPCWSTR FilePath)
{
	typedef struct _SIGN
	{
		char FileName[64];         // 存儲文件名或特征描述
		LONG FileOffset;           // 存儲檢測文件偏移地址
		BYTE VirusSign[32 + 1];    // 存儲特征碼大小32,其中的1是結(jié)束符.
	}SIGN, *pSIGN;

	// 定義特征碼與特征描述信息,你可以自己去提取一段特征碼
	SIGN Sign[2] = {
		{
			"Microsoft Visual C/C++ x86 (2013)",
			0x8a0,
		"\x55\x8B\xEC\x81\xEC\xC4\x00\x00\x00\x53\x56\x57\x8D\xBD\x3C\xFF" \
		"\xFF\xFF\xB9\x31\x00\x00\x00\xB8\xCC\xCC\xCC\xCC\xF3\xAB\x8B\x45" \
		},
		{
			"Microsoft Visual C/C++ x64 (2013)",
			0x400,
		"\xCC\xCC\xCC\xCC\xCC\xE9\x86\x02\x00\x00\xE9\x31\x05\x00\x00\xE9" \
		"\x6C\x01\x00\x00\xE9\x57\x03\x00\x00\xE9\x22\x00\x00\x00\xCC\xCC" \
		}
	};

	DWORD dwNum = 0;
	BYTE buffer[32 + 1];
	HANDLE hFile = NULL;

	// 獲取到FilePath路徑下文件的句柄信息
	hFile = CreateFile(FilePath, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,
		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	// 我們有兩段待檢測特征,這里循環(huán)兩次從零開始
	for (int x = 0; x <= 2; x++)
	{
		// 將待檢測程序的文件指針指向特征碼的偏移位置
		SetFilePointer(hFile, Sign[x].FileOffset, NULL, FILE_BEGIN);
		// 讀取目標程序指定位置的特征碼到內(nèi)存中
		ReadFile(hFile, buffer, sizeof(buffer), &dwNum, NULL);
		// 對比內(nèi)存中兩個特征碼是否相等
		if (memcmp(Sign[x].VirusSign, buffer, 32) == 0)
		{
			printf("檢測結(jié)果: %s \n", Sign[x].FileName);
		}
	}
	CloseHandle(hFile);
}

int main(int argc, char * argv[])
{
	GetPeSignature(L"c://lyshark.exe");
	system("pause");
	return 0;
}

你需要自己提取不同編譯器的特征字段,然后按照我寫好的格式進行增加,例如我是用vs2013編譯的,那么檢測結(jié)果就可能會是vs2013,特征碼的提取應(yīng)盡量保證一致性。

文章出處:https://www.cnblogs.com/lyshark

以上就是C++ 實現(xiàn)PE文件特征碼識別的步驟的詳細內(nèi)容,更多關(guān)于C++ PE文件特征碼識別的資料請關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • 詳解C++類的成員函數(shù)做友元產(chǎn)生的循環(huán)依賴問題

    詳解C++類的成員函數(shù)做友元產(chǎn)生的循環(huán)依賴問題

    這篇文章主要為大家詳細介紹了C++類的成員函數(shù)做友元產(chǎn)生的循環(huán)依賴問題,文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2022-03-03
  • 探討register關(guān)鍵字在c語言和c++中的差異

    探討register關(guān)鍵字在c語言和c++中的差異

    建議不要用register關(guān)鍵字定義全局變量,因為全局變量的生命周期是從執(zhí)行程序開始,一直到程序結(jié)束才會終止,而register變量可能會存放在cpu的寄存器中,如果在程序的整個生命周期內(nèi)都占用著寄存器的話,這是個相當(dāng)不好的舉措
    2013-10-10
  • OpenCV實現(xiàn)摳圖工具

    OpenCV實現(xiàn)摳圖工具

    這篇文章主要為大家詳細介紹了OpenCV實現(xiàn)摳圖工具,文中示例代碼介紹的非常詳細,具有一定為大家詳細的參考價值,感興趣的小伙伴們可以參考一下
    2022-01-01
  • C語言中求余運算符的使用解讀

    C語言中求余運算符的使用解讀

    這篇文章主要介紹了C語言中求余運算符的使用,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2023-02-02
  • C++異常使用詳解(看這一篇就夠了)

    C++異常使用詳解(看這一篇就夠了)

    C++中的異常是指在程序執(zhí)行過程中發(fā)生錯誤,導(dǎo)致程序無法正常運行的情況,下面這篇文章主要給大家介紹了關(guān)于C++異常使用的相關(guān)資料,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
    2023-10-10
  • C++實現(xiàn)LeetCode(170.兩數(shù)之和之三 - 數(shù)據(jù)結(jié)構(gòu)設(shè)計)

    C++實現(xiàn)LeetCode(170.兩數(shù)之和之三 - 數(shù)據(jù)結(jié)構(gòu)設(shè)計)

    這篇文章主要介紹了C++實現(xiàn)LeetCode(170.兩數(shù)之和之三 - 數(shù)據(jù)結(jié)構(gòu)設(shè)計),本篇文章通過簡要的案例,講解了該項技術(shù)的了解與使用,以下就是詳細內(nèi)容,需要的朋友可以參考下
    2021-08-08
  • 在C語言編程中設(shè)置和獲取代碼組數(shù)的方法

    在C語言編程中設(shè)置和獲取代碼組數(shù)的方法

    這篇文章主要介紹了在C語言編程中設(shè)置和獲取代碼組數(shù)的方法,分別為setgroups()函數(shù)和getgroups()函數(shù)的使用,需要的朋友可以參考下
    2015-08-08
  • 一文詳解C++中動態(tài)內(nèi)存管理

    一文詳解C++中動態(tài)內(nèi)存管理

    這篇文章主要介紹了一文詳解C++中動態(tài)內(nèi)存管理,文章圍繞主題展開詳細的內(nèi)容介紹,具有一定的參考價孩子沒需要的朋友可以才可以參考一下
    2022-07-07
  • OpenCV實戰(zhàn)之基于Hu矩實現(xiàn)輪廓匹配

    OpenCV實戰(zhàn)之基于Hu矩實現(xiàn)輪廓匹配

    這篇文章主要介紹了利用C++ OpenCV實現(xiàn)基于Hu矩的輪廓匹配,文中的示例代碼講解詳細,對我們學(xué)習(xí)OpenCV有一定的幫助,感興趣的可以學(xué)習(xí)一下
    2022-01-01
  • C/C++實現(xiàn)快速排序的方法

    C/C++實現(xiàn)快速排序的方法

    這篇文章主要介紹了C/C++實現(xiàn)快速排序的方法,這幾天在找工作,被問到快速排序,結(jié)果想不出來快速排序怎么弄的;回來搜索了一下,現(xiàn)在記錄下來,方便以后查看。
    2014-12-12

最新評論