網(wǎng)絡(luò)安全編程:PE編程實例之PE查看器
微信公眾號:計算機與網(wǎng)絡(luò)安全
ID:Computer-network
寫PE查看器并不是件復(fù)雜的事情,只要按照PE結(jié)構(gòu)一步一步地解析就可以了。下面簡單地解析其中幾個字段內(nèi)容,顯示一下節(jié)表的信息,其余的內(nèi)容只要稍作修改即可。PE查看器的界面如圖1所示。
圖1 PE查看器解析記事本程序
PE查看器的界面按照圖1所示的設(shè)置,不過這個可以按照個人的偏好進行布局設(shè)置。編寫該PE查看器的步驟為打開文件并創(chuàng)建文件內(nèi)存映像,判斷文件是否為PE文件并獲得PE格式相關(guān)結(jié)構(gòu)體的指針,解析基本的PE字段,枚舉節(jié)表,最后關(guān)閉文件。需要在類中添加幾個成員變量及成員函數(shù),添加的內(nèi)容如圖2所示。
圖2 在類中添加的成員變量及成員函數(shù)
按照前面所說的順序,依次實現(xiàn)添加的各個成員函數(shù)。
- BOOL CPeParseDlg::FileCreate(char *szFileName)
- {
- BOOL bRet = FALSE;
- m_hFile = CreateFile(szFileName,
- GENERIC_READ | GENERIC_WRITE,
- FILE_SHARE_READ,NULL,OPEN_EXISTING,
- FILE_ATTRIBUTE_NORMAL,NULL);
- if ( m_hFile == INVALID_HANDLE_VALUE )
- {
- return bRet;
- }
- m_hMap = CreateFileMapping(m_hFile, NULL,
- PAGE_READWRITE | SEC_IMAGE,0, 0, 0);
- if ( m_hMap == NULL )
- {
- CloseHandle(m_hFile);
- return bRet;
- }
- m_lpBase = MapViewOfFile(m_hMap,
- FILE_MAP_READ | FILE_SHARE_WRITE,
- 0, 0, 0);
- if ( m_lpBase == NULL )
- {
- CloseHandle(m_hMap);
- CloseHandle(m_hFile);
- return bRet;
- }
- bRet = TRUE;
- return bRet;
- }
這個函數(shù)的主要功能是打開文件并創(chuàng)建內(nèi)存文件映像。通常對文件進行連續(xù)讀寫時直接使用ReadFile()和WriteFile()兩個函數(shù)。當不連續(xù)操作文件時,每次在ReadFile()或者WriteFile()后就要使用SetFilePointer()來調(diào)整文件指針的位置,這樣的操作較為繁瑣。內(nèi)存文件映像的作用是把整個文件映射入進程的虛擬空間中,這樣操作文件就像操作內(nèi)存變量或內(nèi)存數(shù)據(jù)一樣方便。
創(chuàng)建內(nèi)存文件映像所使用的函數(shù)有兩個,分別是CreateFileMapping()和MapViewOfFile()。CreateFileMapping()函數(shù)的定義如下:
- HANDLE CreateFileMapping(
- HANDLE hFile,
- LPSECURITY_ATTRIBUTES lpAttributes,
- DWORD flProtect,
- DWORD dwMaximumSizeHigh,
- DWORD dwMaximumSizeLow,
- LPCTSTR lpName
- );
參數(shù)說明如下。
hFile:該參數(shù)是 CreateFile()函數(shù)返回的句柄。
lpAttributes:是安全屬性,該值通常是 NULL。
flProtect:創(chuàng)建文件映射后的屬性,通常設(shè)置為可讀可寫 PAGE_READWRITE。如果需要像裝載可執(zhí)行文件那樣把文件映射入內(nèi)存的話,那么需要使用 SEC_IMAGE。最后3個參數(shù)在這里為0。如果創(chuàng)建的映射需要在多進程中共享數(shù)據(jù)的話,那么最后一個參數(shù)設(shè)定為一個字符串,以便通過該名稱找到該塊共享內(nèi)存。
該函數(shù)的返回值為一個內(nèi)存映射的句柄。
MapViewOfFile()函數(shù)的定義如下:
- LPVOID MapViewOfFile(
- HANDLE hFileMappingObject,
- DWORD dwDesiredAccess,
- DWORD dwFileOffsetHigh,
- DWORD dwFileOffsetLow,
- SIZE_T dwNumberOfBytesToMap
- );
參數(shù)說明如下。
hFileMappingObject:該參數(shù)為 CreateFileMapping()返回的句柄。
dwDesiredAccess:想獲得的訪問權(quán)限,通常情況下也是可讀可寫 FILE_MAP_READ、FILE_MAP_WRITE。
最后3個參數(shù)一般給0值就可以了。
按照編程的規(guī)矩,打開要關(guān)閉,申請要釋放。CreateFileMapping()的關(guān)閉需要使用CloseHandle()函數(shù)。MapViewOfFile()的關(guān)閉,要使用UnmapViewOfFile()函數(shù),該函數(shù)的定義如下:
- BOOL UnmapViewOfFile(
- LPCVOID lpBaseAddress
- );
該函數(shù)的參數(shù)就是MapViewOfFile()函數(shù)的返回值。
接著說PE查看器,文件已經(jīng)打開,就要判斷文件是否為有效的PE文件了。如果是有效的PE文件,就把解析PE格式的相關(guān)結(jié)構(gòu)體的指針也得到。代碼如下:
- BOOL CPeParseDlg::IsPeFileAndGetPEPointer()
- {
- BOOL bRet = FALSE;
- // 判斷是否為 MZ 頭
- m_pDosHdr = (PIMAGE_DOS_HEADER)m_lpBase;
- if ( m_pDosHdr->e_magic != IMAGE_DOS_SIGNATURE )
- {
- return bRet;
- }
- // 根據(jù) IMAGE_DOS_HEADER 的 e_lfanew 的值得到 PE 頭的位置
- m_pNtHdr = (PIMAGE_NT_HEADERS)((DWORD)m_lpBase + m_pDosHdr->e_lfanew);
- // 判斷是否為 PE\0\0
- if ( m_pNtHdr->Signature != IMAGE_NT_SIGNATURE )
- {
- return bRet;
- }
- // 獲得節(jié)表的位置
- m_pSecHdr = (PIMAGE_SECTION_HEADER)((DWORD)&(m_pNtHdr->OptionalHeader)
- + m_pNtHdr->FileHeader.SizeOfOptionalHeader);
- bRet = TRUE;
- return bRet;
- }
這段代碼應(yīng)該非常容易理解,繼續(xù)看解析PE格式的部分。
- VOID CPeParseDlg::ParseBasePe()
- {
- CString StrTmp;
- // 入口地址
- StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.AddressOfEntryPoint);
- SetDlgItemText(IDC_EDIT_EP, StrTmp);
- // 映像基地址
- StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.ImageBase);
- SetDlgItemText(IDC_EDIT_IMAGEBASE, StrTmp);
- // 連接器版本號
- StrTmp.Format("%d.%d",
- m_pNtHdr->OptionalHeader.MajorLinkerVersion,
- m_pNtHdr->OptionalHeader.MinorLinkerVersion);
- SetDlgItemText(IDC_EDIT_LINKVERSION, StrTmp);
- // 節(jié)表數(shù)量
- StrTmp.Format("%02X", m_pNtHdr->FileHeader.NumberOfSections);
- SetDlgItemText(IDC_EDIT_SECTIONNUM, StrTmp);
- // 文件對齊值大小
- StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.FileAlignment);
- SetDlgItemText(IDC_EDIT_FILEALIGN, StrTmp);
- // 內(nèi)存對齊值大小
- StrTmp.Format("%08X", m_pNtHdr->OptionalHeader.SectionAlignment);
- SetDlgItemText(IDC_EDIT_SECALIGN, StrTmp);
- }
PE格式的基礎(chǔ)信息,就是簡單地獲取結(jié)構(gòu)體的成員變量,沒有過多復(fù)雜的內(nèi)容。獲取導(dǎo)入表、導(dǎo)出表比獲取基礎(chǔ)信息復(fù)雜。接下來進行節(jié)表的枚舉,具體代碼如下:
- VOID CPeParseDlg::EnumSections()
- {
- int nSecNum = m_pNtHdr->FileHeader.NumberOfSections;
- int i = 0;
- CString StrTmp;
- for ( i = 0; i < nSecNum; i ++ )
- {
- m_SectionLIst.InsertItem(i, (const char *)m_pSecHdr[i].Name);
- StrTmp.Format("%08X", m_pSecHdr[i].VirtualAddress);
- m_SectionLIst.SetItemText(i, 1, StrTmp);
- StrTmp.Format("%08X", m_pSecHdr[i].Misc.VirtualSize);
- m_SectionLIst.SetItemText(i, 2, StrTmp);
- StrTmp.Format("%08X", m_pSecHdr[i].PointerToRawData);
- m_SectionLIst.SetItemText(i, 3, StrTmp);
- StrTmp.Format("%08X", m_pSecHdr[i].SizeOfRawData);
- m_SectionLIst.SetItemText(i, 4, StrTmp);
- StrTmp.Format("%08X", m_pSecHdr[i].Characteristics);
- m_SectionLIst.SetItemText(i, 5, StrTmp);
- }
- }
最后的動作是釋放動作,因為很簡單,這里就不給出代碼了。將這些自定義函數(shù)通過界面上的“查看”按鈕聯(lián)系起來,整個PE查看器就算是寫完了。
