我希望解析一个 PE 文件并从中读取可选标头,以及一些其他数据,这些数据使我能够知道它是 32 位 PE 还是 64 位。 我知道 imagehlp 和 dbghlp 头文件给了我诸如 IMAGE_OPTIONAL_HEADER 之类的结构。 但我不确定如何解析我的文件以产生这些。我可以使用文档并使用偏移量编写自己的解析器,但是如果有人知道正确的 API 来解析 PE?
我的目标: 1) 确定文件是 x64 还是 x86 可执行文件。可能在标题中? 2) 检查 ASLR、DEP 和 SAFESEH。我认为前两个将在 PE Optional Headers 中。
那么是否有任何 API 可以解析我的 PE 并将这些结构返回给我?
【问题讨论】:
标签: c++ winapi portable-executable
您应该看看 Image Helper Library。有一个方法 MapAndLoad 会给你一个指向 PE 文件各个部分的指针 (LOADED_IMAGE structure),即 IMAGE_NT_HEADERS、IMAGE_SECTION_HEADER。 IMAGE_NT_HEADERS structure 包含一个指向 IMAGE_OPTIONAL_HEADER structure 的指针。
DllCharacteristic 字段包含各种标志,例如 IMAGE_DLLCHARACTERISTICS_NX_COMPAT 或 IMAGE_DLLCHARACTERISTICS_NO_SEH。
要使用这些 API,请包含 Imagehlp.h 和指向 Imagehlp.lib 的链接。
【讨论】:
Imagehlp.h 是 DbgHelp.h 的超集,因此请尝试仅包含 Imagehlp.h。
1) 确定文件是 x64 还是 x86 可执行文件。
Machine 字段来自IMAGE_FILE_HEADER
2) 检查 ASLR、DEP 和 SAFESEH
ASLR:
IMAGE_OPTIONAL_HEADER检查DllCharacteristics IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 的以上字段按位与:如果不为 0,则图像支持 ASLR。DEP:
IMAGE_OPTIONAL_HEADER检查DllCharacteristics IMAGE_DLLCHARACTERISTICS_NX_COMPAT 的以上字段按位与:如果不是 0,则图像支持 ASLR。安全:
IMAGE_OPTIONAL_HEADER 的DataDirectory 字段(IMAGE_DATA_DIRECTORY 的数组)IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG].VirtualAddress 获取 RVA
IMAGE_LOAD_CONFIG_DIRECTORY 结构。SEHandlerTable 字段不为 0,则图像支持 SAFESEH。【讨论】: