通过文件读取oep值

举报
择城终老 发表于 2021/07/27 01:22:34 2021/07/27
【摘要】 OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。 下面的代码很简单,首先用CreateFile读取PE文件,PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件头中包含了PE文件头的起始地址,而DOS块中的数据没啥用,该块的大小为112字节,通常其内容为“This ...

OEP是PE文件被加载时的起始地址,该值位于PE文件头的IMAGE_OPTIONAL_HEADER32结构体中。


下面的代码很简单,首先用CreateFile读取PE文件,PE文件的起始位置是DOS部分,DOS部分又分为DOS MS文件头和DOS块,在DOS MS文件头中包含了PE文件头的起始地址,而DOS块中的数据没啥用,该块的大小为112字节,通常其内容为“This program cannot be run in DOS mode.”。


所以我们现在要做的就是读取DOS MS 文件头,其存放于IMAGE_DOS_HEADER结构体中,用ReadFile函数来读取。


读取到IMAGE_DOS_HEADER结构体的数据后,直接获取结构体中e_lfanew成员的值,这个值就是PE文件头的地址。


现在已经到了PE文件头的位置,而我们要读取的OEP则是存放于PE文件头的IMAGE_DATA_HEADER32结构体中。在PE文件头到IMAGE_DATA_HEADER32结构体之间包含PE文件标志和一个IMAGE_FILE_HEADER结构体。也就是说,说PE文件头走到IMAGE_DATA_HEADER32的位置,首先要经过PE文件标志,接着再走到IMAGE_FILE_HEADER结构体的位置。


PE文件标志是一个DWORD类型,占4个字节。


IMAGE_FILE_HEADER结构体有4个WORD成员和3个DWORD成员,占20个字节。


现在到了IMAGE_DATA_HEADER32结构体,我们要获取的OEP在该结构体的第7个成员中,在其之前分别有2个BYTE成员、1个WORD成员和3个DWORD成员,所以在该结构体的16个字节就是存放OEP的起始地址。


那么,我们在PE文件头的起始位置加上PE文件标志占用的字节,再加上OEP值之前6个成员占用的字节,也就是加40个字节。这样就到了OEP的起始位置了。


现在用SetFilePointer函数定位文件读取的起始位置,然后用Read_File函数就可以读取OEP的值了。


下面的完整的代码:


#include <windows.h>
#include <stdio.h>


int main()
{
HANDLE hFile;

//打开文件
if ( ( hFile = CreateFile( "notepad.exe", GENERIC_READ, FILE_SHARE_READ, NULL,
OPEN_EXISTING, FILE_FLAG_SEQUENTIAL_SCAN, NULL ) ) == INVALID_HANDLE_VALUE )
{
printf( "文件打开失败!\n" );
return 0;
}

//DOS MZ文件头
IMAGE_DOS_HEADER dos_head[ sizeof( IMAGE_DOS_HEADER ) ];

DWORD dwRead; //读取到的字节大小

//读取文件
if ( !ReadFile( hFile, &dos_head, sizeof( IMAGE_DOS_HEADER ), &dwRead, NULL ) )
{
printf( "读取IMAGE_DOS_HEADER失败!\n" );
CloseHandle( hFile );
return 0;
}

//指向PE文件头
int EntryPoint = dos_head->e_lfanew;

//批向IMAGE_NT_HEADERS结构体中的
//IMAGE_OPTIONAL_HEADER32结构体的
//第7个成员AddressOfEntryPoint, 即程序执行入口RVA
//RVA 偏移量 文件映射到内存的偏移地址
EntryPoint += 40;

//设置文件读写地址
SetFilePointer( hFile, EntryPoint, NULL, FILE_BEGIN );

DWORD dwOEP;

//读取AddressOfEntryPoint的值
if ( !ReadFile( hFile, &dwOEP, sizeof( dwOEP ), &dwRead, NULL ) )
{
CloseHandle( hFile );
return 0;
}

//关闭文件
CloseHandle( hFile );

printf( "OEP by file:%d\n", dwOEP );
return 0;
}

文章来源: liyuanjinglyj.blog.csdn.net,作者:李元静,版权归原作者所有,如需转载,请联系作者。

原文链接:liyuanjinglyj.blog.csdn.net/article/details/7892562

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。