C++ 实现PE文件特征码识别的步骤

目录
  • 打开PE文件映射:
  • 判断是否为PE文件:
  • 判断PE文件特征码:

打开PE文件映射:

在读取PE结构之前,首先要做的就是打开PE文件到内存,这里打开文件我们使用了CreateFile()函数该函数可以打开文件并返回文件句柄,接着使用CreateFileMapping()函数创建文件的内存映像,最后使用MapViewOfFile()读取映射中的内存并返回一个句柄,后面的程序就可以通过该句柄操作打开后的文件了.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 读取PE结构的封装
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以创建文件,也可以打开文件,这里则是打开文件的含义
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 获取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 创建文件的内存映像
	// 此方法非常灵活,其不需要将程序完全读入内存中,节约空间。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 读取映射中的内存并返回一个句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

int main(int argc, char * argv[])
{
	HANDLE lpMapAddress = NULL;

	lpMapAddress = OpenPeFile("c://lyshark.exe");
	printf("打开文件句柄: %d \n", lpMapAddress);

	system("pause");
	return 0;
}

判断是否为PE文件:

当文件已经打开后,接下来就要判断文件是否为有效的PE文件,这里我们首先将镜像转换为PIMAGE_DOS_HEADER格式并通过pDosHead->e_magic属性找到PIMAGE_NT_HEADERS结构,然后判断其是否符合PE文件规范即可,这里需要注意32位于64位PE结构所使用的的结构定义略有不同,代码中已经对其进行了区分.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 读取PE结构的封装
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以创建文件,也可以打开文件,这里则是打开文件的含义
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 获取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 创建文件的内存映像
	// 此方法非常灵活,其不需要将程序完全读入内存中,节约空间。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 读取映射中的内存并返回一个句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

// 判断是否为PE文件
BOOL IsPeFile(HANDLE ImageBase, BOOL Is64 = FALSE)
{
	PIMAGE_DOS_HEADER pDosHead = NULL;
	if (ImageBase == NULL)
		return FALSE;

	// 将映射文件转为DOS结构,并判断开头是否为MZ
	pDosHead = (PIMAGE_DOS_HEADER)ImageBase;
	if (IMAGE_DOS_SIGNATURE != pDosHead->e_magic)
		return FALSE;

	if (Is64 == TRUE)
	{
		// 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 64位 NT 头的位置
		PIMAGE_NT_HEADERS64 pNtHead64 = NULL;
		pNtHead64 = (PIMAGE_NT_HEADERS64)((DWORD64)pDosHead + pDosHead->e_lfanew);
		if (pNtHead64->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	else if (Is64 == FALSE)
	{
		// 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 32位 NT 头的位置
		PIMAGE_NT_HEADERS pNtHead32 = NULL;
		pNtHead32 = (PIMAGE_NT_HEADERS)((DWORD)pDosHead + pDosHead->e_lfanew);
		if (pNtHead32->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	return TRUE;
}

int main(int argc, char * argv[])
{
	HANDLE lpMapAddress = NULL;

	// 打开文件拿到PE句柄
	lpMapAddress = OpenPeFile("c://lyshark.exe");

	// 判断是否为PE文件,这里定义的为真返回1,为假返回0
	BOOL ret = IsPeFile(lpMapAddress, 0);
	printf("是否为PE文件: %d \n", ret);

	system("pause");
	return 0;
}

判断PE文件特征码:

判断程序使用了何种编译器编写,通常情况是要用文件的入口处代码和特征码进行匹配,通常情况下我们只需要匹配程序开头的前32个字节就差不多了,当然为了匹配精度更高,我们也可以对多个字段进行验证,这里就只写出大体轮廓吧.

#include <stdio.h>
#include <Windows.h>
#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

// 读取PE结构的封装
HANDLE OpenPeFile(LPTSTR FileName)
{
	HANDLE hFile, hMapFile, lpMapAddress = NULL;
	DWORD dwFileSize = 0;

	// CreateFile 既可以创建文件,也可以打开文件,这里则是打开文件的含义
	hFile = CreateFile(FileName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hFile == INVALID_HANDLE_VALUE)
		return 0;

	// 获取到文件大小
	dwFileSize = GetFileSize(hFile, NULL);

	// 创建文件的内存映像
	// 此方法非常灵活,其不需要将程序完全读入内存中,节约空间。
	hMapFile = CreateFileMapping(hFile, NULL, PAGE_READONLY, 0, dwFileSize, NULL);
	if (hMapFile == NULL)
		return 0;

	// 读取映射中的内存并返回一个句柄
	lpMapAddress = MapViewOfFile(hMapFile, FILE_MAP_READ, 0, 0, dwFileSize);
	if (lpMapAddress != NULL)
		return lpMapAddress;
	return 0;
}

// 判断是否为PE文件
BOOL IsPeFile(HANDLE ImageBase, BOOL Is64 = FALSE)
{
	PIMAGE_DOS_HEADER pDosHead = NULL;
	if (ImageBase == NULL)
		return FALSE;

	// 将映射文件转为DOS结构,并判断开头是否为MZ
	pDosHead = (PIMAGE_DOS_HEADER)ImageBase;
	if (IMAGE_DOS_SIGNATURE != pDosHead->e_magic)
		return FALSE;

	if (Is64 == TRUE)
	{
		// 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 64位 NT 头的位置
		PIMAGE_NT_HEADERS64 pNtHead64 = NULL;
		pNtHead64 = (PIMAGE_NT_HEADERS64)((DWORD64)pDosHead + pDosHead->e_lfanew);
		if (pNtHead64->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	else if (Is64 == FALSE)
	{
		// 根据 IMAGE_DOS_HEADER 的 e_lfanew 的值得到 32位 NT 头的位置
		PIMAGE_NT_HEADERS pNtHead32 = NULL;
		pNtHead32 = (PIMAGE_NT_HEADERS)((DWORD)pDosHead + pDosHead->e_lfanew);
		if (pNtHead32->Signature != IMAGE_NT_SIGNATURE)
			return FALSE;
	}
	return TRUE;
}

// 扫描特征码,对比
void GetPeSignature(LPCWSTR FilePath)
{
	typedef struct _SIGN
	{
		char FileName[64];         // 存储文件名或特征描述
		LONG FileOffset;           // 存储检测文件偏移地址
		BYTE VirusSign[32 + 1];    // 存储特征码大小32,其中的1是结束符.
	}SIGN, *pSIGN;

	// 定义特征码与特征描述信息,你可以自己去提取一段特征码
	SIGN Sign[2] = {
		{
			"Microsoft Visual C/C++ x86 (2013)",
			0x8a0,
		"\x55\x8B\xEC\x81\xEC\xC4\x00\x00\x00\x53\x56\x57\x8D\xBD\x3C\xFF" \
		"\xFF\xFF\xB9\x31\x00\x00\x00\xB8\xCC\xCC\xCC\xCC\xF3\xAB\x8B\x45" \
		},
		{
			"Microsoft Visual C/C++ x64 (2013)",
			0x400,
		"\xCC\xCC\xCC\xCC\xCC\xE9\x86\x02\x00\x00\xE9\x31\x05\x00\x00\xE9" \
		"\x6C\x01\x00\x00\xE9\x57\x03\x00\x00\xE9\x22\x00\x00\x00\xCC\xCC" \
		}
	};

	DWORD dwNum = 0;
	BYTE buffer[32 + 1];
	HANDLE hFile = NULL;

	// 获取到FilePath路径下文件的句柄信息
	hFile = CreateFile(FilePath, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,
		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	// 我们有两段待检测特征,这里循环两次从零开始
	for (int x = 0; x <= 2; x++)
	{
		// 将待检测程序的文件指针指向特征码的偏移位置
		SetFilePointer(hFile, Sign[x].FileOffset, NULL, FILE_BEGIN);
		// 读取目标程序指定位置的特征码到内存中
		ReadFile(hFile, buffer, sizeof(buffer), &dwNum, NULL);
		// 对比内存中两个特征码是否相等
		if (memcmp(Sign[x].VirusSign, buffer, 32) == 0)
		{
			printf("检测结果: %s \n", Sign[x].FileName);
		}
	}
	CloseHandle(hFile);
}

int main(int argc, char * argv[])
{
	GetPeSignature(L"c://lyshark.exe");
	system("pause");
	return 0;
}

你需要自己提取不同编译器的特征字段,然后按照我写好的格式进行增加,例如我是用vs2013编译的,那么检测结果就可能会是vs2013,特征码的提取应尽量保证一致性。

文章出处:https://www.cnblogs.com/lyshark

以上就是C++ 实现PE文件特征码识别的步骤的详细内容,更多关于C++ PE文件特征码识别的资料请关注我们其它相关文章!

(0)

相关推荐

  • C++中typeid实现原理详解

    最近看了boost::any类源码,其实现主要依赖typeid操作符.很好奇这样实现的时间和空间开销有多大,决定探一下究竟. VS2008附带的type_info类只有头文件,没有源文件,声明如下: class type_info { public: virtual ~type_info(); _CRTIMP_PURE bool __CLR_OR_THIS_CALL operator==(const type_info& rhs) const; _CRTIMP_PURE bool __CLR_O

  • C++中实现OpenCV图像分割与分水岭算法

    C++中实现OpenCV图像分割与分水岭算法

    分水岭算法是一种图像区域分割法,在分割的过程中,它会把跟临近像素间的相似性作为重要的参考依据,从而将在空间位置上相近并且灰度值相近的像素点互相连接起来构成一个封闭的轮廓,封闭性是分水岭算法的一个重要特征. API介绍 void watershed( InputArray image, InputOutputArray markers ); 参数说明: image: 必须是一个8bit 3通道彩色图像矩阵序列 markers: 在执行分水岭函数watershed之前,必须对第二个参数markers

  • c++ 形状类Shape(派生出圆类Circle和矩形类Rectangle)

    1.建立一个形状类Shape作为基类,派生出圆类Circle和矩形类Rectangle,求出面积并获取相关信息. 具体要求如下: (1)形状类Shape (a)保护数据成员 double x,y:对于不同的形状,x和y表示不同的含义,如对于圆,x和y均表示圆的半径,而对于矩形,x表示矩形的长,y表示矩形的宽.访问权限定义为保护类型是为了能被继承下去,以便派生类能直接访问x和y. (b)公有成员函数 构造函数Shape(double _x,double _y):用_x._y分别初始化x.y. do

  • Visual Studio Code运行C++代码时显示CLOCKS_PER_SEC未定义的问题及解决方法

    今天写代码,突然想知道程序运行时间,于是我在代码里包含了time头文件,include没有标红,但是在出现CLOCKS_PER_SEC的地方却标了红,显示未定义标识符CLOCKS_PER_SEC 我寻思,这不对劲,time文件里不定义着吗?怎么会未定义,但是我看到上方的提示,原来CLOCKS_PER_SEC是一个整型量,数值为1000,那我不妨自己定义.于是我在代码的顶部进行宏定义,没有标红了,且程序的运行结果和在Visual Studio 2019中运行的结果一样,那应该就没毛病了. 另外,本

  • 基于OpenCV和C++ 实现图片旋转

    基于OpenCV和C++ 实现图片旋转

    图片旋转,本质上是对旋转后的图片中每个像素点计算在原图的位置.然后照搬过来就好. (多说一句,如果计算出来在原图中的位置不是整数而是小数,因为像素点个数都是整数,就需要小数到整数的转换.这个转换过程是有讲究的,需要用到插值:最近邻插值.双线性插值等等.这里我使用的是最简单的最近邻插值,即对小数四舍五入成整数,C/C++ 实现四舍五入见 这里 ) 图形图像课上一般会介绍旋转变换矩阵,其中 t 为需要旋转的角度,[x'; y']是变换后坐标(其中分号表示上下关系): 即表示为:[x'; y'] =

  • OpenCV实现车牌字符分割(C++)

    之前的车牌定位中已经获取到了车牌的位置,并且对车牌进行了提取.我们最终的目的是进行车牌识别,在这之前需要将字符进行分割,方便对每一个字符进行识别,最后将其拼接后便是完整的车牌号码.关于车牌定位可以看这篇文章: OpenCV车牌定位(C++),本文使用的图片也是来自这里. 先来看一看原图: 最左边的汉字本来是 沪,截取时只获得了右边一点点的部分,这与原图和获取方法都有关,对于 川.沪- 这一类左右分开的字会经常发生这类问题,对方法进行优化后可以解决,这里暂时不进行讨论. 后面的字都是完整的,字符分

  • c++ 基于opencv 识别、定位二维码

    c++ 基于opencv 识别、定位二维码

    前言 因工作需要,需要定位图片中的二维码:我遂查阅了相关资料,也学习了opencv开源库.通过一番努力,终于很好的实现了二维码定位.本文将讲解如何使用opencv定位二维码. 定位二维码不仅仅是为了识别二维码:还可以通过二维码对图像进行水平纠正以及相邻区域定位.定位二维码,不仅需要图像处理相关知识,还需要分析二维码的特性,本文先从二维码的特性讲起. 1 二维码特性 二维码在设计之初就考虑到了识别问题,所以二维码有一些特征是非常明显的. 二维码有三个"回""字形图案,这一点非常

  • OpenCV实现车牌定位(C++)

    最近开始接触 C++ 了,就拿一个 OpenCV 小项目来练练手.在车牌自动识别系统中,从汽车图像的获取到车牌字符处理是一个复杂的过程,本文就以一个简单的方法来处理车牌定位. 我国的汽车牌照一般由七个字符和一个点组成,车牌字符的高度和宽度是固定的,分别为90mm和45mm,七个字符之间的距离也是固定的12mm,点分割符的直径是10mm. 使用的图片是从百度上随便找的(侵删),展示一下原图和灰度图: #include <iostream> #include <opencv2/highgui

  • 一文读懂c语言结构体在单片机中的应用

    Struck 看到单片机中有很多struck 的应用,但是呢我当初学C语言的时候又没有很认真的去学习,今天复习下,写一篇小小的交流,希望能够给大家带来帮助. 1.struck的定义 /***********方式一**********/ struct Book { char title[128]; char aurhor[40]; float price; unsigned int date; char pubilsher[40]; }; /*定义了Book这个模板*/ struct Book b

  • C++ opencv实现车道线识别

    C++ opencv实现车道线识别

    本文实例为大家分享了C++ opencv实现车道线识别的具体代码,供大家参考,具体内容如下 先上图 1. 2. (一)目前国内外广泛使用的车道线检测方法主要分为两大类: (1) 基于道路特征的车道线检测: (2) 基于道路模型的车道线检测. 基于道路特征的车道线检测作为主流检测方法之一,主要是利用车道线与道路环境的物理特征差异进行后续图像的分割与处理,从而突出车道线特征,以实现车道线的检测.该方法复杂度较低,实时性较高,但容易受到道路环境干扰. 基于道路模型的车道线检测主要是基于不同的二维或三维

随机推荐