确定PE文件有效性
2005-04-16 01:43
330 查看
1 检查IMAGE_DOS_HEADER结构的e_magic成员的值是否等于“MZ”,也就是检查文件头第一个字的值是否等于IMAGE_DOS_SIGNATURE。为什么这样呢?用MC_ASCII转换工具进行转换,M->77(d)->4d(h) ,Z->90(d)->5A(h),合起来就是ZM->5A4D(h),而通过查看windows.inc的等值定义IMAGE_DOS_SIGNATURE equ 5A4Dh ,可知两者一致。
2 然后使用e_lfanew来定位PE header
3 判断IMAGE_NT_HEADERS 结构的signature成员值是否等于"PE/0/0",也就是检查PE header的第一个字的值是否等于IMAGE_NT_SIGNATURE。原因如1,在windows.inc的等值定义IMAGE_NT_SIGNATURE equ 00004550h .如果两者匹配则认为这个文件是有效的PE文件。
2 然后使用e_lfanew来定位PE header
3 判断IMAGE_NT_HEADERS 结构的signature成员值是否等于"PE/0/0",也就是检查PE header的第一个字的值是否等于IMAGE_NT_SIGNATURE。原因如1,在windows.inc的等值定义IMAGE_NT_SIGNATURE equ 00004550h .如果两者匹配则认为这个文件是有效的PE文件。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- PE教程2: 检验PE文件的有效性
- 验证PE文件有效性
- 《Windows核心编程》---检测PE文件有效性
- PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题
- PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题
- PE文件-检验PE文件的有效性--转自iczelion,附vc示范
- PE教程2: 检验PE文件的有效性
- PE教程2: 检验PE文件的有效性
- PE文件结构详解(二)可执行文件头
- 读取PE文件头的一段小程序
- 利用U盘PE系统修复win7系统的启动引导文件
- elf & pe 文件中 主要 section.
- Springmvc 提高性能的配置去掉静态文件和只要需要的注解[不太确定]
- win32下PE文件分析之节表
- vc6编译出小体积pe文件
- PE文件格式 - 节的原始数据 1(Sections' raw data)
- PE文件格式一(转载)
- PE文件分析工具
- PE文件讲解
- 《黑客免杀攻防》第八章 PE文件知识在免杀中的应用