开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 系统/网络安全 > 杀毒 > 查看源码
PEFile.cpp
资源名称:OurAntiEvilTools.rar [点击查看]
上传用户:shouhua
上传日期:2014-12-06
资源大小:5685k
文件大小:14k
源码类别:

杀毒

开发平台:

Visual C++

PEFile.cpp:源码内容
  1. // PEFile.cpp: implementation of the CPEFile class.
  2. //
  3. //////////////////////////////////////////////////////////////////////
  5. #include "stdafx.h"
  6. #include <Imagehlp.h>
  7. //#include "PETools.h"
  8. #include "PEFile.h"
  10. #ifdef _DEBUG
  11. #undef THIS_FILE
  12. static char THIS_FILE[]=__FILE__;
  13. #define new DEBUG_NEW
  14. #endif
  16. //////////////////////////////////////////////////////////////////////
  17. // Construction/Destruction
  18. //////////////////////////////////////////////////////////////////////
  20. CPEFile::CPEFile(HWND hwnd/* = NULL*/)
  21. {
  22. m_hwnd = hwnd;
  23. strcpy(m_filename, "");
  24. m_buffer = 0;
  25. m_size = 0;
  26. m_dosstub_size = 0;
  27. m_pe_header = 0;
  28. m_std_header = 0;
  29. m_nt_header = 0;
  30. m_rom_header = 0;
  31. m_directories = 0;
  32. m_sections = 0;
  33. }
  35. CPEFile::~CPEFile()
  36. {
  37. if (m_buffer)
  38. {
  39. delete m_buffer;
  40. m_buffer = 0;
  41. }
  42. }
  44. BOOL CheckPe(FILE* pFile)
  45. {
  46. fseek(pFile,0,SEEK_SET);
  47. BOOL bFlags=FALSE;
  48. WORD IsMZ;
  49. DWORD IsPE,pNT;
  50. fread(&IsMZ,sizeof(WORD),1,pFile);
  51. if(IsMZ==0x5A4D)
  52. {
  53. fseek(pFile,0x3c,SEEK_SET);
  54. fread(&pNT,sizeof(DWORD),1,pFile);
  55. fseek(pFile,pNT,SEEK_SET);
  56. fread(&IsPE,sizeof(DWORD),1,pFile);
  57. if(IsPE==0X00004550)
  58. bFlags=TRUE;
  59. else
  60. bFlags=FALSE;
  61. }
  62. else
  63. bFlags=FALSE;
  64. fseek(pFile,0,SEEK_SET);
  65. return bFlags;
  66. }
  67. // LoadExecutable
  68. //
  69. // - Load the executable in memory and parse the pe header
  70. //==============================================================================================
  71. bool CPEFile::LoadExecutable(char *filename)
  72. {
  73. bool result;
  74. FILE *f;
  75.     //IMAGE_DOS_HEADER     DosHeader;
  76. // Delete all previous buffer
  77. if (m_buffer)
  78. {
  79. delete m_buffer;
  80. m_buffer = 0;
  81. }
  83. // Load the file into memory
  84. f = fopen(filename, "rb");
  85. if (!f)
  86. {
  87. //MessageBox(m_hwnd, CString("Can't open for reading the file ") + CString(filename), "Open error", 0);
  88. return (false);
  89. }
  90. //fseek(f,0,SEEK_SET);
  91. //fread(&DosHeader,sizeof(IMAGE_DOS_HEADER),1,f);
  92. //if(DosHeader.e_magic!=IMAGE_DOS_SIGNATURE)
  93. //{
  94. //return  false;
  95. //}
  96. if(!CheckPe(f))
  97. {
  98. return  false;
  99. }
  100. fseek(f, 0, SEEK_END);
  101. m_size = ftell(f);
  102. fseek(f, 0, SEEK_SET);
  103. m_buffer = new unsigned char[m_size];
  105. if (fread(m_buffer, sizeof(unsigned char), m_size, f) != (size_t)m_size)
  106. {
  107. MessageBox(m_hwnd, CString("Can't read the whole file ") + CString(filename), "Open error", 0);
  108. fclose(f);
  110. if (m_buffer)
  111. {
  112. delete m_buffer;
  113. m_buffer = 0;
  114. }
  115. return (false);
  116. }
  117. fclose (f);
  119. // Update all variables
  120. result = UpdatePEVars(false);
  121. if (result)
  122. {
  123. strcpy(m_filename, filename);
  124. }
  126. return (result);
  127. }
  129. // UpdatePEVars
  130. //
  131. // - Parse all pe headers into our variables
  132. //==============================================================================================
  133. bool CPEFile::UpdatePEVars(bool fix_sections/* = false*/)
  134. {
  135. unsigned int i;
  136. unsigned short dos_stub;
  137. unsigned int pe_offset, pe_signature;
  138. unsigned int current_pos;
  140. // DEBUG
  141. fix_sections = true;
  143. // Executable not yet loaded!!!!
  144. if (!m_buffer)
  145. {
  146. //MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  147. return (false);
  148. }
  150. // Check DosStub infos
  151. dos_stub = ((unsigned short*)m_buffer)[0];
  152. if (dos_stub != 0x5a4d)
  153. {
  154. //MessageBox(m_hwnd, "Not a windows executable", "Format error", 0);
  155. return (false);
  156. }
  158. pe_offset = *((unsigned int*)(m_buffer + 0x3c));
  160. // Check PE Format signature
  161. pe_signature = *((unsigned int*)(m_buffer + pe_offset));
  162. if (pe_signature != 0x00004550)
  163. {
  164. //MessageBox(m_hwnd, "Not a PE format executable", "Format error", 0);
  165. //return (false);
  166. }
  168. // Get PE Infos
  169. current_pos = pe_offset + 4;
  170. m_dosstub_size = current_pos;
  172. m_pe_header = (PEHeader*)(m_buffer + current_pos);
  173. current_pos += sizeof(PEHeader);
  175. m_nt_header = (NTOptionalHeader*)(m_buffer + current_pos);
  176. current_pos += sizeof(NTOptionalHeader);
  178. m_directories = (DataDirectory*)(m_buffer + current_pos);
  179. current_pos += sizeof(DataDirectory) * m_nt_header->numDataDirectories;
  181. m_sections = (Section*)(m_buffer + current_pos);
  182. current_pos += sizeof(Section) * m_pe_header->numSections;
  184. // Do we need to fix all Raw Infos for each section? (Especially for a dumped task)
  185. if (fix_sections)
  186. {
  187. for (i=0; i<m_pe_header->numSections; i++)
  188. {
  189. m_sections[i].dataOffset = m_sections[i].RVA;
  190. m_sections[i].dataAlignSize = m_sections[i].misc.virtualSize;
  191. }
  192. }
  194. return (true);
  195. }
  197. // WriteInfos
  198. //
  199. // - Write pe infos into a txt file
  200. //==============================================================================================
  201. bool CPEFile::WriteInfos(char *filename)
  202. {
  203. unsigned int i;
  204. char buffer[9];
  205. FILE *fd;
  207. // Executable not yet loaded!!!!
  208. if (!m_buffer)
  209. {
  210. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  211. return (false);
  212. }
  214. fd = fopen(filename, "w");
  215. if (!fd)
  216. {
  217. MessageBox(m_hwnd, CString("Can't open for writing the file ") + CString(filename), "Open error", 0);
  218. return (false);
  219. }
  221. // pe header
  222. fprintf(fd, "---==== PE Infos ====---nn");
  223. fprintf(fd, "tdosStubSize 0x%xn", m_dosstub_size);
  224. fprintf(fd, "nPEHeadern");
  225. fprintf(fd, "tcpuType 0x%xn", m_pe_header->cpuType);
  226. fprintf(fd, "tnumSections 0x%xn", m_pe_header->numSections);
  227. fprintf(fd, "tdateStamp 0x%xn", m_pe_header->dateStamp);
  228. fprintf(fd, "tsymbolTable 0x%xn", m_pe_header->symbolTable);
  229. fprintf(fd, "tnumSymbols 0x%xn", m_pe_header->numSymbols);
  230. fprintf(fd, "toptionalHeaderSize 0x%xn", m_pe_header->optionalHeaderSize);
  231. fprintf(fd, "tflags 0x%xn", m_pe_header->flags);
  233. // pe optional header
  234. fprintf(fd, "nNTOptionalHeadern");
  235. fprintf(fd, "tmagic 0x%xn", m_nt_header->magic);
  236. fprintf(fd, "tlinkerMajor 0x%xn", m_nt_header->linkerMajor);
  237. fprintf(fd, "tlinkerMinor 0x%xn", m_nt_header->linkerMinor);
  238. fprintf(fd, "tcodeSize 0x%xn", m_nt_header->codeSize);
  239. fprintf(fd, "tinitDataSize 0x%xn", m_nt_header->initDataSize);
  240. fprintf(fd, "tuninitDataSize 0x%xn", m_nt_header->uninitDataSize);
  241. fprintf(fd, "tentryPoint 0x%xn", m_nt_header->entryPoint);
  242. fprintf(fd, "tcodeBase 0x%xn", m_nt_header->codeBase);
  243. fprintf(fd, "tdataBase 0x%xn", m_nt_header->dataBase);
  244. fprintf(fd, "timageBase 0x%xn", m_nt_header->imageBase);
  245. fprintf(fd, "tsectionAlign 0x%xn", m_nt_header->sectionAlign);
  246. fprintf(fd, "tfileAlign 0x%xn", m_nt_header->fileAlign);
  247. fprintf(fd, "tosMajor 0x%xn", m_nt_header->osMajor);
  248. fprintf(fd, "tosMinor 0x%xn", m_nt_header->osMinor);
  249. fprintf(fd, "timageMajor 0x%xn", m_nt_header->imageMajor);
  250. fprintf(fd, "timageMinor 0x%xn", m_nt_header->imageMinor);
  251. fprintf(fd, "tsubsystemMajor 0x%xn", m_nt_header->subsystemMajor);
  252. fprintf(fd, "tsubsystemMinor 0x%xn", m_nt_header->subsystemMinor);
  253. fprintf(fd, "treserved 0x%xn", m_nt_header->reserved);
  254. fprintf(fd, "timageSize 0x%xn", m_nt_header->imageSize);
  255. fprintf(fd, "theadersSize 0x%xn", m_nt_header->headersSize);
  256. fprintf(fd, "tchecksum 0x%xn", m_nt_header->checksum);
  257. fprintf(fd, "tsubsystem 0x%xn", m_nt_header->subsystem);
  258. fprintf(fd, "tdllFlags 0x%xn", m_nt_header->dllFlags);
  259. fprintf(fd, "tstackReserveSize 0x%xn", m_nt_header->stackReserveSize);
  260. fprintf(fd, "tstackCommitSize 0x%xn", m_nt_header->stackCommitSize);
  261. fprintf(fd, "theapReserveSize 0x%xn", m_nt_header->heapReserveSize);
  262. fprintf(fd, "theapCommitSize 0x%xn", m_nt_header->heapCommitSize);
  263. fprintf(fd, "tloaderFlags 0x%xn", m_nt_header->loaderFlags);
  264. fprintf(fd, "tnumDataDirectories 0x%xn", m_nt_header->numDataDirectories);
  266. // data directories
  267. fprintf(fd, "nDataDirectoriesn");
  268. fprintf(fd, "t;RVAttSizen");
  269. for(i=0; i< m_nt_header->numDataDirectories; i++)
  270. {
  271. fprintf(fd, "t0x%xtt0x%x", 
  272. m_directories[i].RVA, m_directories[i].size);
  274. if (i < (sizeof(dataDirNames) / sizeof(char*)))
  275. fprintf(fd, "tt; %s", dataDirNames[i]);
  276. else
  277. fprintf(fd, "tt; !!!UNKNOWN DIRECTORY!!!");
  279. fprintf(fd, "n");
  280. }
  282. // sections
  283. fprintf(fd, "nSectionsn");
  284. fprintf(fd, "t;NamettVSizetRVAtSizetOffsettReltLinest#Relt#LinetFlagsn");
  285. for(i=0; i < m_pe_header->numSections; i++)
  286. {
  287. strncpy(buffer, (char*)(m_sections[i].name), 8);
  288. *(buffer+8) = 0;
  289. fprintf(fd, "t%st0x%xt0x%xt0x%xt0x%xt0x%xt0x%xt0x%xt0x%xt0x%xtn", 
  290. buffer,
  291. m_sections[i].misc.virtualSize,
  292. m_sections[i].RVA,
  293. m_sections[i].dataAlignSize,
  294. m_sections[i].dataOffset,
  295. m_sections[i].relocationsOffset,
  296. m_sections[i].lineNumbersOffset,
  297. m_sections[i].numRelocations,
  298. m_sections[i].numLineNumbers,
  299. m_sections[i].flags);
  300. }
  302. fclose(fd);
  303. return (true);
  304. }
  306. // SaveExecutable
  307. //
  308. // - Write the current executable
  309. //==============================================================================================
  310. bool CPEFile::SaveExecutable(char *filename)
  311. {
  312. FILE *f;
  314. // Executable not yet loaded!!!!
  315. if (!m_buffer)
  316. {
  317. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  318. return (false);
  319. }
  321. // Write the current buffer into a file
  322. f = fopen(filename, "wb");
  323. if (!f)
  324. {
  325. MessageBox(m_hwnd, CString("Can't open for writing the file ") + CString(filename), "Open error", 0);
  326. return (false);
  327. }
  329. if (fwrite(m_buffer, sizeof(unsigned char), m_size, f) !=
  330. (size_t)m_size)
  331. {
  332. MessageBox(m_hwnd, "Can't write the whole executable", "Open error", 0);
  333. fclose(f);
  334. return (false);
  335. }
  337. fclose(f);
  338. return (true);
  339. }
  341. // SavePartialExecutable
  342. //
  343. // - Write the current executable in partial mode
  344. //==============================================================================================
  345. bool CPEFile::SavePartialExecutable(char *filename, DWORD start, DWORD length)
  346. {
  347. FILE *f;
  349. start -= m_nt_header->imageBase;
  351. // Executable not yet loaded!!!!
  352. if (!m_buffer)
  353. {
  354. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  355. return (false);
  356. }
  358. // Write the current buffer into a file
  359. f = fopen(filename, "wb");
  360. if (!f)
  361. {
  362. MessageBox(m_hwnd, CString("Can't open for writing the file ") + CString(filename), "Open error", 0);
  363. return (false);
  364. }
  366. if (fwrite(m_buffer+start, sizeof(unsigned char), length, f) !=
  367. (size_t)length)
  368. {
  369. MessageBox(m_hwnd, "Can't write a part of this executable", "Open error", 0);
  370. fclose(f);
  371. return (false);
  372. }
  374. fclose(f);
  375. return (true);
  376. }
  378. // SaveHeaderOnly
  379. //
  380. // - Write the header of the current executable
  381. //==============================================================================================
  382. bool CPEFile::SaveHeaderOnly(char *filename)
  383. {
  384. FILE *f;
  385. DWORD dwHeaderSize;
  387. // Executable not yet loaded!!!!
  388. if (!m_buffer)
  389. {
  390. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  391. return (false);
  392. }
  394. // Write the current buffer into a file
  395. f = fopen(filename, "wb");
  396. if (!f)
  397. {
  398. MessageBox(m_hwnd, CString("Can't open for writing the file ") + CString(filename), "Open error", 0);
  399. return (false);
  400. }
  402. dwHeaderSize = m_dosstub_size +
  403. sizeof(PEHeader) +
  404. sizeof(NTOptionalHeader) +
  405. sizeof(DataDirectory)*m_nt_header->numDataDirectories +
  406. sizeof(Section)*m_pe_header->numSections;
  408. // Save the whole headers
  409. if (fwrite(m_buffer, sizeof(unsigned char), dwHeaderSize, f) !=
  410. (size_t)dwHeaderSize)
  411. {
  412. MessageBox(m_hwnd, "Can't write the whole headers", "Open error", 0);
  413. fclose(f);
  414. return (false);
  415. }
  417. fclose(f);
  418. return (true);
  419. }
  422. int CPEFile::FindSectionIndex(DWORD addr)
  423. {
  424. int i;
  425. for (i=0; i<m_pe_header->numSections; i++)
  426. {
  427. if (addr >= m_sections[i].RVA && 
  428. addr < m_sections[i].RVA + m_sections[i].misc.virtualSize)
  429. {
  430. break;
  431. }
  432. }
  434. if (i<m_pe_header->numSections)
  435. return (i);
  436. else
  437. return (-1);
  438. }
  440. DWORD CPEFile::RVA2Offset(DWORD addr)
  441. {
  442. int i = FindSectionIndex(addr);
  443. if (i >= 0)
  444. return (addr - m_sections[i].RVA + m_sections[i].dataOffset);
  446. return (NULL);
  447. }
  449. // GetHeader
  450. //
  451. // - Replace the header of buffer into the current
  452. //==============================================================================================
  453. bool CPEFile::FixHeader()
  454. {
  455. // Executable not yet loaded!!!!
  456. if (!m_buffer)
  457. {
  458. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  459. return (false);
  460. }
  462. CPEFile pe_file_header(m_hwnd);
  463. if (pe_file_header.LoadExecutable(m_filename) &&
  464. pe_file_header.UpdatePEVars(true)) // FIX RAW=RVA for all sections
  465. {
  466. memcpy(m_buffer, pe_file_header.m_buffer, pe_file_header.m_nt_header->headersSize);
  467. return (true);
  468. }
  470. return (false);
  471. }
  473. // Rebuild Import
  474. //
  475. // - Rebuild the import table
  476. //==============================================================================================
  477. bool CPEFile::RebuildImport(void **name_import)
  478. {
  479. // Executable not yet loaded!!!!
  480. if (!m_buffer)
  481. {
  482. MessageBox(m_hwnd, "Open a file before!!", "Open error", 0);
  483. return (false);
  484. }
  486. char buf[256];
  487. int  i;
  489. if ((i=FindSectionIndex(m_directories[ImportDataDirectory].RVA)) >= 0)
  490. {
  491. int nb_dll = 0, nn = 0;
  493. // Cut the import table to 3 parts
  494. //
  495. // 1 - Image Import Descriptor
  496. // 2 - Import Array Table
  497. // 3 - Function Name
  499. // FIRST
  500. IMAGE_IMPORT_DESCRIPTOR *tmp = 
  501. (IMAGE_IMPORT_DESCRIPTOR*)(m_buffer+m_sections[i].dataOffset+
  502. m_directories[ImportDataDirectory].RVA-m_sections[i].RVA);
  503. DWORD *tmp2;
  505. void *imp1 = tmp;
  506. void *imp2;
  507. void *imp3;
  509. // SECOND
  510. while (tmp->Name)
  511. {
  512. tmp++;
  513. nb_dll++;
  514. }
  515. tmp++;
  516. imp2 = tmp;
  518. // THIRD
  519. tmp2 = (DWORD*)tmp;
  520. while (nn < nb_dll)
  521. {
  522. if (!(*tmp2))
  523. {
  524. nn++;
  525. }
  526. tmp2++;
  527. }
  528. imp3 = tmp2;
  530. sprintf(buf, "%X %X %X",
  531. (DWORD)imp1-(DWORD)m_buffer,
  532. (DWORD)imp2-(DWORD)m_buffer,
  533. (DWORD)imp3-(DWORD)m_buffer);
  535. *name_import = imp3;
  536. MessageBox(m_hwnd, buf, "Ok", 0);
  537. return (true);
  538. }
  540. MessageBox(m_hwnd, "Argh! No section found.!!", "Import error", 0);
  541. return (false);
  542. }