PE or NOT PE - eXeL@B

Сейчас на форуме: jinoweb (+4 невидимых)

Посл.ответ	Сообщение
jangle Ранг: 71.9 (постоянный), 4thx Активность: 0.04↘0 Статус: Участник	Создано: 10 августа 2015 22:30 · Личное сообщение · #1 Как быстро проверить, является ли файл валидным PE файлом? Проверка полей заголовка не гарантирует 100% результата. Это может быть нерабочий кусок исполняемого файла, или PE заголовок дописанный к любому бинарному мусору. Как я понимаю, файл надо запустить и проверить заведется ли он. Но нужно это сделать не запуская его.

OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 10 августа 2015 22:58 · Личное сообщение · #2 google - utility pevalid peverify pechecker ----- 127.0.0.1, sweet 127.0.0.1
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 10 августа 2015 23:02 · Личное сообщение · #3 Смотря что считать валидным. Т.е. файл валидный для 7, скажем, может не пойти на ХР, потому что не хватает каких-то либ/функций в них. Если нужна привязка к ОС, то это лучше доверить самой ОС, это запускать. Если абстрактно, забивая вообще на импорт и некоторые хитрозадые директории типа LoadConfig, то глядеть работу загрузчика и эмулить его, в принципе в ринг3 кода не особо много.
vitokop Ранг: 17.6 (новичок) Активность: 0.01=0.01 Статус: Участник	Создано: 11 августа 2015 09:08 · Личное сообщение · #4 result := False; hFile := CreateFile( PChar(FileName), GENERIC_READ, FILE_SHARE_READ, nil, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0); if hFile = INVALID_HANDLE_VALUE then exit; // вся ФИШКА SEC_IMAGE !!! flProtect := PAGE_READONLY or SEC_IMAGE; try hFileMapping := CreateFileMapping( hFile, nil, flProtect, 0, 0, nil); CloseHandle(hFile); except CloseHandle(hFile); Exit; end; if hFileMapping = 0 then Exit; try pMemory := MapViewOfFile( hFileMapping, FILE_MAP_READ, 0, 0, 0); Result := pMemory <> nil; if Result then UnmapViewOfFile(pMemory); finally CloseHandle(hFileMapping); end;
Coderess Ранг: 355.4 (мудрец), 55thx Активность: 0.32↘0 Статус: Uploader 5KRT	Создано: 11 августа 2015 09:24 · Поправил: Coderess · Личное сообщение · #5 vitokop Т.е. вы не проверяете сигнатуру MZ в DOS-хидере? --> Правильность PE файла <-- P.S. // вся ФИШКА SEC_IMAGE !!! В сплошном тексте без подсветки не заметил, сори. ----- Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes
vitokop Ранг: 17.6 (новичок) Активность: 0.01=0.01 Статус: Участник	Создано: 11 августа 2015 09:36 · Личное сообщение · #6 // вся ФИШКА SEC_IMAGE !!! ПУСТЬ сама ОС все проверит как надо можно конечно проверить и на DOS и на NT, но Windows Сделает все сама
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 11 августа 2015 13:49 · Личное сообщение · #7 LoadLibraryEx - меньше кода
jangle Ранг: 71.9 (постоянный), 4thx Активность: 0.04↘0 Статус: Участник	Создано: 11 августа 2015 14:31 · Личное сообщение · #8 vitokop - интересный способ, сейчас гуглю его SReg пишет: LoadLibraryEx - меньше кода - это не сработает, PE файлы могут быть 32 и 64 bit
int Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 11 августа 2015 14:58 · Личное сообщение · #9 jangle пишет: это не сработает, PE файлы могут быть 32 и 64 bit Так отреверсите обе версии.
jangle Ранг: 71.9 (постоянный), 4thx Активность: 0.04↘0 Статус: Участник	Создано: 11 августа 2015 15:16 · Личное сообщение · #10 int - мне программно нужно проверять. Из 32-битного приложения. Соответственно LoadLibraryEx обломается на 64-битном PE.

Для печати