pe
檔案格式被組織為乙個線性的資料流。開始的是
ms-dos
頭,然後是實模式的程式根,再就是
pe檔案簽名,緊隨其後的便是
pe檔案頭和可選頭。在這之後,出現的是所有的節頭,再跟著的就是所有節的節身。檔案常以一些其它方面的雜項資訊,包括重定位資訊、符號表資訊、行數資訊以及字串表資料等作為結尾。所有這些都可以通過檢視圖
1中的圖象資訊更輕鬆地被消化吸收。
判斷乙個檔案是否是有效性
pe檔案,主要是判斷指定檔案是否有:「有效的
dos頭」和「
pe檔案簽名」
具體操作:
1、 把指定檔案載入到記憶體中 2、
獲取檔案的dos 頭部(image_dos_header ),
判斷image_dos_header
中的成員變數e_magic 是否等於「
mz」,如果是,則說明該檔案擁有有效的dos 頭 3、
根據image_dos_header 中的成員變數e_lfanew ,獲取pe 檔案頭(image_nt_headers32 ),判斷image_nt_headers32 中的成員變數signature 是否等於「
pe00
」,如果是,則說明該檔案是 有效的pe 檔案 4、
從記憶體中刪除載入的檔案
檢測PE檔案的有效性
2008年01月14日 星期一 13 41 本文刊登於2007年第8期的 黑客防線 有內容部分改動。正文如下 從防毒軟體的角度來講檢測檔案是否為pe檔案,並再進一步判斷使用何種方式對檔案進行操作。在病毒感染可執行檔案時,也是應該有這樣步驟的。那麼,就來看看防毒軟體是如何檢測pe檔案的有效性了。pe檔...
PE教程2 檢驗PE檔案的有效性
如何才能校驗指定檔案是否為一有效 pe檔案呢 這個問題很難回答,完全取決於想要的精準程度。您可以檢驗 pe檔案格式裡的各個資料結構,或者僅校驗一些關鍵資料結構。大多數情況下,沒有必要校驗檔案裡的每乙個資料結構,只要一些關鍵資料結構有效,我們就認為是有效的 pe檔案了。下面我們就來實現前面的假設。我們...
判斷日期的有效性
方法描述 去除字串前後的所有空格 引數 str 字串 function trim str 方法描述 日期格式的校驗 如 2008 02 29或者2008 02 29等這樣的才算合法 引數 datastr 日期的字串 function validatedate datastr d d var day ...