第2章 三个小工具的编写(2)

2.3 PEComp的实现

PEComp是PE文件比较器。功能是按照PE文件格式的数据结构按字段对两个指定的PE文件进行比对,以获取两个PE文件结构中的不相同的信息。在实际应用中,我们可以通过对比病毒感染前后PE文件在相关字段上发生的变化来判断病毒的感染方式,从而确定清理病毒的方法。

2.3.1 编程思路

PEComp的功能是在通用框架pe.asm的基础上,实现两个PE文件的对比,并通过图形界面将不同之处形象地表示出来。编码的大致思路如下:

步骤1 打开要比较的两个文件,分别进行文件的内存映射,获取内存起始地址。

步骤2 线性搜索,根据文件头部内容确定该文件是否为PE文件,不是则退出。

步骤3 将esi指向要操作的第一个文件的相关字段处,将edi指向第二个要操作的文件的相同字段处,同时获取该位置的指定个数的字节到内存,比较并显示,如果不同,则显示时使用红色背景以示区别。

下面开始具体的设计过程,首先根据构思的最终显示效果定义资源文件。

2.3.2 定义资源文件

将2.1.2节中的资源文件pe.rc复制到pecomp.rc,并在pecomp.rc文件中增加一个对话框,该对话框中包括用户选择的参与对比的两个PE文件文本框ID_TEXT1和ID_TEXT2、两个浏览按钮、一个显示结果用的表格IDC_MODULETABLE和一个执行按钮,增加的对话框脚本定义如下所示:

复制代码
  RESULT_MODULE DIALOG 76,10,630,480
  STYLE DS_MODALFRAME | WS_POPUP |WS_VISIBLE | WS_CAPTION |WS_SYSMENU
  CAPTION "PE文件对比结果"
  FONT 9,"宋体"
  BEGIN
    LTEXT "您选定的第一个文件为:",ID_STATIC,10,13,200,15
    EDITTEXT ID_TEXT1,130,13,440,15
    PUSHBUTTON "浏览...",IDC_BROWSE1,570,13,50,14
    LTEXT "您选定的第二个文件为:",ID_STATIC1,10,35,200,15
    EDITTEXT ID_TEXT2,130,35,440,15
    PUSHBUTTON "浏览...",IDC_BROWSE2,570,35,50,14
    CONTROL  "",  IDC_MODULETABLE,  "SysListView32",13  |  WS_CHILD  |  WS_VISIBLE  |
                                      WS_BORDER | WS_TABSTOP, 10,60,610,390
    AUTOCHECKBOX "只显示不同的值" IDC_THESAME,10,460,100,14
    PUSHBUTTON "执行...(&R)",IDC_OK,570,460,50,14
  END

2.3.3 PEComp编码

复制pe.asm到PEComp.asm,并从代码中的窗口回调函数的菜单项响应部分开始编码,增加内容有以下4个部分。

1.菜单项响应代码

在主窗口的回调函数中,定义对鼠标点击菜单项"文件"|"打开"所引发的消息处理程序,添加如下代码:

复制代码
.elseif eax==IDM_OPEN    ;打开PE文件对比对话框
          invoke DialogBoxParam,hInstance,RESULT_MODULE,hWnd,\
                offset _resultProcMain,0
          invoke InvalidateRect,hWnd,NULL,TRUE
          invoke UpdateWindow,hWnd

当用户选择了"打开"菜单选项时,会弹出资源文件里定义的对话框RESULT_MODULE。通过定义该对话框的回调函数,可以处理对话框控件发出的消息。该对话框的回调函数是_resultProcMain,其代码如代码清单2-4所示。

代码清单2-4 PE文件比较器的窗口回调函数_resultProcMain实现(chapter2\pecomp.asm)

复制代码
   ;-----------------------
   ; 弹出PE对比窗口回调函数
   ;-----------------------
_resultProcMain    proc  uses ebx edi esi
        hProcessModuleDlg:HWND,wMsg,wParam,lParam 5 mov eax,wMsg

        .if eax==WM_CLOSE
            invoke EndDialog,hProcessModuleDlg,NULL
        .elseif eax==WM_INITDIALOG
            invoke GetDlgItem,hProcessModuleDlg,IDC_MODULETABLE
            mov hProcessModuleTable,eax
            invoke GetDlgItem,hProcessModuleDlg,ID_TEXT1
            mov hText1,eax
            invoke GetDlgItem,hProcessModuleDlg,ID_TEXT2
            mov hText2,eax

            ;定义表格外观
            invoke SendMessage,hProcessModuleTable,LVM_SETEXTENDEDLISTVIEWSTYLE,\
                     0,LVS_EX_GRIDLINES or LVS_EX_FULLROWSELECT
            invoke ShowWindow,hProcessModuleTable,SW_SHOW
            ;清空表格内容
            invoke _clearResultView

            .elseif eax==WM_NOTIFY
               mov eax,lParam
               mov ebx,lParam
               ;更改各控件状态
               mov eax,[eax+NMHDR.hwndFrom]
               .if eax==hProcessModuleTable
                    mov ebx,lParam
                    .if [ebx+NMHDR.code]==NM_CUSTOMDRAW   ;绘画时
                      mov ebx,lParam
                      assume ebx:ptr NMLVCUSTOMDRAW
                      .if [ebx].nmcd.dwDrawStage==CDDS_PREPAINT
                          invoke SetWindowLong,hProcessModuleDlg,DWL_MSGRESULT,\
                                                    CDRF_NOTIFYITEMDRAW
                          mov eax,TRUE
                      .elseif [ebx].nmcd.dwDrawStage==CDDS_ITEMPREPAINT

                         ;当每一单元格内容被重新绘制前,判断
                          ;两列的值是否一致
                          invoke _GetListViewItem,hProcessModuleTable,\
                                          [ebx].nmcd.dwItemSpec,1,addr bufTemp1
                          invoke _GetListViewItem,hProcessModuleTable,\
                                          [ebx].nmcd.dwItemSpec,2,addr bufTemp2
                          invoke lstrlen,addr bufTemp1
                          invoke _MemCmp,addr bufTemp1,addr bufTemp2,eax

                          ;如果一致,则将文本的背景色设置为浅红色,否则为黑色
                          .if eax==1
                              mov [ebx].clrTextBk,0a0a0ffh
                          .else
                              mov [ebx].clrTextBk,0ffffffh
                          .endif
                          invoke SetWindowLong,hProcessModuleDlg,DWL_MSGRESULT,\
                                                             CDRF_DODEFAULT
                          mov eax,TRUE
                        .endif
                    .elseif [ebx+NMHDR.code]==NM_CLICK
                         assume ebx:ptr NMLISTVIEW
                    .endif
               .endif
            .elseif eax==WM_COMMAND
                mov eax,wParam
                .if ax==IDC_OK   ;执行对比
                    invoke _openFile
                .elseif ax==IDC_BROWSE1
                    invoke _OpenFile1     ;用户选择第一个文件
                .elseif ax==IDC_BROWSE2
                    invoke _OpenFile2     ;用户选择第二个文件
                .endif
           .else
                mov eax,FALSE
                ret
           .endif
           mov eax,TRUE
           ret
    _resultProcMain     endp

PE文件比较器窗口回调函数中最主要的代码集中在第31~58行。由窗口回调函数注册的监听器一旦发现由表格控件引发了绘画消息,则判断该绘画是否为表格项重画(第38行)。如果是,则获取要重画的项目当前所在行的第1列和第2列的值。这两个值来自于两个不同PE文件的同一个字段,通过判断二者是否相等来决定重画时使用的背景色。如果不相等,则将重画时的背景色设置为0a0a0ffh(浅红色),否则设置为0ffffffh(黑色)。

如上所示,当用户选择了两个要参与对比的PE文件以后,点击执行对比按钮,系统会调用函数_openFile。

2. _openFile函数

_openFile函数的功能是把两个PE文件数据结构中的相关字段的值取出,分别放到表格的第1列和第2列,判断两个值是否相等的代码在回调函数_resultProcMain中已经给出。

与前面的思路一样,程序还是使用了内存映射函数来操作参与对比的两个PE文件,所不同的是这里需要定义两个指针。一个指针指向第一个文件的内存映射函数的起始位置,另一个指针指向第二个文件的内存映射函数的起始位置。假设该工作已经完成,接下来就是把两个PE文件按照第3章里描述的所有字段的值取出来显示到表格中,完成该功能的代码如代码清单2-5所示。

复制代码
 ;到此为止,两个内存文件的指针已经获取到了
 ;@lpMemory和@lpMemory1分别指向两个文件头
 ;下面是从这个文件头开始,先找出各数据结构的字段值,然后进行比较

 ;调整esi,edi指向DOS头
 mov esi,@lpMemory
 assume esi:ptr IMAGE_DOS_HEADER
 mov edi,@lpMemory1
 assume edi:ptr IMAGE_DOS_HEADER
  invoke _Header1

  ;调整esi,dei指针指向PE文件头
  add esi,[esi].e_lfanew
  assume esi:ptr IMAGE_NT_HEADERS
  add edi,[edi].e_lfanew
  assume edi:ptr IMAGE_NT_HEADERS
  invoke _Header2

  movzx ecx,word ptr [esi+6]
  movzx eax,word ptr [edi+6]

  .if eax>ecx
      mov ecx,eax
  .endif

  ;调整esi,edi指针指向节表
  add esi,sizeof IMAGE_NT_HEADERS
  add edi,sizeof IMAGE_NT_HEADERS
  mov eax,1
  .repeat
     invoke _Header3
     dec ecx
     inc eax
     .break .if ecx==0
     add esi,sizeof IMAGE_SECTION_HEADER
     add edi,sizeof IMAGE_SECTION_HEADER
  .until FALSE

代码清单2-5 _openFile函数实现的部分代码

由于编码比较长,这里只以结构IMAGE_DOS_HEADER中的字段e_lpanew为例介绍程序设计的流程:将esi和edi分别赋值到两个PE文件的IMAGE_DOS_HEADER后,调用函数_Header1,处理数据结构DOS头的相关字段(第5~10行)。

3._Header1函数

_Header1函数完成了DOS头部分的字段比较,此部分的详细代码如代码清单2-6所示。

代码清单2-6 DOS头部分的字段比较函数_Header1(chapter2\pecomp.asm)

复制代码
;--------------------------------------------
; IMAGE_DOS_HEADER头信息
;-------------------------------------------
_Header1 proc
    pushad
    
    invoke _addLine,addr szRec1,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec2,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec3,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec4,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec5,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec6,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec7,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec8,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec9,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec10,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec11,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec12,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec13,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec14,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec15,esi,edi,8
    add esi,8
    add edi,8
    invoke _addLine,addr szRec16,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec17,esi,edi,2
    add esi,2
    add edi,2
    invoke _addLine,addr szRec18,esi,edi,20
    add esi,20
    add edi,20
    invoke _addLine,addr szRec19,esi,edi,4
    popad
    ret
_Header1 endp

DOS头结构中字段e_lpanew的处理在第59~61行。首先,将esi和edi指向该字段所在内存位置;然后,调用_addLine函数将两个PE文件对应字段的值加入到表格中。

复制代码
invoke _addLine,para1,para2,para3,para4

_addLine的参数描述如下:

para1:字段名称字符串所在地址。

para2:PE文件1该字段值所在内存地址。

para3:PE文件2该字段值所在内存地址。

para4:该字段的长度(即字节数)。

4. _addLine函数

该函数完成了在表格中增加一行的操作,具体定义如代码清单2-7所示。

代码清单2-7 在表格中增加一行的函数_addLine( chapter2\pecomp.asm)

复制代码
;--------------------------------------------
; 在表格中增加一行
; _lpSZ为第一行要显示的字段名
; _lpSP1为第一个文件该字段的位置
; _lpSP2为第二个文件该字段的位置
; _Size为该字段的字节长度
;--------------------------------------------
_addLine proc _lpSZ,_lpSP1,_lpSP2,_Size
    pushad
    
    invoke _ListViewSetItem,hProcessModuleTable,dwCount,-1,\
                   _lpSZ                ;在表格中新增加一行
    mov dwCount,eax
    
    xor ebx,ebx
    invoke _ListViewSetItem,hProcessModuleTable,dwCount,ebx,\
           _lpSZ                        ;显示字段名
    
    invoke RtlZeroMemory,addr szBuffer,50
    invoke MemCopy,_lpSP1,addr bufTemp2,_Size
    invoke _Byte2Hex,_Size
    
    ;将指定字段按照十六进制显示,格式:一个字节+一个空格
    invoke lstrcat,addr szBuffer,addr bufTemp1
    inc ebx
    invoke _ListViewSetItem,hProcessModuleTable,dwCount,ebx,\
                        addr szBuffer ;第一个文件中的值

    invoke RtlZeroMemory,addr szBuffer,50
    invoke MemCopy,_lpSP2,addr bufTemp2,_Size
    invoke _Byte2Hex,_Size
    invoke lstrcat,addr szBuffer,addr bufTemp1
    inc ebx
    invoke _ListViewSetItem,hProcessModuleTable,dwCount,ebx,\
                        addr szBuffer ;第二个文件中的值
    
    popad
    ret
_addLine   endp

显示字段值的同时,会在消息处理函数中调用字节比对函数_MemCmp以确定值是否相同,如果不相同则将表格行的背景色设置为红色以示区别。其他字段的处理方式与字段IMAGE_DOS_HEADER. e_lpanew的处理方式类似,不再一一陈述。

2.3.4 运行PEComp

编译资源文件PEComp.rc,编译链接PEComp.asm生成最终的PEComp.exe程序;将随书文件中目录chapter2下的两个测试用文件peinfoNor.bin和peinfoVir.bin重命名,其扩展名都改为exe,然后运行PEComp.exe程序。

依次选择菜单"文件"→"打开",弹出PE对比对话框窗口,在对话框中选择并打开刚才重命名的两个EXE文件,然后进行对比,运行效果如图2-5所示。

图2-5 PEComp运行效果

注意 请不要运行以上两个文件,因为peinfoVir.exe是个病毒文件。测试完以后请将扩展名改回原来的"bin"。

通过对比可以看出,在两个PE文件的文件头部结构中,字段不相同的部分来自最后一个节的描述。可以初步断定,该病毒程序是通过修改正常程序的最后一个节的相关字段的值来实现病毒代码携带的。


笔记:

peComp.rc文件:

复制代码
#include <resource.h>

#define ICO_MAIN  1000
#define DLG_MAIN  1000
#define IDC_INFO  1001
#define IDM_MAIN  2000
#define IDM_OPEN  2001
#define IDM_EXIT  2002


#define IDM_1    4000
#define IDM_2    4001
#define IDM_3    4002
#define IDM_4    4003

#define RESULT_MODULE 5000
#define ID_TEXT1  5001
#define ID_TEXT2  5002
#define IDC_MODULETABLE 5003
#define IDC_OK 5004
#define ID_STATIC 5005
#define ID_STATIC1 5006
#define IDC_BROWSE1 5007
#define IDC_BROWSE2 5008
#define IDC_THESAME 5009



ICO_MAIN  ICON  "main.ico"

DLG_MAIN DIALOG 50,50,544,399
STYLE DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
CAPTION "PEComp by Scott"
MENU IDM_MAIN
FONT 9,"宋体"
BEGIN
   CONTROL "",IDC_INFO,"RichEdit20A",196 | ES_WANTRETURN | WS_CHILD | ES_READONLY
               | WS_VISIBLE |WS_BORDER | WS_VSCROLL | WS_TABSTOP,0,0,540,396
END

RESULT_MODULE DIALOG 76,10,630,480
STYLE DS_MODALFRAME | WS_POPUP |WS_VISIBLE | WS_CAPTION |WS_SYSMENU
CAPTION "PE文件对比结果"
FONT 9,"宋体"
BEGIN
  LTEXT "您选定的第一个文件为:",ID_STATIC,10,13,200,15
  EDITTEXT ID_TEXT1,130,13,440,15
  PUSHBUTTON "浏览...",IDC_BROWSE1,570,13,50,14

  LTEXT "您选定的第二个文件为:",ID_STATIC1,10,35,200,15
  EDITTEXT ID_TEXT2,130,35,440,15
  PUSHBUTTON "浏览...",IDC_BROWSE2,570,35,50,14

  CONTROL "", IDC_MODULETABLE, "SysListView32",13 | WS_CHILD | WS_VISIBLE | WS_BORDER | WS_TABSTOP, 10,60,610,390  

  AUTOCHECKBOX "只显示不同的值" IDC_THESAME,10,460,100,14
  PUSHBUTTON "执行...(&R)",IDC_OK,570,460,50,14
END

IDM_MAIN menu discardable
BEGIN
  POPUP "文件(&F)"
  BEGIN
    menuitem "打开PE对比对话框",IDM_OPEN
    menuitem "---",IDM_1
    menuitem "---",IDM_2
    menuitem "---",IDM_3 CHECKED
    menuitem separator
    menuitem "退出(&x)",IDM_EXIT
  END
  POPUP "编辑(&E)"
  BEGIN
    menuitem separator
  END

  POPUP "格式(&O)"
  BEGIN
    menuitem separator
  END

  POPUP "查看(&V)"
  BEGIN
    menuitem "源文件",IDM_1
    menuitem "窗口透明度",IDM_2
    menuitem separator
    menuitem "大小",IDM_3
    menuitem "宽度",IDM_4
  END

  POPUP "帮助(&H)"
  BEGIN
    menuitem separator
  END

END

peComp.asm文件:

复制代码
;peComp.asm   通用程序框架
;使用 nmake 或下列命令进行编译和链接:
;ml -c -coff peComp.asm
;rc -r peComp.rc
;link -subsystem:windows peComp.obj peComp.res
.386
.model flat, stdcall 
option casemap:none 

include		c:/masm32/include/windows.inc 
include 	c:/masm32/include/user32.inc 
include 	c:/masm32/include/kernel32.inc 
include 	c:/masm32/include/comdlg32.inc 
include 	c:/masm32/include/gdi32.inc 
include 	c:/masm32/include/comctl32.inc 
include 	c:/masm32/include/comdlg32.inc 
include 	c:/masm32/include/advapi32.inc 
include 	c:/masm32/include/shell32.inc 
include 	c:/masm32/include/masm32.inc 
include 	c:/masm32/include/netapi32.inc 
include 	c:/masm32/include/winmm.inc 
include 	c:/masm32/include/ws2_32.inc 
include 	c:/masm32/include/psapi.inc 
include 	c:/masm32/include/mpr.inc 			;WNetCancelConnection2
include 	c:/masm32/include/iphlpapi.inc 		;SendARP

includelib 	c:/masm32/lib/user32.lib 
includelib 	c:/masm32/lib/kernel32.lib 
includelib 	c:/masm32/lib/comdlg32.lib 
includelib 	c:/masm32/lib/comdlg32.lib 
includelib 	c:/masm32/lib/gdi32.lib 
includelib 	c:/masm32/lib/comctl32.lib 
includelib 	c:/masm32/lib/comdlg32.lib 
includelib 	c:/masm32/lib/advapi32.lib 
includelib 	c:/masm32/lib/shell32.lib 
includelib 	c:/masm32/lib/masm32.lib 
includelib 	c:/masm32/lib/netapi32.lib 
includelib 	c:/masm32/lib/winmm.lib 
includelib 	c:/masm32/lib/ws2_32.lib 
includelib 	c:/masm32/lib/psapi.lib 
includelib 	c:/masm32/lib/mpr.lib 			
includelib 	c:/masm32/lib/iphlpapi.lib

ICO_MAIN	equ 1000 
DLG_MAIN 	equ 1000
IDC_INFO	equ 1001 
IDM_MAIN 	equ 2000
IDM_OPEN 	equ 2001 
IDM_EXIT 	equ 2002 
IDM_1		equ 4000
IDM_2 		equ 4001 
IDM_3 		equ 4002 
RESULT_MODULE   equ 5000
ID_TEXT1        equ 5001
ID_TEXT2        equ 5002
IDC_MODULETABLE equ 5003
IDC_OK          equ 5004
ID_STATIC       equ 5005
ID_STATIC1      equ 5006
IDC_BROWSE1     equ 5007
IDC_BROWSE2     equ 5008
IDC_THESAME     equ 5009


.data 
hInstance 	dword ?
hRichEdit 	dword ?
hWinMain	dword ?
hWinEdit	dword ?
dwCount 	dword ?
dwColorRed 	dword ?
hText1 		dword ?
hText2 		dword ?
hFile 		dword ?

hProcessModuleTable dword ?

szFileName 			byte MAX_PATH dup(?)
szFileNameOpen1		byte MAX_PATH dup(0)
szFileNameOpen2 	byte MAX_PATH dup(0)

szResultColName1	byte 'PE数据结构相关字段',0
szResultColName2 	byte '文件1的值(H)',0
szResultColName3 	byte '文件2的值(H)',0
szBuffer 			byte 256 dup(0), 0
bufTemp1 			byte 200 dup(0), 0
bufTemp2 			byte 200 dup(0), 0 
szFilter1 			byte 'Excutable Files',0,'*.exe;*.com',0
					byte 0

.const 
szDllEdit 	byte 'RichEd20.dll', 0
szClassEdit byte 'RichEdit20A', 0
szFont 		byte '宋体', 0
szExtPe 	byte 'PE File',0,'*.exe;*.dll;*.scr;*.fon;*.drv',0
			byte 'All Files(*.*)',0,'*.*',0,0
szErr 		byte '文件格式错误!',0
szErrFormat byte '这个文件不是PE格式的文件!',0
szSuccess 	byte '恭喜你,程序执行到这里是成功的。',0
szNotFound 	byte '无法查找',0

szRec1      byte 'IMAGE_DOS_HEADER.e_magic',0
szRec2      byte 'IMAGE_DOS_HEADER.e_cblp',0
szRec3      byte 'IMAGE_DOS_HEADER.e_cp',0
szRec4      byte 'IMAGE_DOS_HEADER.e_crlc',0
szRec5      byte 'IMAGE_DOS_HEADER.e_cparhdr',0
szRec6      byte 'IMAGE_DOS_HEADER.e_minalloc',0
szRec7      byte 'IMAGE_DOS_HEADER.e_maxalloc',0
szRec8      byte 'IMAGE_DOS_HEADER.e_ss',0
szRec9      byte 'IMAGE_DOS_HEADER.e_sp',0
szRec10     byte 'IMAGE_DOS_HEADER.e_csum',0
szRec11     byte 'IMAGE_DOS_HEADER.e_ip',0
szRec12     byte 'IMAGE_DOS_HEADER.e_cs',0
szRec13     byte 'IMAGE_DOS_HEADER.e_lfarlc',0
szRec14     byte 'IMAGE_DOS_HEADER.e_ovno',0
szRec15     byte 'IMAGE_DOS_HEADER.e_res',0
szRec16     byte 'IMAGE_DOS_HEADER.e_oemid',0
szRec17     byte 'IMAGE_DOS_HEADER.e_oeminfo',0
szRec18     byte 'IMAGE_DOS_HEADER.e_res2',0
szRec19     byte 'IMAGE_DOS_HEADER.e_lfanew',0
szRec20     byte 'IMAGE_NT_HEADERS.Signature',0
szRec21     byte 'IMAGE_FILE_HEADER.Machine',0
szRec22     byte 'IMAGE_FILE_HEADER.NumberOfSections',0
szRec23     byte 'IMAGE_FILE_HEADER.TimeDateStamp',0
szRec24     byte 'IMAGE_FILE_HEADER.PointerToSymbolTable',0
szRec25     byte 'IMAGE_FILE_HEADER.NumberOfSymbols',0
szRec26     byte 'IMAGE_FILE_HEADER.SizeOfOptionalHeader',0
szRec27     byte 'IMAGE_FILE_HEADER.Characteristics',0
szRec28     byte 'IMAGE_OPTIONAL_HEADER32.Magic',0
szRec29     byte 'IMAGE_OPTIONAL_HEADER32.MajorLinkerVersion',0
szRec30     byte 'IMAGE_OPTIONAL_HEADER32.MinorLinkerVersion',0
szRec31     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfCode',0
szRec32     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfInitializedData',0
szRec33     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfUninitializedData',0
szRec34     byte 'IMAGE_OPTIONAL_HEADER32.AddressOfEntryPoint',0
szRec35     byte 'IMAGE_OPTIONAL_HEADER32.BaseOfCode',0
szRec36     byte 'IMAGE_OPTIONAL_HEADER32.BaseOfData',0
szRec37     byte 'IMAGE_OPTIONAL_HEADER32.ImageBase',0
szRec38     byte 'IMAGE_OPTIONAL_HEADER32.SectionAlignment',0
szRec39     byte 'IMAGE_OPTIONAL_HEADER32.FileAlignment',0
szRec40     byte 'IMAGE_OPTIONAL_HEADER32.MajorOperatingSystemVersion',0
szRec41     byte 'IMAGE_OPTIONAL_HEADER32.MinorOperatingSystemVersion',0
szRec42     byte 'IMAGE_OPTIONAL_HEADER32.MajorImageVersion',0
szRec43     byte 'IMAGE_OPTIONAL_HEADER32.MinorImageVersion',0
szRec44     byte 'IMAGE_OPTIONAL_HEADER32.MajorSubsystemVersion',0
szRec45     byte 'IMAGE_OPTIONAL_HEADER32.MinorSubsystemVersion',0
szRec46     byte 'IMAGE_OPTIONAL_HEADER32.Win32VersionValue',0
szRec47     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfImage',0
szRec48     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfHeaders',0
szRec49     byte 'IMAGE_OPTIONAL_HEADER32.CheckSum',0
szRec50     byte 'IMAGE_OPTIONAL_HEADER32.Subsystem',0
szRec51     byte 'IMAGE_OPTIONAL_HEADER32.DllCharacteristics',0
szRec52     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfStackReserve',0
szRec53     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfStackCommit',0
szRec54     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfHeapReserve',0
szRec55     byte 'IMAGE_OPTIONAL_HEADER32.SizeOfHeapCommit',0
szRec56     byte 'IMAGE_OPTIONAL_HEADER32.LoaderFlags',0
szRec57     byte 'IMAGE_OPTIONAL_HEADER32.NumberOfRvaAndSizes',0

szRec58     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Export)',0
szRec59     byte 'IMAGE_DATA_DIRECTORY.isize(Export)',0
szRec60     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Import)',0
szRec61     byte 'IMAGE_DATA_DIRECTORY.isize(Import)',0
szRec62     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Resource)',0
szRec63     byte 'IMAGE_DATA_DIRECTORY.isize(Resource)',0
szRec64     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Exception)',0
szRec65     byte 'IMAGE_DATA_DIRECTORY.isize(Exception)',0
szRec66     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Security)',0
szRec67     byte 'IMAGE_DATA_DIRECTORY.isize(Security)',0
szRec68     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(BaseReloc)',0
szRec69     byte 'IMAGE_DATA_DIRECTORY.isize(BaseReloc)',0
szRec70     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Debug)',0
szRec71     byte 'IMAGE_DATA_DIRECTORY.isize(Debug)',0
szRec72     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Architecture)',0
szRec73     byte 'IMAGE_DATA_DIRECTORY.isize(Architecture)',0
szRec74     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(GlobalPTR)',0
szRec75     byte 'IMAGE_DATA_DIRECTORY.isize(GlobalPTR)',0
szRec76     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(TLS)',0
szRec77     byte 'IMAGE_DATA_DIRECTORY.isize(TLS)',0
szRec78     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Load_Config)',0
szRec79     byte 'IMAGE_DATA_DIRECTORY.isize(Load_Config)',0
szRec80     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Bound_Import)',0
szRec81     byte 'IMAGE_DATA_DIRECTORY.isize(Bound_Import)',0
szRec82     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(IAT)',0
szRec83     byte 'IMAGE_DATA_DIRECTORY.isize(IAT)',0
szRec84     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Delay_Import)',0
szRec85     byte 'IMAGE_DATA_DIRECTORY.isize(Delay_Import)',0
szRec86     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Com_Descriptor)',0
szRec87     byte 'IMAGE_DATA_DIRECTORY.isize(Com_Descriptor)',0
szRec88     byte 'IMAGE_DATA_DIRECTORY.VirtualAddress(Reserved)',0
szRec89     byte 'IMAGE_DATA_DIRECTORY.isize(Reserved)',0

szRec90     byte 'IMAGE_SECTION_HEADER%d.Name1',0
szRec91     byte 'IMAGE_SECTION_HEADER%d.VirtualSize',0
szRec92     byte 'IMAGE_SECTION_HEADER%d.VirtualAddress',0
szRec93     byte 'IMAGE_SECTION_HEADER%d.SizeOfRawData',0
szRec94     byte 'IMAGE_SECTION_HEADER%d.PointerToRawData',0
szRec95     byte 'IMAGE_SECTION_HEADER%d.PointerToRelocations',0
szRec96     byte 'IMAGE_SECTION_HEADER%d.PointerToLinenumbers',0
szRec97     byte 'IMAGE_SECTION_HEADER%d.NumberOfRelocations',0
szRec98     byte 'IMAGE_SECTION_HEADER%d.NumberOfLinenumbers',0
szRec99     byte 'IMAGE_SECTION_HEADER%d.Characteristics',0


szOut1      byte '%02x',0
szOut2      byte '%04x',0
lpszHexArr  byte '0123456789ABCDEF',0

.data?
stLVC 	LV_COLUMN<?>
stLVI 	LV_ITEM<?>

.code
;初始化窗口程序
_init proc 
	local @stCf:CHARFORMAT 
	
	invoke GetDlgItem, hWinMain, IDC_INFO 
	mov hWinEdit, eax 
	
	;为窗口设置图标
	invoke LoadIcon, hInstance, ICO_MAIN 
	invoke SendMessage, hWinMain, WM_SETICON, ICON_BIG, eax 	

	;设置编辑控件	
	invoke SendMessage, hWinEdit, EM_SETTEXTMODE, TM_PLAINTEXT, 0 		
	invoke RtlZeroMemory, addr @stCf, sizeof @stCf 					;初始化 
	mov @stCf.cbSize, sizeof @stCf 
	mov @stCf.yHeight, 9*20
	mov @stCf.dwMask, CFM_FACE or CFM_SIZE or CFM_BOLD 
	invoke lstrcpy, addr @stCf.szFaceName, addr szFont 
	invoke SendMessage, hWinEdit, EM_SETCHARFORMAT, 0, addr @stCf 
	invoke SendMessage, hWinEdit, EM_EXLIMITTEXT, 0, -1 
	ret 
_init endp 

;-------------------------------
;错误Handler
;--------------------------------
_Handler proc _lpExceptionRecord, _lpSEH, \
			_lpContext, _lpDispathcerContext 
	pushad 
	mov esi, _lpExceptionRecord 
	mov edi, _lpContext 
	assume esi:ptr EXCEPTION_RECORD, edi:ptr CONTEXT 
	mov eax, _lpSEH 
	push [eax+0ch]
	pop [edi].regEbp 
	push [eax+8]
	pop [edi].regEip 
	push eax 
	pop [edi].regEsp 
	assume esi:nothing, edi:nothing 
	popad 
	mov eax, ExceptionContinueExecution 
	ret 
_Handler endp 

;-------------------------------
; 将内存偏移量RVA转换为文件偏移
;-------------------------------
_RVAToOffset proc _lpFileHead, _dwRVA 
	local @dwReturn 
	
	pushad 
	mov esi, _lpFileHead 
	assume esi:ptr IMAGE_DOS_HEADER 
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov edi, _dwRVA 
	mov edx, esi 
	add edx, sizeof IMAGE_NT_HEADERS 
	assume edx:ptr IMAGE_SECTION_HEADER
	movzx ecx, [esi].FileHeader.NumberOfSections 
	;遍历节表
	.repeat 
		mov eax, [edx].VirtualAddress 
		add eax, [edx].SizeOfRawData		;计算该节结束RVA    相对虚拟地址
		.if (edi >= [edx].VirtualAddress) && (edi < eax)
			mov eax, [edx].VirtualAddress 
			sub edi, eax 					;计算RVA在节中的偏移
			mov eax, [edx].PointerToRawData 
			add eax, edi 					;加上节在文件中的的起始位置
			jmp @F 
		.endif 
		add edx, sizeof IMAGE_SECTION_HEADER 
	.untilcxz 
	assume edx:nothing 
	assume esi:nothing 
	mov eax, -1 
@@:
	mov @dwReturn, eax 
	popad 
	mov eax, @dwReturn 
	ret 
_RVAToOffset endp 

;------------------------
; 获取RVA所在节的名称
;------------------------
_getRVASectionName proc _lpFileHead, _dwRVA 
	local @dwReturn 
	
	pushad 
	mov esi, _lpFileHead 
	assume esi:ptr IMAGE_DOS_HEADER 
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov edi, _dwRVA 
	mov edx, esi 
	add edx, sizeof IMAGE_NT_HEADERS 
	assume edx:ptr IMAGE_SECTION_HEADER 
	movzx ecx, [esi].FileHeader.NumberOfSections 
	;遍历节表
	.repeat 
		mov eax, [edx].VirtualAddress 
		add eax,[edx].SizeOfRawData  ;计算该节结束RVA
		.if (edi>=[edx].VirtualAddress) && (edi < eax)
			mov eax, edx 
			jmp @F 
		.endif 
		add edx, sizeof IMAGE_SECTION_HEADER 
	.untilcxz 
	assume edx:nothing 
	assume esi:nothing 
	mov eax, offset szNotFound 
@@:
	mov @dwReturn, eax 
	popad 
	mov eax, @dwReturn 
	ret 
_getRVASectionName endp 

;---------------------------------
;在ListView中增加一个列
;输入:_dwColumn = 增加的列编号
;	  _dwWidth = 列的宽度
;	  _lpszHead = 列的标题字符串 
;---------------------------------
_ListViewAddColumn proc uses ebx ecx _hWinView, _dwColumn, _dwWidth, _lpszHead 
	local @stLVC:LV_COLUMN 
	
	invoke RtlZeroMemory, addr @stLVC, sizeof LV_COLUMN 
	mov @stLVC.imask, LVCF_TEXT or LVCF_WIDTH or LVCF_FMT 
	mov @stLVC.fmt, LVCFMT_LEFT 
	push _lpszHead 
	pop @stLVC.pszText 
	push _dwWidth 
	pop @stLVC.lx 
	push _dwColumn 
	pop @stLVC.iSubItem 
	invoke SendMessage, _hWinView, LVM_INSERTCOLUMN, _dwColumn, addr @stLVC 
	ret 
_ListViewAddColumn endp 

;----------------------------------------------------------------------
; 在ListView中新增一行,或修改一行中某个字段的内容
; 输入:_dwItem = 要修改的行的编号
;	   _dwSubItem = 要修改的字段的编号,-1表示插入新的行,>=1表示字段的编号
;-----------------------------------------------------------------------
_ListViewSetItem proc uses ebx ecx _hWinView, _dwItem, _dwSubItem, _lpszText 
	invoke RtlZeroMemory, addr stLVI, sizeof LV_ITEM 
	
	invoke lstrlen, _lpszText 
	mov stLVI.cchTextMax, eax 
	mov stLVI.imask, LVIF_TEXT 
	push _lpszText 
	pop stLVI.pszText 
	push _dwItem 
	pop stLVI.iItem 
	push _dwSubItem 
	pop stLVI.iSubItem 
	
	.if _dwSubItem == -1 
		mov stLVI.iSubItem, 0 
		invoke SendMessage, _hWinView, LVM_INSERTITEM, NULL, addr stLVI 
	.else 
		invoke SendMessage, _hWinView, LVM_SETITEM, NULL, addr stLVI 
	.endif 
	ret 
_ListViewSetItem endp 

;----------------------
; 清除ListView中的内容
; 删除所有的行和所有的列
;----------------------
_ListViewClear proc uses ebx ecx _hWinView 

	invoke SendMessage, _hWinView, LVM_DELETEALLITEMS, 0, 0
	.while TRUE 
		invoke SendMessage, _hWinView, LVM_DELETECOLUMN, 0, 0
		.break .if !eax 
	.endw 
	ret 
_ListViewClear endp 

;---------------------
; 返回指定行列的值
; 结果在szBuffer中
;---------------------
_GetListViewItem proc _hWinView:DWORD, _dwLine:DWORD, _dwCol:DWORD, _lpszText 
	local @stLVI:LV_ITEM 
	
	invoke RtlZeroMemory, addr @stLVI, sizeof LV_ITEM 
	invoke RtlZeroMemory, _lpszText, 512 
	
	mov @stLVI.cchTextMax, 512
	mov @stLVI.imask, LVIF_TEXT 
	push _lpszText 
	pop @stLVI.pszText 
	push _dwCol 
	pop @stLVI.iSubItem 
	
	invoke SendMessage, _hWinView, LVM_GETITEMTEXT, _dwLine, addr @stLVI 
	ret 
_GetListViewItem endp 

;---------------------
; 初始化结果表格
;---------------------
_clearResultView proc uses ebx ecx 
	
	invoke _ListViewClear, hProcessModuleTable 
	
	;添加表头
	mov ebx, 1 
	mov eax, 200 
	lea ecx, szResultColName1 
	invoke _ListViewAddColumn, hProcessModuleTable, ebx, eax, ecx 
	
	mov ebx, 2 
	mov eax, 400 
	lea ecx, szResultColName2 
	invoke _ListViewAddColumn, hProcessModuleTable, ebx, eax, ecx 
	
	mov ebx, 3 
	mov eax, 400 
	lea ecx, szResultColName3 
	invoke _ListViewAddColumn, hProcessModuleTable, ebx, eax, ecx 
	
	mov dwCount, 0 
	ret  
_clearResultView endp 
	
;------------------------------------------
; 打开输入文件
;------------------------------------------
_OpenFile1 proc 
	local @stOF:OPENFILENAME 				;openfilename
	local @stES:EDITSTREAM 					;editstream

	;如果打开之前还有文件句柄存在,则先关闭再赋值 
	.if hFile 
		invoke CloseHandle, hFile 
		mov hFile, 0 
	.endif 
	;显示"打开文件"对话框
	invoke RtlZeroMemory, addr @stOF, sizeof @stOF 
	mov @stOF.lStructSize, sizeof @stOF 
	push hWinMain
	pop @stOF.hwndOwner 
	push hInstance 
	pop @stOF.hInstance 
	mov @stOF.lpstrFilter, offset szFilter1 
	mov @stOF.lpstrFile, offset szFileNameOpen1 
	mov @stOF.nMaxFile, MAX_PATH
	mov @stOF.Flags, OFN_FILEMUSTEXIST or \
						OFN_HIDEREADONLY or OFN_PATHMUSTEXIST 
	invoke GetOpenFileName, addr @stOF 
	.if eax 
		invoke SetWindowText, hText1, addr szFileNameOpen1 
	.endif 
	ret 
_OpenFile1 endp 

;------------------------------------------
; 打开输入文件
;------------------------------------------
_OpenFile2 proc 
	local @stOF:OPENFILENAME 
	local @stES:EDITSTREAM
	
	;如果打开之前还有文件句柄存在,则先关闭再赋值 
	.if hFile 
		invoke CloseHandle, hFile 
		mov hFile, 0 
	.endif 
	;显示"打开文件"对话框
	invoke RtlZeroMemory, addr @stOF, sizeof @stOF 
	mov @stOF.lStructSize, sizeof @stOF 
	push hWinMain 
	pop @stOF.hwndOwner 
	push hInstance 
	pop @stOF.hInstance 
	mov @stOF.lpstrFilter, offset szFilter1 
	mov @stOF.lpstrFile, offset szFileNameOpen2 
	mov @stOF.nMaxFile, MAX_PATH 
	mov @stOF.Flags, OFN_FILEMUSTEXIST or \
						OFN_HIDEREADONLY or OFN_PATHMUSTEXIST
	invoke GetOpenFileName, addr @stOF 
	.if eax 
		invoke SetWindowText, hText2, addr szFileNameOpen2 
	.endif 
	ret 
_OpenFile2 endp 

;-------------------------------------------------
; 将_lpPoint位置处_dwSize个字节转换为16进制的字符串
; bufTemp1处为转换后的字符串
;-------------------------------------------------
_Byte2Hex proc _dwSize 
	local @dwSize:dword 
	
	pushad 
	mov esi, offset bufTemp2 
	mov edi, offset bufTemp1 
	mov @dwSize, 0
	.repeat 
		mov al, byte ptr [esi] 
		mov bl, al 
		xor edx, edx 
		xor eax, eax 
		mov al, bl 
		mov cx, 16 
		div cx 				;结果高位在al中,余数在dl中
		
		xor bx, bx 
		mov bl, al 
		movzx edi, bx 
		mov bl, byte ptr lpszHexArr[edi]
		mov eax, @dwSize 
		mov byte ptr bufTemp1[eax], bl 
		
		inc @dwSize 
		
		xor bx, bx 
		mov bl, dl 
		movzx edi, bx 
		
		;invoke wsprintf,addr szBuffer,addr szOut2,edx
		;invoke MessageBox,NULL,addr szBuffer,NULL,MB_OK
		mov bl, byte ptr lpszHexArr[edi]
		mov eax, @dwSize 
		mov byte ptr bufTemp1[eax], bl

		inc @dwSize 
		mov bl, 20h 
		mov eax, @dwSize 
		mov byte ptr bufTemp1[eax], bl 
		inc @dwSize 
		inc esi 
		dec _dwSize 
		.break .if _dwSize == 0 
	.until FALSE 
	
	mov bl, 0 
	mov eax, @dwSize 
	mov byte ptr bufTemp1[eax],bl 
	
	popad 
	ret 
_Byte2Hex endp 

_MemCmp proc _lp1, _lp2, _size 
	local @dwResult:dword 
	
	pushad 
	mov esi, _lp1 
	mov edi, _lp2 
	mov ecx, _size 
	.repeat 
		mov al, byte ptr [esi]
		mov bl, byte ptr [edi]
		.break .if al != bl 
		inc esi 
		inc edi 
		dec ecx 
		.break .if ecx == 0 
	.until FALSE 
	.if ecx != 0 
		mov @dwResult, 1 
	.else 
		mov @dwResult, 0 
	.endif 
	popad 
	mov eax, @dwResult 
	ret 
_MemCmp endp 

;--------------------------------------------
; 在表格中增加一行
; _lpSZ为第一行要显示的字段名
; _lpSP1为第一个文件该字段的位置
; _lpSP2为第二个文件该字段的位置
; _Size为该字段的字节长度
;--------------------------------------------	
_addLine proc _lpSZ, _lpSP1, _lpSP2, _Size 
	pushad 
	
	invoke _ListViewSetItem, hProcessModuleTable, dwCount, -1, \
				_lpSZ 				;在表格中新增加一行
	mov dwCount, eax 
	xor ebx, ebx 
	invoke _ListViewSetItem, hProcessModuleTable, dwCount, ebx, \
				_lpSZ 				;显示字段名
	invoke RtlZeroMemory, addr szBuffer, 50 
	invoke MemCopy, _lpSP1, addr bufTemp2, _Size 
	invoke _Byte2Hex, _Size 
	
	;将指定字段按照十六进制显示,格式:一个字节+一个空格
	invoke lstrcat, addr szBuffer, addr bufTemp1 
	inc ebx 
	invoke _ListViewSetItem, hProcessModuleTable, dwCount, ebx, \
				addr szBuffer 			;第一个文件中的值
	invoke RtlZeroMemory, addr szBuffer, 50 
	invoke MemCopy, _lpSP2, addr bufTemp2, _Size 
	invoke _Byte2Hex, _Size 
	invoke lstrcat, addr szBuffer, addr bufTemp1 
	inc ebx 
	invoke _ListViewSetItem, hProcessModuleTable, dwCount, ebx, \
				addr szBuffer			;第二个文件中的值
	popad 
	ret 
_addLine endp 

;-----------------------
; IMAGE_DOS_HEADER头信息
;-----------------------
_Header1 proc 
	pushad 
	
	invoke _addLine, addr szRec1, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec2, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec3, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec4, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec5, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec6, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec7, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec8, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec9, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec10, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec11, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec12, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec13, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec14, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec15, esi, edi, 8
	add esi, 8 
	add edi, 8 
	invoke _addLine, addr szRec16, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec17, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec18, esi, edi, 20 
	add esi,20
	add edi,20
	invoke _addLine,addr szRec19,esi,edi,4
	popad 
	ret 
_Header1 endp 

;-----------------------
; IMAGE_DOS_HEADER头信息
;-----------------------
_Header2 proc 
	pushad 
	
	invoke _addLine, addr szRec20, esi, edi, 4 
	add esi, 4 
	add edi, 4 
	invoke _addLine, addr szRec21, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec22, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec23, esi, edi, 4 
	add esi, 4 
	add edi, 4 
	invoke _addLine, addr szRec24, esi, edi, 4 
	add esi, 4 
	add edi, 4 
	invoke _addLine, addr szRec25, esi, edi, 4 
	add esi, 4 
	add edi, 4 
	invoke _addLine, addr szRec26, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec27, esi, edi, 2 
	add esi, 2 
	add edi, 2
	invoke _addLine, addr szRec28, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec29, esi, edi, 1 
	add esi, 1 
	add edi, 1 
	invoke _addLine, addr szRec30, esi, edi, 1 
	add esi, 1 
	add edi, 1
	invoke _addLine, addr szRec31, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec32, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec33, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec34, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec35, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec36, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec37, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec38, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec39, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec40, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec41, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec42, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec43, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec44, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec45, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec46, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec47, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec48, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec49, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec50, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec51, esi, edi, 2 
	add esi, 2 
	add edi, 2 
	invoke _addLine, addr szRec52, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec53, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec54, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec55, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec56, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec57, esi, edi, 4 
	
	;IMAGE_DATA_DIRECTORY
	
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec58, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec59, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec60, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec61, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec62, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec63, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec64, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec65, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec66, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec67, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec68, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec69, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec70, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec71, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec72, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec73, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec74, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec75, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec76, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec77, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec78, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec79, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec80, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec81, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec82, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec83, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec84, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec85, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec86, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec87, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec88, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke _addLine, addr szRec89, esi, edi, 4 
	
	
	popad 
	ret 
_Header2 endp 
	
;---------------------------------------
; 节表
; eax=节序号
;---------------------------------------	
_Header3 proc 
	local _dwValue:dword 
	pushad 
	mov _dwValue, eax 
	
	invoke wsprintf, addr szBuffer, addr szRec90, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 8 
	add esi, 8 
	add edi, 8
	invoke wsprintf, addr szBuffer, addr szRec91, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec92, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec93, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec94, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec95, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec96, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	add esi, 4 
	add edi, 4
	invoke wsprintf, addr szBuffer, addr szRec97, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 2 
	add esi, 2 
	add edi, 2
	invoke wsprintf, addr szBuffer, addr szRec98, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 2 
	add esi, 2 
	add edi, 2
	invoke wsprintf, addr szBuffer, addr szRec99, _dwValue 
	invoke _addLine, addr szBuffer, esi, edi, 4 
	
	popad 
	ret 
_Header3 endp 
	
;_goHere


;--------------------
; 打开PE文件并处理
;--------------------
_openFile proc 
	local @stOF:OPENFILENAME 
	local @hFile, @dwFileSize, @hMapFile, @lpMemory 
	local @hFile1, @dwFileSize1, @hMapFile1, @lpMemory1 
	local @bufTemp1[10]:byte 
	local @dwTemp:dword 
	
	invoke CreateFile, addr szFileNameOpen1, GENERIC_READ, \
			FILE_SHARE_READ or FILE_SHARE_WRITE, NULL, \
			OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL 
			
	.if eax != INVALID_HANDLE_VALUE 
		mov @hFile, eax 
		invoke GetFileSize, eax, NULL 
		mov @dwFileSize, eax 
		.if eax 
			invoke CreateFileMapping, @hFile, \			;内存映射文件
					NULL, PAGE_READONLY, 0, 0, NULL 
			.if eax 
				mov @hMapFile, eax 
				invoke MapViewOfFile, eax, \
						FILE_MAP_READ, 0, 0, 0
				.if eax 
					mov @lpMemory, eax 				;获得文件在内存的映象起始位置
					assume fs:nothing 
					push ebp 
					push offset _ErrFormat 
					push offset _Handler 
					push fs:[0]
					mov fs:[0], esp 
					
					;检测PE文件是否有效
					mov esi, @lpMemory 
					assume esi:ptr IMAGE_DOS_HEADER 
					.if [esi].e_magic != IMAGE_DOS_SIGNATURE 	;判断是否有MZ字样
						jmp _ErrFormat 
					.endif 
					add esi, [esi].e_lfanew 					;调整ESI指针指向PE文件头
					assume esi:ptr IMAGE_NT_HEADERS 
					.if [esi].Signature != IMAGE_NT_SIGNATURE	;判断是否有PE字样
						jmp _ErrFormat 
					.endif 
				.endif 
			.endif 
		.endif 
	.endif 
	
	invoke CreateFile, addr szFileNameOpen2, GENERIC_READ, \
			FILE_SHARE_READ or FILE_SHARE_WRITE, NULL, \
			OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL 
	
	.if eax != INVALID_HANDLE_VALUE 
		mov @hFile1, eax 
		invoke GetFileSize, eax, NULL 
		mov @dwFileSize1, eax 
		.if eax 
			invoke CreateFileMapping, @hFile1, \				;内存映射文件
					NULL, PAGE_READONLY, 0, 0, NULL 
			.if eax 
				mov @hMapFile1, eax 
				invoke MapViewOfFile, eax, \
						FILE_MAP_READ, 0, 0, 0
				.if eax 
					mov @lpMemory1, eax 						;获得文件在内存的映象起始位置
					assume fs:nothing 
					push ebp 
					push offset _ErrFormat1 
					push offset _Handler 
					push fs:[0]
					mov fs:[0], esp 
					
					;检测PE文件是否有效
					mov esi, @lpMemory1 
					assume esi:ptr IMAGE_DOS_HEADER 
					.if [esi].e_magic != IMAGE_DOS_SIGNATURE 	;判断是否有MZ字样
						jmp _ErrFormat1 
					.endif 
					add esi, [esi].e_lfanew 					;调整ESI指针指向PE文件头
					assume esi:ptr IMAGE_NT_HEADERS
					.if [esi].Signature != IMAGE_NT_SIGNATURE 	;判断是否有PE字样
						jmp _ErrFormat1 
					.endif 
				.endif 
			.endif 
		.endif 
	.endif 
	
	;到此为止,两个内存文件的指针已经获取到了。
	;@lpMemory和@lpMemory1分别指向两个文件头
	;下面是从这个文件头开始,找出各数据结构的字段值,进行比较。

	;调整ESI,EDI指向DOS头			
	mov esi, @lpMemory 
	assume esi:ptr IMAGE_DOS_HEADER 
	mov edi, @lpMemory1 
	assume edi:ptr IMAGE_DOS_HEADER 
	invoke _Header1 
	
	;调整ESI,EDI指针指向PE文件头
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	add edi, [edi].e_lfanew 
	assume edi:ptr IMAGE_NT_HEADERS 
	invoke _Header2 
	
	movzx ecx, word ptr [esi+6]
	movzx eax, word ptr [edi+6]
	
	.if eax > ecx 
		mov ecx, eax 
	.endif 
	
	;调整ESI,EDI指针指向节表
	add esi, sizeof IMAGE_NT_HEADERS 
	add edi, sizeof IMAGE_NT_HEADERS 
	mov eax, 1 
	.repeat 
		invoke _Header3 
		dec ecx 
		inc eax 
		.break .if ecx == 0 
		add esi, sizeof IMAGE_SECTION_HEADER 
		add edi, sizeof IMAGE_SECTION_HEADER 
	.until FALSE 
	
	
	jmp _ErrorExit 			;正常退出
	
_ErrFormat:
	invoke MessageBox, hWinMain, offset szErrFormat, NULL, MB_OK 

_ErrorExit:
	pop fs:[0]
	add esp, 0ch 
	invoke UnmapViewOfFile, @lpMemory 
	invoke CloseHandle, @hMapFile 
	invoke CloseHandle, @hFile 
	jmp @F 
_ErrFormat1:
	invoke MessageBox, hWinMain, offset szErrFormat, NULL, MB_OK 
_ErrorExit1:
	pop fs:[0]
	add esp, 0ch 
	invoke UnmapViewOfFile, @lpMemory1 
	invoke CloseHandle, @hMapFile1 
	invoke CloseHandle, @hFile1 
@@:
	ret 
_openFile endp 

;-----------------------
; 弹出PE对比窗口回调函数
;----------------------
_resultProcMain proc uses ebx edi esi hProcessModuleDlg:HWND, wMsg, wParam, lParam 
	mov eax, wMsg 
	
	.if eax == WM_CLOSE 
		invoke EndDialog, hProcessModuleDlg, NULL 
	.elseif eax == WM_INITDIALOG 
		invoke GetDlgItem, hProcessModuleDlg, IDC_MODULETABLE 
		mov hProcessModuleTable, eax 
		invoke GetDlgItem, hProcessModuleDlg, ID_TEXT1 
		mov hText1, eax 
		invoke GetDlgItem, hProcessModuleDlg, ID_TEXT2 
		mov hText2, eax 
		
		;定义表格外观
		invoke SendMessage, hProcessModuleTable, LVM_SETEXTENDEDLISTVIEWSTYLE, \
				0, LVS_EX_GRIDLINES or LVS_EX_FULLROWSELECT 
		invoke ShowWindow, hProcessModuleTable, SW_SHOW 
		;清空表格内容
		invoke _clearResultView 
	.elseif eax == WM_NOTIFY
		mov eax, lParam 
		mov ebx, lParam 
		;更改各控件状态
		mov eax, [eax+NMHDR.hwndFrom]
		.if eax == hProcessModuleTable 
			mov ebx, lParam 
			.if [ebx+NMHDR.code] == NM_CUSTOMDRAW 		;绘画时
				mov ebx, lParam 
				assume ebx:ptr NMLVCUSTOMDRAW 
				.if [ebx].nmcd.dwDrawStage == CDDS_PREPAINT 
					invoke SetWindowLong, hProcessModuleDlg, DWL_MSGRESULT, \
								CDRF_NOTIFYITEMDRAW 
					mov eax, TRUE 
				.elseif [ebx].nmcd.dwDrawStage == CDDS_ITEMPREPAINT 
					;当每一单元格内容预画时,判断
                    ;两列的值是否一致
					invoke _GetListViewItem, hProcessModuleTable, \
							[ebx].nmcd.dwItemSpec, 1, addr bufTemp1 
					invoke _GetListViewItem, hProcessModuleTable, \
							[ebx].nmcd.dwItemSpec, 2, addr bufTemp2 
					invoke lstrlen, addr bufTemp1 
					invoke _MemCmp, addr bufTemp1, addr bufTemp2, eax 
					;如果一致,则将文本的背景色设置为浅红色,否则黑色
					.if eax == 1
						mov [ebx].clrTextBk, 0a0a0ffh 
					.else 
						mov [ebx].clrTextBk, 0ffffffh
					.endif 
					invoke SetWindowLong, hProcessModuleDlg, DWL_MSGRESULT, \
							CDRF_DODEFAULT
					mov eax, TRUE 
				.endif 
			.elseif [ebx+NMHDR.code] == NM_CLICK 
				assume ebx:ptr NMLISTVIEW
			.endif 
		.endif 
	.elseif eax == WM_COMMAND 
		mov eax, wParam 
		.if ax == IDC_OK 				;刷新
			invoke _openFile 
		.elseif ax == IDC_BROWSE1 
			invoke _OpenFile1 			;用户选择第一个文件
		.elseif ax == IDC_BROWSE2 
			invoke _OpenFile2			;用户选择第二个文件
		.endif 
	.else 
		mov eax, FALSE 
		ret 
	.endif 
	mov eax, TRUE 
	ret 
_resultProcMain endp 

					

;-------------------------------
;窗口程序
;--------------------------------
_ProcDlgMain proc uses ebx edi esi hWnd, wMsg, wParam, lParam 
	mov eax, wMsg 
	.if eax == WM_CLOSE 
		invoke EndDialog, hWnd, NULL 
	.elseif eax == WM_INITDIALOG				;初始化 	
		push hWnd 
		pop hWinMain 
		call _init 
	.elseif eax == WM_COMMAND 					;菜单
		mov eax, wParam 
		.if eax == IDM_EXIT						;退出
			invoke EndDialog, hWnd, NULL 
		.elseif eax == IDM_OPEN 				;打开PE对比对话框 
			invoke DialogBoxParam, hInstance, RESULT_MODULE, hWnd, \
					offset _resultProcMain, 0 
			invoke InvalidateRect, hWnd, NULL, TRUE 
			invoke UpdateWindow, hWnd 
		.elseif eax == IDM_1 
		.elseif eax == IDM_2 
		.elseif eax == IDM_3 
		.endif 
	.else
		mov eax, FALSE 
		ret 
	.endif 
	mov eax, TRUE 
	ret 
_ProcDlgMain endp 

start:
	invoke InitCommonControls 
	invoke LoadLibrary, offset szDllEdit 
	mov hRichEdit, eax 
	invoke GetModuleHandle, NULL 
	mov hInstance, eax 
	invoke DialogBoxParam, hInstance, \
			DLG_MAIN, NULL, offset _ProcDlgMain, NULL 
	invoke FreeLibrary, hRichEdit 
	invoke ExitProcess, NULL 
end start 

Makefile文件:

复制代码
NAME = pecomp
OBJS = $(NAME).obj
RES  = $(NAME).res

LINK_FLAG = /subsystem:windows
ML_FLAG = /c /coff

$(NAME).exe: $(OBJS) $(RES)
	Link $(LINK_FLAG) $(OBJS) $(RES)

.asm.obj:
	ml $(ML_FLAG) $<
.rc.res:
	rc $<

clean:
	del *.obj
	del *.res

编译:

运行:

打开文件:


2.4 PEInfo的实现

PEInfo是PE文件结构查看器,它将PE中的字节码以形象的描述语言显示出来,塑造一个整体的PE形象。通过编写PEInfo,可以锻炼我们使用数据结构定位特定PE信息的能力。

2.4.1 编程思路

这个小工具开发起来也不难,只是过程复杂了一些而已,其编程思路如下:

步骤1 打开文件,判断是否为PE文件。

判断方法非常简单,首先查看IMAGE_DOS_HEADER. e_magic字段,然后查看IMAGE_NT_HEADER.Signature字段;如果符合PE文件定义,则视为合法PE文件。事实上,操作系统在装载PE文件时,对PE文件的检测远比此方法复杂得多。

步骤2 将指针定位到相关数据结构,获取字段内容并以更人性化的方式显示相关内容。

提示 由于我们还没有正式开始学习PE文件格式,而PEInfo编程中涉及PE头部的大量数据结构,所以该部分代码的阅读最好等学习完第3章以后再进行。

2.4.2 PEInfo编码

编写PEInfo不需要额外的资源文件,复制一份pe.rc到PEInfo.rc即可,源代码依然来自pe.asm。与pe.asm不同的是,我们需要在PEInfo.asm的窗口回调函数中,为菜单项"文件"|"打开"的消息响应代码加入调用_openFile函数的代码。如下所示:

复制代码
.elseif eax==IDM_OPEN    ;打开文件
  call _openFile

下面来看_openFile函数和_getMainInfo函数。

1. _openFile函数

_openFile函数完成了显示PE结构的所有功能,该部分代码如代码清单2-8所示。

代码清单2-8 _openFile函数实现(chapter2\peinfo.asm)

复制代码
   ;------------------------------
   ; 打开PE文件并处理
   ;------------------------------
   _openFile proc
     local @stOF:OPENFILENAME
     local @hFile,@dwFileSize,@hMapFile,@lpMemory

     invoke RtlZeroMemory,addr @stOF,sizeof @stOF
     mov @stOF.lStructSize,sizeof @stOF
      push hWinMain
      pop @stOF.hwndOwner
      mov @stOF.lpstrFilter,offset szExtPe
      mov @stOF.lpstrFile,offset szFileName
      mov @stOF.nMaxFile,MAX_PATH
      mov @stOF.Flags,OFN_PATHMUSTEXIST or OFN_FILEMUSTEXIST
      invoke GetOpenFileName,addr @stOF   ;让用户选择打开的文件
      .if !eax
         jmp @F
      .endif
      invoke CreateFile,addr szFileName,GENERIC_READ,\
               FILE_SHARE_READ or FILE_SHARE_WRITE,NULL,\
               OPEN_EXISTING,FILE_ATTRIBUTE_ARCHIVE,NULL
      .if eax!=INVALID_HANDLE_VALUE
         mov @hFile,eax
         invoke GetFileSize,eax,NULL
         mov @dwFileSize,eax
         .if eax
           invoke CreateFileMapping,@hFile,\   ;内存映射文件
                    NULL,PAGE_READONLY,0,0,NULL
           .if eax
              mov @hMapFile,eax
              invoke MapViewOfFile,eax,\
                       FILE_MAP_READ,0,0,0
              .if eax
                ;获得文件在内存中的映像起始位置
                mov @lpMemory,eax
                assume fs:nothing
                push ebp
                push offset _ErrFormat
                push offset _Handler
                push fs:[0]
                mov fs:[0],esp

                ;检测PE文件是否有效
                mov esi,@lpMemory
                assume esi:ptr IMAGE_DOS_HEADER

                ;判断是否有MZ字样
                .if [esi].e_magic!=IMAGE_DOS_SIGNATURE
                   jmp _ErrFormat
                .endif

                ;调整esi指针指向PE文件头
                add esi,[esi].e_lfanew
                assume esi:ptr IMAGE_NT_HEADERS
                ;判断是否有PE字样
                .if [esi].Signature!=IMAGE_NT_SIGNATURE
                   jmp _ErrFormat
                .endif

                ;到此为止,该文件的验证已经完成。是PE结构文件
                ;接下来分析文件映射到内存中的数据,并显示相关信息
                invoke _getMainInfo,@lpMemory,esi,@dwFileSize
                ;显示导入表
                invoke _getImportInfo,@lpMemory,esi,@dwFileSize
                ;显示导出表
                invoke _getExportInfo,@lpMemory,esi,@dwFileSize
                ;显示重定位信息
                invoke _getRelocInfo,@lpMemory,esi,@dwFileSize
                ;显示其他信息

                jmp _ErrorExit

    _ErrFormat:
                invoke MessageBox,hWinMain,offset szErrFormat,\
                                                                 NULL,MB_OK
    _ErrorExit:
                pop fs:[0]
                add esp,0ch
                invoke UnmapViewOfFile,@lpMemory
              .endif
              invoke CloseHandle,@hMapFile
           .endif
           invoke CloseHandle,@hFile
         .endif
      .endif
    @@:
      ret
    _openFile endp

第44~59行代码的功能是检测打开的文件是否符合PE标准。第61~69行的代码的功能是调用不同的函数显示PE的相关信息。例如,PE的主要信息的显示调用了函数_getMainInfo:

invoke _getMainInfo,@lpMemory,esi,@dwFileSize

2._getMainInfo函数

该函数接收三个参数:

❑ _lpFile (内存映射文件的起始地址)

❑ _lpPeHead (数据结构IMAGE_NT_HEADERS在内存中的起始位置)

❑ _dwSize (PE文件大小)

该函数获取PE文件的头部信息并显示, 由于实现很简单,就不再详细分析了,如代码清单2-9所示。

代码清单2-9 获取PE文件主要信息的函数_getMainInfo(chapter2\peinfo.asm)

复制代码
;----------------------------------------------
; 从内存中获取PE文件的主要信息
;----------------------------------------------
_getMainInfo   proc _lpFile,_lpPeHead,_dwSize
 local @szBuffer[1024]:byte
 local @szSecName[16]:byte

 pushad
 mov edi,_lpPeHead
  assume edi:ptr IMAGE_NT_HEADERS
  movzx ecx,[edi].FileHeader.Machine             ;运行平台
  movzx edx,[edi].FileHeader.NumberOfSections ;节的数量
  movzx ebx,[edi].FileHeader.Characteristics   ;节的属性
  invoke wsprintf,addr @szBuffer,addr szMsg,\
           addr szFileName,ecx,edx,ebx,\
           [edi].OptionalHeader.ImageBase,\      ;包含建议装入的地址
           [edi].OptionalHeader.AddressOfEntryPoint
  invoke SetWindowText,hWinEdit,addr @szBuffer;添加到编辑框中

  ;显示每个节的主要信息
  invoke _appendInfo,addr szMsgSec
  movzx ecx,[edi].FileHeader.NumberOfSections
  add edi,sizeof IMAGE_NT_HEADERS
  assume edi:ptr IMAGE_SECTION_HEADER
  .repeat
     push ecx
    ;获取节的名称,注意:长度为8的名称,并且不以0结尾
     invoke RtlZeroMemory,addr @szSecName,sizeof @szSecName
     push esi
     push edi
     mov ecx,8
     mov esi,edi
     lea edi,@szSecName
     cld
     @@:
     lodsb
    .if !al  ;如果名称为0,则显示为空格
       mov al,' '
     .endif
     stosb
     loop @B
     pop edi
     pop esi
     ;获取节的主要信息
     invoke wsprintf,addr @szBuffer,addr szFmtSec,\
              addr @szSecName,[edi].Misc.VirtualSize,\
              [edi].VirtualAddress,[edi].SizeOfRawData,\
              [edi].PointerToRawData,[edi].Characteristics
     invoke _appendInfo,addr @szBuffer
     add edi,sizeof IMAGE_SECTION_HEADER
     pop ecx
  .untilcxz

  assume edi:nothing
  popad
  ret
_getMainInfo endp

其他信息(如导入表、导出表、资源表等)的显示代码将在后续的章节中详细介绍。

2.4.3 运行PEInfo

编译链接生成PEInfo.exe,然后运行。用该程序打开第1章生成的HelloWorld.exe程序,运行效果见图2-6。

图2-6 PEInfo运行效果

至此,三个小工具的开发工作就完成了,在后续的章节中,会陆续使用这些小工具完成对PE格式的分析和学习。


笔记:

peinfo.rc文件

复制代码
#include <resource.h>

#define ICO_MAIN  1000
#define DLG_MAIN  1000
#define IDC_INFO  1001
#define IDM_MAIN  2000
#define IDM_OPEN  2001
#define IDM_EXIT  2002

#define IDM_1    4000
#define IDM_2    4001
#define IDM_3    4002
#define IDM_4    4003


ICO_MAIN  ICON  "main.ico"

DLG_MAIN DIALOG 50,50,544,399
STYLE DS_MODALFRAME | WS_POPUP | WS_VISIBLE | WS_CAPTION | WS_SYSMENU
CAPTION "PEInfo by Scott"
MENU IDM_MAIN
FONT 9,"宋体"
BEGIN
   CONTROL "",IDC_INFO,"RichEdit20A",196 | ES_WANTRETURN | WS_CHILD | ES_READONLY
               | WS_VISIBLE |WS_BORDER | WS_VSCROLL | WS_TABSTOP,0,0,540,396
END

IDM_MAIN menu discardable
BEGIN
  POPUP "文件(&F)"
  BEGIN
    menuitem "打开文件(&O)...",IDM_OPEN
    menuitem separator
    menuitem "退出(&x)",IDM_EXIT
  END
  POPUP "编辑(&E)"
  BEGIN
    menuitem separator
  END

  POPUP "格式(&O)"
  BEGIN
    menuitem separator
  END

  POPUP "查看(&V)"
  BEGIN
    menuitem "源文件",IDM_1
    menuitem "窗口透明度",IDM_2
    menuitem separator
    menuitem "大小",IDM_3
    menuitem "宽度",IDM_4
  END

  POPUP "帮助(&H)"
  BEGIN
    menuitem separator
  END

END

peinfo.asm文件

复制代码
;peinfo.asm   通用程序框架
;使用 nmake 或下列命令进行编译和链接:
;ml -c -coff peinfo.asm
;rc -r peinfo.rc
;link -subsystem:windows peinfo.obj peinfo.res
.386
.model flat, stdcall 
option casemap:none 

include		c:/masm32/include/windows.inc 
include 	c:/masm32/include/user32.inc 
includelib 	c:/masm32/lib/user32.lib 
include 	c:/masm32/include/kernel32.inc 
includelib 	c:/masm32/lib/kernel32.lib 
include 	c:/masm32/include/comdlg32.inc 
includelib 	c:/masm32/lib/comdlg32.lib 

ICO_MAIN	equ 1000 
DLG_MAIN 	equ 1000
IDC_INFO	equ 1001 
IDM_MAIN 	equ 2000
IDM_OPEN 	equ 2001 
IDM_EXIT 	equ 2002 
IDM_1		equ 4000
IDM_2 		equ 4001 
IDM_3 		equ 4002 

.data 
hInstance 	dword ?
hRichEdit 	dword ?
hWinMain	dword ?
hWinEdit	dword ?
szFileName 	byte MAX_PATH dup(?)

.const 
szDllEdit 	byte 'RichEd20.dll', 0
szClassEdit byte 'RichEdit20A', 0
szFont 		byte '宋体', 0
szExtPe 	byte 'PE File',0,'*.exe;*.dll;*.scr;*.fon;*.drv',0
			byte 'All Files(*.*)',0,'*.*',0,0
szErr 		byte '文件格式错误!',0
szErrFormat byte '这个文件不是PE格式的文件!',0
szSuccess	byte '恭喜你,程序执行到这里是成功的。',0
szNotFound	byte '无法查找',0
szMsg 		byte '文件名:%s',0dh,0ah
			byte '-----------------------------------------',0dh,0ah,0dh,0ah,0dh,0ah
			byte '运行平台:      0x%04x  (014c:Intel 386   014dh:Intel 486  014eh:Intel 586)',0dh,0ah
			byte '节的数量:      %d',0dh,0ah
			byte '文件属性:      0x%04x  (大尾-禁止多处理器-DLL-系统文件-禁止网络运行-禁止优盘运行-无调试-32位-小尾-X-X-X-无符号-无行-可执行-无重定位)',0dh,0ah
			byte '建议装入基地址:  0x%08x',0dh,0ah
			byte '文件执行入口(RVA地址):  0x%04x',0dh,0ah,0dh,0ah,0
szMsgSec 	byte '---------------------------------------------------------------------------------',0dh,0ah
			byte '节的属性参考:',0dh,0ah
			byte '  00000020h  包含代码',0dh,0ah
			byte '  00000040h  包含已经初始化的数据,如.const',0dh,0ah
			byte '  00000080h  包含未初始化数据,如 .data?',0dh,0ah
			byte '  02000000h  数据在进程开始以后被丢弃,如.reloc',0dh,0ah
			byte '  04000000h  节中数据不经过缓存',0dh,0ah
			byte '  08000000h  节中数据不会被交换到磁盘',0dh,0ah
			byte '  10000000h  数据将被不同进程共享',0dh,0ah
			byte '  20000000h  可执行',0dh,0ah
			byte '  40000000h  可读',0dh,0ah
			byte '  80000000h  可写',0dh,0ah
			byte '常见的代码节一般为:60000020h,数据节一般为:c0000040h,常量节一般为:40000040h',0dh,0ah
			byte '---------------------------------------------------------------------------------',0dh,0ah,0dh,0ah,0dh,0ah
			byte '节的名称  未对齐前真实长度  内存中的偏移(对齐后的) 文件中对齐后的长度 文件中的偏移  节的属性',0dh,0ah
			byte '---------------------------------------------------------------------------------------------',0dh,0ah,0
szFmtSec	byte '%s     %08x         %08x              %08x           %08x     %08x',0dh,0ah,0dh,0ah,0dh,0ah,0
szMsg1 		byte 0dh,0ah,0dh,0ah,0dh,0ah
			byte '---------------------------------------------------------------------------------------------',0dh,0ah
			byte '导入表所处的节:%s',0dh,0ah
			byte '---------------------------------------------------------------------------------------------',0dh,0ah,0
szMsgImport byte 0dh,0ah,0dh,0ah
			byte '导入库:%s',0dh,0ah
			byte '-----------------------------',0dh,0ah,0dh,0ah
			byte 'OriginalFirstThunk  %08x',0dh,0ah
			byte 'TimeDateStamp       %08x',0dh,0ah
			byte 'ForwarderChain      %08x',0dh,0ah
			byte 'FirstThunk          %08x',0dh,0ah
			byte '-----------------------------',0dh,0ah,0dh,0ah,0
szMsg2 		byte '%08u         %s',0dh,0ah,0
szMsg3		byte '%08u(无函数名,按序号导入)',0dh,0ah,0
szErrNoImport	byte  0dh,0ah,0dh,0ah
				byte  '未发现该文件有导入函数',0dh,0ah,0dh,0ah,0

szMsgExport byte 0dh,0ah,0dh,0ah,0dh,0ah
            byte '---------------------------------------------------------------------------------------------',0dh,0ah
            byte '导出表所处的节:%s',0dh,0ah
            byte '---------------------------------------------------------------------------------------------',0dh,0ah
            byte '原始文件名:%s',0dh,0ah
            byte 'nBase               %08x',0dh,0ah
            byte 'NumberOfFunctions   %08x',0dh,0ah
            byte 'NuberOfNames        %08x',0dh,0ah
            byte 'AddressOfFunctions  %08x',0dh,0ah
            byte 'AddressOfNames      %08x',0dh,0ah
            byte 'AddressOfNameOrd    %08x',0dh,0ah
            byte '-------------------------------------',0dh,0ah,0dh,0ah
            byte '导出序号    虚拟地址    导出函数名称',0dh,0ah
            byte '-------------------------------------',0dh,0ah,0
szMsg4      byte '%08x      %08x      %s',0dh,0ah,0
szExportByOrd 	byte  '(按照序号导出)',0
szErrNoExport 	byte 0dh,0ah,0dh,0ah
				byte  '未发现该文件有导出函数',0dh,0ah,0dh,0ah,0
szMsgReloc1 byte 0dh,0ah,'重定位表所处的节:%s',0dh,0ah,0
szMsgReloc2 byte 0dh,0ah
            byte '--------------------------------------------------------------------------------------------',0dh,0ah
            byte '重定位基地址: %08x',0dh,0ah
            byte '重定位项数量: %d',0dh,0ah
            byte '--------------------------------------------------------------------------------------------',0dh,0ah
            byte '需要重定位的地址列表(ffffffff表示对齐用,不需要重定位)',0dh,0ah
            byte '--------------------------------------------------------------------------------------------',0dh,0ah,0
szMsgReloc3 byte '%08x  ',0
szCrLf      byte 0dh,0ah,0
szMsgReloc4 byte 0dh,0ah,'未发现该文件有重定位信息.',0dh,0ah,0


.code
;初始化窗口程序
_init proc 
	local @stCf:CHARFORMAT 
	
	invoke GetDlgItem, hWinMain, IDC_INFO 
	mov hWinEdit, eax 
	
	;为窗口设置图标
	invoke LoadIcon, hInstance, ICO_MAIN 
	invoke SendMessage, hWinMain, WM_SETICON, ICON_BIG, eax 	

	;设置编辑控件	
	invoke SendMessage, hWinEdit, EM_SETTEXTMODE, TM_PLAINTEXT, 0 		
	invoke RtlZeroMemory, addr @stCf, sizeof @stCf 					;初始化 
	mov @stCf.cbSize, sizeof @stCf 
	mov @stCf.yHeight, 9*20
	mov @stCf.dwMask, CFM_FACE or CFM_SIZE or CFM_BOLD 
	invoke lstrcpy, addr @stCf.szFaceName, addr szFont 
	invoke SendMessage, hWinEdit, EM_SETCHARFORMAT, 0, addr @stCf 
	invoke SendMessage, hWinEdit, EM_EXLIMITTEXT, 0, -1 
	ret 
_init endp 

;------------------
; 错误Handler
;------------------
_Handler proc _lpExceptionRecord, _lpSEH, \
			  _lpContext, _lpDispathcerContext 
	pushad 
	mov esi, _lpExceptionRecord 
	mov edi, _lpContext 
	assume esi:ptr EXCEPTION_RECORD, edi:ptr CONTEXT 
	mov eax, _lpSEH 
	push [eax+0ch]
	pop [edi].regEbp 
	push [eax+8]
	pop [edi].regEip 
	push eax 
	pop [edi].regEsp 
	assume esi:nothing, edi:nothing 
	popad 
	mov eax, ExceptionContinueExecution 
	ret 
_Handler endp 

;---------------------------------
; 将内存偏移量RVA转换为文件偏移
; lp_FileHead为文件头的起始地址
; _dwRVA为给定的RVA地址
;---------------------------------
_RVAToOffset proc _lpFileHead, _dwRVA 
	local @dwReturn 
	
	pushad 
	mov esi, _lpFileHead 
	assume esi:ptr IMAGE_DOS_HEADER 
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov edi, _dwRVA 
	mov edx, esi 
	add edx, sizeof IMAGE_NT_HEADERS 
	assume edx:ptr IMAGE_SECTION_HEADER 
	movzx ecx, [esi].FileHeader.NumberOfSections 
	;遍历节表
	.repeat 
		mov eax, [edx].VirtualAddress 
		;计算该节结束RVA,不用Misc的主要原因是有些段的Misc值是错误的!
		add eax, [edx].SizeOfRawData 
		.if (edi >= [edx].VirtualAddress) && (edi < eax)
			mov eax, [edx].VirtualAddress 
			;计算RVA在节中的偏移
			sub edi, eax 
			mov eax, [edx].PointerToRawData 
			;加上节在文件中的的起始位置
			add eax, edi 
			jmp @F 
		.endif 
		add edx, sizeof IMAGE_SECTION_HEADER 
	.untilcxz 
	assume edx:nothing 
	assume esi:nothing 
	mov eax, -1 
@@:
	mov @dwReturn, eax 
	popad 
	mov eax, @dwReturn 
	ret 
_RVAToOffset endp 

;-------------------------------------------
; 将距离文件头的文件偏移转换为内存偏移量RVA
; lp_FileHead为文件头的起始地址
; _dwOffset为给定的文件偏移地址
;-------------------------------------------
_OffsetToRVA proc _lpFileHead, _dwOffset 
	local @dwReturn 
	
	pushad 
	mov esi, _lpFileHead 
	assume esi:ptr IMAGE_DOS_HEADER 
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov edi, _dwOffset 
	mov edx, esi 
	add edx, sizeof IMAGE_NT_HEADERS 
	assume edx:ptr IMAGE_SECTION_HEADER 
	movzx ecx, [esi].FileHeader.NumberOfSections 
	;遍历节表
	.repeat 
		mov eax, [edx].PointerToRawData 
		;计算该节结束RVA,不用Misc的主要原因是有些段的Misc值是错误的!
		add eax, [edx].SizeOfRawData 
		.if (edi >= [edx].PointerToRawData) && (edi < eax)
			mov eax, [edx].PointerToRawData 
			;计算RVA在节中的偏移
			sub edi, eax 
			mov eax, [edx].VirtualAddress 
			;加上节在文件中的的起始位置
			add eax, edi 
			jmp @F 
		.endif 
		add edx, sizeof IMAGE_SECTION_HEADER 
	.untilcxz 
	assume edx:nothing 
	assume esi:nothing 
	mov eax, -1 
@@:
	mov @dwReturn, eax 
	popad 
	mov eax, @dwReturn 
	ret 
_OffsetToRVA endp

;------------------------
; 获取RVA所在节的名称
;------------------------
_getRVASectionName proc _lpFileHead, _dwRVA 
	local @dwReturn 
	
	pushad 
	mov esi, _lpFileHead 
	assume esi:ptr IMAGE_DOS_HEADER 
	add esi, [esi].e_lfanew 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov edi, _dwRVA 
	mov edx, esi 
	add edx, sizeof IMAGE_NT_HEADERS 
	assume edx:ptr IMAGE_SECTION_HEADER
	movzx ecx, [esi].FileHeader.NumberOfSections 
	;遍历节表
	.repeat 
		mov eax, [edx].VirtualAddress 
		add eax, [edx].SizeOfRawData 		;计算该节结束RVA
		.if (edi >= [edx].VirtualAddress) && (edi < eax)
			mov eax, edx 
			jmp @F 
		.endif 
		add edx, sizeof IMAGE_SECTION_HEADER 
	.untilcxz 
	assume edx:nothing 
	assume esi:nothing 
	mov eax, offset szNotFound 
@@:
	mov @dwReturn,eax 
	popad 
	mov eax, @dwReturn 
	ret 
_getRVASectionName endp 

;-------------------------------
; 获取指定字符串的API函数的调用地址
; 入口参数:_hModule为动态链接库的基址,_lpApi为API函数名的首址
; 出口参数:eax为函数在虚拟地址空间中的真实地址
;-------------------------------
_getApi proc _hModule, _lpApi 
	local @ret 
	local @dwLen 
	
	pushad 
	mov @ret, 0 
	;计算API字符串的长度,含最后的零
	mov edi, _lpApi 
	mov ecx, -1 
	xor al, al 
	cld 
	repnz scasb
	mov ecx, edi 
	sub ecx, _lpApi 
	mov @dwLen, ecx 
	
	;从pe文件头的数据目录获取导出表地址
	mov esi, _hModule 
	add esi, [esi+3ch]
	assume esi:ptr IMAGE_NT_HEADERS 
	mov esi, [esi].OptionalHeader.DataDirectory.VirtualAddress 
	add esi, _hModule 
	assume esi:ptr IMAGE_EXPORT_DIRECTORY 
	
	;查找符合名称的导出函数名
	mov ebx, [esi].AddressOfNames 
	add ebx, _hModule 
	xor edx, edx 
	.repeat 
		push esi 
		mov edi, [ebx]
		add edi, _hModule 
		mov esi, _lpApi 
		mov ecx, @dwLen 
		repz cmpsb 
		.if ZERO?
			pop esi 
			jmp @F 
		.endif 
		pop esi 
		add ebx, 4 
		inc edx 
	.until edx >= [esi].NumberOfNames 
	jmp _ret 
@@:
	;通过API名称索引获取序号索引再获取地址索引	
	sub ebx, [esi].AddressOfNames  
	sub ebx, _hModule 
	shr ebx, 1 
	add ebx, [esi].AddressOfNameOrdinals 
	add ebx, _hModule 
	movzx eax, word ptr [ebx] 
	shl eax, 2 
	add eax, [esi].AddressOfFunctions 
	add eax, _hModule 
	
	;从地址表得到导出函数的地址
	mov eax, [eax]
	add eax, _hModule 
	mov @ret, eax 
	
_ret:
	assume esi:nothing 
	popad 
	mov eax, @ret 
	ret 
_getApi endp 


;---------------------
; 往文本框中追加文本
;---------------------
_appendInfo proc _lpsz 
	local @stCR:CHARRANGE 
	
	pushad 
	invoke GetWindowTextLength, hWinEdit 
	mov @stCR.cpMin, eax 		;将插入点移动到最后
	mov @stCR.cpMax, eax 
	invoke SendMessage, hWinEdit, EM_EXSETSEL, 0, addr @stCR 
	invoke SendMessage, hWinEdit, EM_REPLACESEL, FALSE, _lpsz 
	popad 
	ret 
_appendInfo endp 

;--------------------
; 从内存中获取PE文件的主要信息
;--------------------
_getMainInfo proc _lpFile, _lpPeHead, _dwSize 
	local @szBuffer[1024]:byte 
	local @szSecName[16]:byte 
	
	pushad 
	mov edi, _lpPeHead 
	assume edi:ptr IMAGE_NT_HEADERS 
	movzx ecx, [edi].FileHeader.Machine 				;运行平台
	movzx edx, [edi].FileHeader.NumberOfSections 		;节的数量
	movzx ebx, [edi].FileHeader.Characteristics		;节的属性
	invoke wsprintf, addr @szBuffer, addr szMsg, \
			addr szFileName, ecx, edx, ebx, \
			[edi].OptionalHeader.ImageBase, \			;含建议装入的地址
			[edi].OptionalHeader.AddressOfEntryPoint 
	invoke SetWindowText, hWinEdit, addr @szBuffer		;添加到编辑框中
	
	;显示每个节的主要信息
	invoke _appendInfo, addr szMsgSec 
	movzx ecx, [edi].FileHeader.NumberOfSections 
	add edi, sizeof IMAGE_NT_HEADERS 
	assume edi:ptr IMAGE_SECTION_HEADER 
	.repeat 
		push ecx 
		;获取节的名称,注意长度为8的名称并不以0结尾
		invoke RtlZeroMemory, addr @szSecName, sizeof @szSecName 
		push esi 
		push edi 
		mov ecx, 8 
		mov esi, edi 
		lea edi, @szSecName 
		cld 
@@:
		lodsb 			;从内存中加载一个字节到 AL 寄存器的指令,同时它会自动更新源指针(通常是 ESI 寄存器)。
		.if !al 		;如果名称为0,则显示为空格
			mov al, ' ' 
		.endif 
		stosb 
		loop @B 
		pop edi 
		pop esi 
		;获取节的主要信息
		invoke wsprintf, addr @szBuffer, addr szFmtSec,  \
				addr @szSecName, [edi].Misc.VirtualSize, \
				[edi].VirtualAddress, [edi].SizeOfRawData, \
				[edi].PointerToRawData, [edi].Characteristics 
		invoke _appendInfo, addr @szBuffer 
		add edi, sizeof IMAGE_SECTION_HEADER 
		pop ecx 
	.untilcxz 
	
	assume edi:nothing 
	popad 
	ret 
_getMainInfo endp 

;--------------------
; 获取PE文件的导入表
;--------------------
_getImportInfo proc _lpFile, _lpPeHead, _dwSize 
	local @szBuffer[1024]:byte 
	local @szSectionName[16]:byte 
	
	pushad 
	mov edi, _lpPeHead 
	assume edi:ptr IMAGE_NT_HEADERS 
	mov eax, [edi].OptionalHeader.DataDirectory[8].VirtualAddress 
	.if !eax 
		invoke _appendInfo, addr szErrNoImport 
		jmp _Ret 
	.endif 
	invoke _RVAToOffset, _lpFile, eax 
	add eax, _lpFile 
	mov edi, eax 				;计算引入表所在文件偏移位置
	assume edi:ptr IMAGE_IMPORT_DESCRIPTOR 
	invoke _getRVASectionName, _lpFile, [edi].OriginalFirstThunk 
	invoke wsprintf, addr @szBuffer, addr szMsg1, eax 	;显示节名
	invoke _appendInfo, addr @szBuffer 
	
	.while [edi].OriginalFirstThunk || [edi].TimeDateStamp || \
				[edi].ForwarderChain || [edi].Name1 || \
				[edi].FirstThunk 
		invoke _RVAToOffset, _lpFile, [edi].Name1
		add eax, _lpFile 
		invoke wsprintf, addr @szBuffer, addr szMsgImport, eax, \
				[edi].OriginalFirstThunk, [edi].TimeDateStamp, \
				[edi].ForwarderChain, [edi].FirstThunk 
		invoke _appendInfo, addr @szBuffer 
		
		;获取IMAGE_THUNK_DATA列表到EBX
		.if [edi].OriginalFirstThunk 
			mov eax, [edi].OriginalFirstThunk 
		.else 
			mov eax, [edi].FirstThunk 
		.endif 
		invoke _RVAToOffset, _lpFile, eax 
		add eax, _lpFile 
		mov ebx, eax 
		.while dword ptr [ebx]
			;按序号导入
			.if dword ptr [ebx] & IMAGE_ORDINAL_FLAG32 
				mov eax, dword ptr [ebx]
				and eax, 0ffffh
				invoke wsprintf, addr @szBuffer, addr szMsg3, eax 
			.else 		;按名称导入
				invoke _RVAToOffset, _lpFile, dword ptr [ebx]
				add eax, _lpFile 
				assume eax:ptr IMAGE_IMPORT_BY_NAME 
				movzx ecx, [eax].Hint 
				invoke wsprintf, addr @szBuffer, \
						addr szMsg2, ecx, addr [eax].Name1 
				assume eax:nothing 
			.endif 
			invoke _appendInfo, addr @szBuffer 
			add ebx, 4 
		.endw 
		add edi, sizeof IMAGE_IMPORT_DESCRIPTOR 
	.endw 
_Ret:
	assume edi:nothing 
	popad 
	ret 
_getImportInfo endp 

;--------------------
; 获取PE文件的导出表
;--------------------
_getExportInfo proc _lpFile, _lpPeHead, _dwSize 
	local @szBuffer[1024]:byte 
	local @szSectionName[16]:byte 
	local @lpAddressOfNames, @dwIndex, @lpAddressOfNameOrdinals 
	
	pushad 
	mov esi, _lpPeHead 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov eax, [esi].OptionalHeader.DataDirectory[0].VirtualAddress 
	.if !eax 
		invoke _appendInfo, addr szErrNoExport 
		jmp _Ret 
	.endif 
	invoke _RVAToOffset, _lpFile, eax 
	add eax, _lpFile 
	mov edi, eax 			;计算导出表所在文件偏移位置
	assume edi:ptr IMAGE_EXPORT_DIRECTORY 
	invoke _RVAToOffset, _lpFile, [edi].nName 
	add eax, _lpFile 
	mov ecx, eax 
	invoke _getRVASectionName, _lpFile, [edi].nName 
	invoke wsprintf, addr @szBuffer, addr szMsgExport, \
			eax, ecx, [edi].nBase, [edi].NumberOfFunctions, \
			[edi].NumberOfNames, [edi].AddressOfFunctions, \
			[edi].AddressOfNames, [edi].AddressOfNameOrdinals 
	invoke _appendInfo, addr @szBuffer 
	
	invoke _RVAToOffset, _lpFile, [edi].AddressOfNames 
	add eax, _lpFile 
	mov @lpAddressOfNames, eax 
	invoke _RVAToOffset, _lpFile, [edi].AddressOfNameOrdinals 
	add eax, _lpFile 
	mov @lpAddressOfNameOrdinals, eax 
	invoke _RVAToOffset, _lpFile, [edi].AddressOfFunctions 
	add eax, _lpFile 
	mov esi, eax 			;函数的地址表
	
	mov ecx, [edi].NumberOfFunctions 
	mov @dwIndex, 0 
@@:
	pushad 
	mov eax, @dwIndex 
	push edi 
	mov ecx, [edi].NumberOfNames 
	cld 
	mov edi, @lpAddressOfNameOrdinals 
	repnz scasw 
	.if ZERO?		;找到函数名称
		sub edi, @lpAddressOfNameOrdinals 
		sub edi, 2 
		shl edi, 1 
		add edi, @lpAddressOfNames 
		invoke _RVAToOffset, _lpFile, dword ptr[edi]
		add eax, _lpFile 
	.else 
		mov eax, offset szExportByOrd 
	.endif 
	pop edi 
	;序号在ecx中
	mov ecx, @dwIndex 
	add ecx, [edi].nBase 
	invoke wsprintf, addr @szBuffer, addr szMsg4, \
			ecx, dword ptr [esi], eax 
	invoke _appendInfo, addr @szBuffer 
	popad 
	add esi, 4 
	inc @dwIndex 
	loop @B 
_Ret:
	assume esi:nothing 
	assume edi:nothing 
	popad 
	ret 
_getExportInfo endp 


;-----------------------
; 获取PE文件的重定位信息
;-----------------------
_getRelocInfo proc _lpFile, _lpPeHead, _dwSize 
	local @szBuffer[1024]:byte 
	local @szSectionName[16]:byte 
	
	pushad 
	mov esi, _lpPeHead 
	assume esi:ptr IMAGE_NT_HEADERS 
	mov eax, [esi].OptionalHeader.DataDirectory[8*5].VirtualAddress 
	.if !eax 
		invoke _appendInfo, addr szMsgReloc4 
		jmp _ret 
	.endif 
	push eax 
	invoke _RVAToOffset, _lpFile, eax 
	add eax, _lpFile 
	mov esi, eax 
	pop eax 
	invoke _getRVASectionName, _lpFile, eax 
	invoke wsprintf, addr @szBuffer, addr szMsgReloc1, eax 
	invoke _appendInfo, addr @szBuffer 
	assume esi:ptr IMAGE_BASE_RELOCATION 
	;循环处理每个重定位块
	.while [esi].VirtualAddress 
		cld 
		lodsd 		;eax=[esi].VirtualAddress
		mov ebx, eax 
		lodsd 		;eax=[esi].SizeofBlock
		sub eax, sizeof IMAGE_BASE_RELOCATION 		;块总长度-两个dd
		shr eax, 1									;然后除以2,得到重定位项数量
													;除以2是因为重定位项是word
		push eax 
		invoke wsprintf, addr @szBuffer, addr szMsgReloc2, ebx, eax 
		invoke _appendInfo, addr @szBuffer 
		pop ecx 									;重定位项数量
		xor edi, edi 
		.repeat 
			push ecx 
			lodsw 
			mov cx, ax 
			and cx, 0f000h 		;得到高四位
			.if cx == 03000h		;重定位地址指向的双字的32位都需要休正
				and ax, 0fffh 
				movzx eax, ax 
				add eax, ebx 		;得到修正以前的偏移,
									;该偏移加上装入时的基址就是绝对地址
			.else 					;该重定位项无意义,仅用来作为对齐
				mov eax, -1 
			.endif 
			invoke wsprintf, addr @szBuffer, addr szMsgReloc3, eax 
			inc edi 
			.if edi == 8 			;每显示8个项目换行
				invoke lstrcat, addr @szBuffer, addr szCrLf 
				xor edi, edi 
			.endif 
			invoke _appendInfo, addr @szBuffer 
			pop ecx 
		.untilcxz 
		.if edi 
			invoke _appendInfo, addr szCrLf
		.endif 
	.endw
_ret:
	assume esi:nothing 
	popad 
	ret 
_getRelocInfo endp 


;--------------------
; 打开PE文件并处理
;--------------------
_openFile proc 
	local @stOF:OPENFILENAME 
	local @hFile, @dwFileSize, @hMapFile, @lpMemory 
	
	invoke RtlZeroMemory, addr @stOF, sizeof @stOF 
	mov @stOF.lStructSize, sizeof @stOF 
	push hWinMain 
	pop @stOF.hwndOwner 
	mov @stOF.lpstrFilter, offset szExtPe 
	mov @stOF.lpstrFile, offset szFileName 
	mov @stOF.nMaxFile, MAX_PATH 
	mov @stOF.Flags, OFN_PATHMUSTEXIST or OFN_FILEMUSTEXIST 
	invoke GetOpenFileName, addr @stOF 		;让用户选择打开的文件
	.if !eax 
		jmp @F 
	.endif 
	invoke CreateFile, addr szFileName, GENERIC_READ, \
			FILE_SHARE_READ or FILE_SHARE_WRITE, NULL, \
			OPEN_EXISTING, FILE_ATTRIBUTE_ARCHIVE, NULL 
	.if eax != INVALID_HANDLE_VALUE 
		mov @hFile, eax 
		invoke GetFileSize, eax, NULL 
		mov @dwFileSize, eax 
		.if eax 
			invoke CreateFileMapping, @hFile, \			;内存映射文件
					NULL, PAGE_READONLY, 0, 0, NULL 
			.if eax 
				mov @hMapFile, eax 
				invoke MapViewOfFile, eax, \
						FILE_MAP_READ, 0, 0, 0
				.if eax 
					;获得文件在内存的映象起始位置
					mov @lpMemory, eax 
					assume fs:nothing 
					push ebp 
					push offset _ErrFormat 
					push offset _Handler 
					push fs:[0]
					mov fs:[0], esp 
					
					;检测PE文件是否有效
					mov esi, @lpMemory 
					assume esi:ptr IMAGE_DOS_HEADER 
					
					;判断是否有MZ字样
					.if [esi].e_magic != IMAGE_DOS_SIGNATURE 
						jmp _ErrFormat 
					.endif 
					
					;调整ESI指针指向PE文件头
					add esi, [esi].e_lfanew 
					assume esi:ptr IMAGE_NT_HEADERS 
					;判断是否有PE字样
					.if [esi].Signature != IMAGE_NT_SIGNATURE 
						jmp _ErrFormat 
					.endif 
					;到此为止,该文件的验证已经完成。为PE结构文件
					;接下来分析分件映射到内存中的数据,并显示主要参数
					invoke _getMainInfo, @lpMemory, esi, @dwFileSize 
					;显示导入表
					invoke _getImportInfo, @lpMemory, esi, @dwFileSize 
					;显示导出表
					invoke _getExportInfo, @lpMemory, esi, @dwFileSize 
					;显示重定位信息
					invoke _getRelocInfo, @lpMemory, esi, @dwFileSize
					
					jmp _ErrorExit 
_ErrFormat:
					invoke MessageBox, hWinMain, offset szErrFormat, \
								NULL, MB_OK 

_ErrorExit:
					pop fs:[0]
					add esp, 0ch 
					invoke UnmapViewOfFile, @lpMemory 
				.endif 
				invoke CloseHandle, @hMapFile 
			.endif 
			invoke CloseHandle, @hFile 
		.endif 
	.endif 
@@:
	ret 
_openFile endp 
					
					
;-------------------------------
;窗口程序
;--------------------------------
_ProcDlgMain proc uses ebx edi esi hWnd, wMsg, wParam, lParam 
	mov eax, wMsg 
	.if eax == WM_CLOSE 
		invoke EndDialog, hWnd, NULL 
	.elseif eax == WM_INITDIALOG				;初始化 	
		push hWnd 
		pop hWinMain 
		call _init 
	.elseif eax == WM_COMMAND 					;菜单
		mov eax, wParam 
		.if eax == IDM_EXIT						;退出
			invoke EndDialog, hWnd, NULL 
		.elseif eax == IDM_OPEN 				;打开文件 
			call _openFile
		.elseif eax == IDM_1 
			invoke MessageBox, NULL, offset szErrFormat, offset szErr, MB_ICONWARNING
		.elseif eax == IDM_2 
			invoke MessageBox, NULL, offset szErrFormat, offset szErr, MB_ICONQUESTION
		.elseif eax == IDM_3 
			invoke MessageBox, NULL, offset szErrFormat, offset szErr, MB_YESNOCANCEL
		.endif 
	.else
		mov eax, FALSE 
		ret 
	.endif 
	mov eax, TRUE 
	ret 
_ProcDlgMain endp 

start:
	invoke LoadLibrary, offset szDllEdit 
	mov hRichEdit, eax 
	invoke GetModuleHandle, NULL 
	mov hInstance, eax 
	invoke DialogBoxParam, hInstance, \
			DLG_MAIN, NULL, offset _ProcDlgMain, NULL 
	invoke FreeLibrary, hRichEdit 
	invoke ExitProcess, NULL 
end start 

Makefile文件

复制代码
NAME = peinfo
OBJS = $(NAME).obj
RES  = $(NAME).res

LINK_FLAG = /subsystem:windows
ML_FLAG = /c /coff

$(NAME).exe: $(OBJS) $(RES)
	Link $(LINK_FLAG) $(OBJS) $(RES)

.asm.obj:
	ml $(ML_FLAG) $<
.rc.res:
	rc $<

clean:
	del *.obj
	del *.res

编译:

运行:


2.5 小结

本章主要学习了如何通过汇编语言来编写基于PE操作的三个小工具,在后面对PE文件的分析中会经常使用这三个小工具。后面会讲到如何利用PEInfo遍历PE文件的导入表和导出表,那时还会用到本章的源代码。大家也可以对这些小工具进行扩展或整合,编写属于自己的PE分析工具。

值得一提的是,随编译器分发的可执行程序中有一个基于命令行的PE文件结构分析工具dumpbin.exe,它是公认的最好的PE分析工具之一,如果你喜欢,也可以用它来代替我们的小程序。