PE Editor v1.2

PE Editor v1.2

Автор: Максим Киселёв a.k.a NEOx (NEOx@Pisem.net)

PE Editor - это редактор исполняемых PE (Portable Executables) файлов. Редактор обрабатывает не весь формат, а только заголовок PE файла (PE Header), и таблицу объектов (секций) файла (Object Table). Следующие версии редактора будут обрабатывать таблицы импорта/экспорта, ресурсы и др.

PE Header имеет следующую структуру,

typedef struct

{

DWORD SignatureBytes;

WORD CPUType;

WORD NumOfSections;

DWORD TimeDateStamp;

DWORD PointerToCOFF;

DWORD COFFTableSize;

WORD NTHeaderSize;

WORD Flags;

WORD Magic;

BYTE LinkMajor;

BYTE LinkMinor;

DWORD SizeOfCode;

DWORD SizeOfInitData;

DWORD SizeOfUnInitData;

DWORD EntryPointRVA;

DWORD BaseOfCode;

DWORD BaseOfData;

DWORD ImageBase;

DWORD ObjectAlign;

DWORD FileAlign;

WORD OSMajor;

WORD OSMinor;

WORD USERMajor;

WORD USERMinor;

WORD SubSysMajor;

WORD SubSysMinor;

DWORD Reserved;

DWORD ImageSize;

DWORD HeaderSize;

DWORD FileChecksum;

WORD SubSystem;

WORD DLLFlags;

DWORD StackReserveSize;

DWORD StackCommitSize;

DWORD HeapReserveSize;

DWORD HeapCommitSize;

DWORD LoaderFlags;

DWORD NumOfRVAandSizes;

DWORD ExportTableRVA;

DWORD ExportDataSize;

DWORD ImportTableRVA;

DWORD ImportDataSize;

DWORD ResourceTableRVA;

DWORD ResourceDataSize;

DWORD ExceptionTableRVA;

DWORD ExceptionDataSize;

DWORD SecurityTableRVA;

DWORD SecurityDataSize;

DWORD FixUpTableRVA;

DWORD FixUpDataSize;

DWORD DebugTableRVA;

DWORD DebugDataSize;

DWORD ImageDescriptionRVA;

DWORD DescriptionDataSize;

DWORD MachineSpecificRVA;

DWORD MachnineDataSize;

DWORD TLSRVA;

DWORD TLSDataSize;

DWORD LoadConfigRVA;

DWORD LoadConfigDataSize;

BYTE Reserved01[8];

DWORD IATRVA;

DWORD IATDataSize;

BYTE Reserved02[8];

BYTE Reserved03[8];

BYTE Reserved04[8];

} PEHeader;

Object Table имеет следующую структуру,

typedef struct

{

BYTE ObjectName[8];

DWORD VirtualSize;

DWORD SectionRVA;

DWORD PhysicalSize;

DWORD PhysicalOffset;

BYTE Reserved[10];

DWORD ObjectFlags;

} ObjectEntry;

PE Editor содержит класс CPEFile (PEFile.cpp, PEFile.h) он немного не удобен в использовании, но всё же он работает.

Метод BOOL CPEFile::Open(LPCTSTR szPEFile), открывает PE файл для чтения и записи, следовательно VOID CPEFile::Close(VOID) закрывает файл.

Метод UINT CPEFile::ReadPEHeader(VOID), читает PE Header. В методе ReadPEHeader содержится вызов ещё одного метода, LONG CPEFile::SeekToPEHeader(VOID), который устанавливает указатель в файле на PE Header и возвращает позицию PE Header-а.

Метод BOOL CPEFile::IsPEFile(VOID), проверяет на наличие PE сигнатуры в файле.

Метод LONG CPEFile::SeekToObjectEntry(VOID), устанавливает указатель в файле на первую секцию в файле.

Внимание! Используйте SeekToObjectEntry только 1 раз при чтении/записи секций.

Пример использования класса CPEFile

CPEFile m_PEFile;

m_PEFile.Open(“C:\\Test.exe”); //Открываем файл

m_PEFile.ReadPEHeader(); //Читаем PE Header, и заполняем структуру PEHeader данными

m_PEFile.Close(); //Закрываем файл

PE Editor был написан и протестирован в Microsoft Visual C++ 6.0 Service Pack 6.4. Возможно они будут работать и в предыдущих версиях MSVC++ и MFC.

Лицензия
Программа распространяется свободно, без ограничения права копирования.

Мои координаты
Если у вас есть какие-нибудь конструктивные предложения, можете писать мне по адресу: NEOx@Pisem.net.
На моей страничке http://www.KS-Soft.boom.ru вы можете найти новые версии PE Editor-а. Но она пока в разработке.