#include <stdio.h>
#include <windows.h>
//内存映像结构
typedef struct _MAP_FILE_STRUCT
{
    HANDLE hfile;
    HANDLE hmapping;
    LPVOID imagebase;
} MAP_FILE_STRUCT;
//判断是否是一个pe文件
BOOL ispefile(LPVOID imagebase)
{
    PIMAGE_DOS_HEADER pdh=NULL;
    PIMAGE_NT_HEADERS pnth=NULL;
    if(!imagebase) return FALSE;
    pdh=(PIMAGE_DOS_HEADER)imagebase;
    if(pdh->e_magic!=IMAGE_DOS_SIGNATURE) return FALSE;
    pnth=(PIMAGE_NT_HEADERS32)((DWORD)pdh+pdh->e_lfanew);
    if(pnth->Signature !=IMAGE_NT_SIGNATURE) return FALSE;
    return TRUE;
}
//主程序入口处//使用命令行参数获取待检测的pe文件名
int main(int argc,char *argv[])
{
    if (argc<2) return 0;
    //使用createfile、createfilemapping 、MapViewOfFile获取imagebase
    HANDLE hFile = CreateFile(argv[1],GENERIC_WRITE | GENERIC_READ,
                               FILE_SHARE_READ, NULL,OPEN_EXISTING,
                               FILE_FLAG_SEQUENTIAL_SCAN,NULL);
     if (hFile == INVALID_HANDLE_VALUE)
     {
         printf("创建文件对象失败,错误代码:%d ", GetLastError());        
         return 0;
     }
        HANDLE hFileMapping = CreateFileMapping(hFile,NULL,PAGE_READONLY,
                                            0, 0, NULL);
    if (hFileMapping == NULL)
    {       
        DWORD dw=GetLastError();
        FormatMessage(FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_FROM_SYSTEM,NULL,dw,MAKELANGID(LANG_NEUTRAL,
                      SUBLANG_DEFAULT),(LPTSTR) &lpMsgBuf,0, NULL);
        wsprintf(szBuf,("%s 出错信息 (出错码=%d): %s"),("CreateFileMapping"), dw, lpMsgBuf);
        printf("%s",szBuf);
        LocalFree(lpMsgBuf);
        return 0;    
    }
    LPVOID lpMemory = MapViewOfFile(hFileMapping,FILE_MAP_READ,0, 0, 0);
    if (lpMemory==NULL)
    {
         printf("创建文件视图对象失败,错误代码:%d ", GetLastError());
         return 0; 
    }

    if(!ispefile(lpMemory)) printf("%s不是一个有效的pe文件\n",argv[1]);
    else printf("%s是一个有效的PE文件\n",argv[1]);
   
    // 释放文件内核对象
    UnmapViewOfFile(lpMemory);
    CloseHandle(hFileMapping);
    CloseHandle(hFile);

   

    return 0;
}

[ 本帖最后由 wp231957 于 2012-11-29 18:01 编辑 ]

发现还是用c写代码好，毕竟都是ms自己的东东 ，融合度非常好
要是用delphi写，那些pe结构（PE中结构体太多了）都需要自己实现（或者叫翻译过来） 好繁琐啊

启示：要努力学好C

这个东西直接用肉眼看就得了,还用的着写工具吗?why还搞个内存映像来判断,有必要么?直接读文件不就完了么,呵呵
你这个照搬别人的代码吧,kssd上的,或者看雪第3版page 300 10.15.1文件格式检查,完全一样的代码

太对了 就是搬得 不过原代码不全 只有部分函数  主函数部分是我自己写的

大概只有printf错误代码是你自己想的吧,不要这么写
直接FormatMessage出来,你打印一个err_code不是半调子么,呵呵

老大，这些对于你来说可能过于easy
但是我调试main()这段代码  可是废了不少时间呢
一开始，那个什么函数指针老是返回0 我加了一个错误代码打印 发现是1006
后来发现有几处错误，即使是书上的 或者网上的 也不是拿过来就能用的
等调试成成功时，自己也会差不过了

和你说话真的很累的,你看错误代码,能看出点什么东西?你是不是拿了1006再去baidu?
都告诉你了用FormatMessage直接把错误信息打印出来,怎么就不懂呢,累哦

谢谢，我再看看

弄好了 谢谢游客

搬砖，不是好习惯。读文件就好了       起先开始两个字节不是 mz 就一定不是pe 文件   将文件指针往后挪动多少个字节忘掉   dos头尾巴最后4个字节 放的偏移   用这个地址去找pe头的地址判断  是否为pe
讲述完毕   编程照着上面的一翻译就完了，不费多大的事