我正在尝试从计算机上安装的可执行文件列表中检测控制台应用程序。
如何实施?
每个应用程序都有一个“子系统”(Windows应用程序,控制台应用程序或库;作为选项指定给链接器,我认为)。如何仅使用可执行文件检测它?
是否有其他方法可以检测应用程序特征?另外,有没有检测文件的方法是一个真正可执行的文件?
JAR可执行文件的任何问题?
答案 0 :(得分:4)
没有任何编程,您可以从
收到此信息dumpbin.exe /headers filename
某些信息为您提供了GetBinaryType和SHGetFileInfo函数。您需要的所有信息都可以在每个可执行文件的标题中找到。请参阅http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx中的Microsoft可移植可执行文件和通用目标文件格式规范。
也可以使用DbgHelp.dll中的Debug Help Library API(参见http://msdn.microsoft.com/en-us/library/ms679309(VS.85).aspx)。 IMAGE_DOS_HEADER,IMAGE_DOS_SIGNATURE和IMAGE_NT_HEADERS32结构为您提供完整的信息。
更新(添加一些代码): 或者,您只能使用WinNT.h中定义的结构。相应的代码可以像下面的
一样开始// Open source file
hSrcFile = CreateFile (pszSrcFilename, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
if (hSrcFile == INVALID_HANDLE_VALUE)
__leave;
// Map the source file in memory
hMapSrcFile = CreateFileMapping (hSrcFile, NULL, PAGE_READONLY, 0, 0, NULL); // SEC_IMAGE
if (!hMapSrcFile || hMapSrcFile == INVALID_HANDLE_VALUE)
__leave;
// Map the entire of the source file is memory
pSrcFile = (PBYTE) MapViewOfFile (hMapSrcFile, FILE_MAP_READ, 0, 0, 0);
if (!pSrcFile)
__leave;
pDosHeader = (IMAGE_DOS_HEADER *)pSrcFile;
if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) {
printf ("it is not a EXE file.\n");
return 1;
}
printf ("IMAGE_DOS_HEADER size %d (0x%X) bytes\n", sizeof(IMAGE_DOS_HEADER), sizeof(IMAGE_DOS_HEADER));
DumpDosHeader (pDosHeader);
pDosExeStart = (PBYTE)pDosHeader + pDosHeader->e_cparhdr*16;
if (g_bDump)
HexDump (1, pDosExeStart, pDosHeader->e_lfanew - pDosHeader->e_cparhdr*16, (DWORD)pDosExeStart);
if (pDosHeader->e_lfanew) {
IMAGE_NT_HEADERS32 *pNtHeader = (IMAGE_NT_HEADERS32 *)((PBYTE)pDosHeader + pDosHeader->e_lfanew);
//IMAGE_NT_HEADERS64 *pNtHeader64 = (IMAGE_NT_HEADERS64 *)((PBYTE)pDosHeader + pDosHeader->e_lfanew);
IMAGE_SECTION_HEADER *pFirstSectionHeader = (IMAGE_SECTION_HEADER *)((PBYTE)&pNtHeader->OptionalHeader +
pNtHeader->FileHeader.SizeOfOptionalHeader);
if (pNtHeader->Signature == IMAGE_NT_SIGNATURE) {
int i;
printf ("\nPE signature\n");
printf ("\nIMAGE_FILE_HEADER: size %d (0x%X) bytes, offset from the begin of the file: %d (0x%X)\n",
sizeof(IMAGE_FILE_HEADER), sizeof(IMAGE_FILE_HEADER),
((PBYTE)&pNtHeader->FileHeader - (PBYTE)pDosHeader), ((PBYTE)&pNtHeader->FileHeader - (PBYTE)pDosHeader));
DumpFileHeader (1, &pNtHeader->FileHeader);
switch (pNtHeader->OptionalHeader.Magic) {
case IMAGE_NT_OPTIONAL_HDR32_MAGIC:
printf ("\nIMAGE_OPTIONAL_HEADER32: size %d (0x%X) bytes, offset from the begin of the file: %d (0x%X)\n",
sizeof(IMAGE_OPTIONAL_HEADER32), sizeof(IMAGE_OPTIONAL_HEADER32),
((PBYTE)&pNtHeader->OptionalHeader - (PBYTE)pDosHeader), ((PBYTE)&pNtHeader->OptionalHeader - (PBYTE)pDosHeader));
DumpOptionalHeader32 (1, &pNtHeader->OptionalHeader);
break;
case IMAGE_NT_OPTIONAL_HDR64_MAGIC:
break;
case IMAGE_ROM_OPTIONAL_HDR_MAGIC:
break;
}
答案 1 :(得分:1)
Windows PE可执行文件在标头中有一个字段,用于指定子系统(控制台,GUI,Posix等)。它们还具有可用于识别可执行文件的字段。从msdn.com下载PE规范以获取详细信息。
答案 2 :(得分:1)
要确定子系统,您需要读取可执行文件并解析PE-Header。有关如何执行此操作的详细文章is found here。
JAR文件只是一个ZIP文件,其中包含一些特定的文件和文件夹结构,因此您可以像常规zip文件一样打开它,并查找始终存在的文件和文件夹。