添加链接 注册    登录
link之家
链接快照平台
  • 输入网页链接,自动生成快照
  • 标签化管理网页链接
相关文章推荐
满身肌肉的红烧肉  ·  Day 28:使用 Parchment ...·  1 年前    · 
老实的人字拖  ·  Nodejs http https ...·  1 年前    · 
追风的菠萝  ·  python时间处理包:datetime,t ...·  1 年前    · 
坚强的甘蔗  ·  SQL Server字符串转日期格式 - ...·  1 年前    · 
痴情的墨镜  ·  NLP必读经典论文整理分享(附详细中文解析) ...·  2 年前    · 
link之家  ›  C/C++ 读取文件16进制格式__c语言16进制输出格式
char 二进制 hex c语言
https://blog.51cto.com/lyshark/5322248
博学的圣诞树
1 年前

读取代码 

#include <iostream>
#include <Windows.h>
#include <iomanip>
#include <fstream>
#include<cstdlib>
#include<string>

using namespace std;

char HEX[16] = { '0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F' };
void setIndex(int num, char* hexNumber)
{
  // 清空行下标
  for (int i = 0; i < 8; i++){
    hexNumber[i] = '0';
  }

  // 设置新的行下标
  int index = 7;
  while (num != 0 && index >= 0)
  {
    hexNumber[index--] = HEX[num % 16];
    num = num / 16;
  }
}

int _tmain(int argc, _TCHAR* argv[])
{
  // 打开文件
  string path_r = "C:\\Windows\\SysNative\\ntoskrnl.exe";
  ifstream in = ifstream(path_r, ios::binary);
  if (!in.is_open()){cout << "Error: File Path is Wrong" << endl;}

  // 获取文件大小、文件名
  long long Beg = in.tellg();
  in.seekg(0, ios::end);
  long long End = in.tellg();
  long long fileSize = End - Beg;
  in.seekg(0, ios::beg);
  cout << "File Size: " << fileSize / 1024.0 << "KB" << endl;

  // 读文件(每次循环读取 1 字节)
  int byteBeenRead = 0;
  char hexNumber[9] = "00000000";
  unsigned char temp;
  while (in.read((char*)&temp, 1))
  {
    // 每读 16 个字节换行
    if (byteBeenRead % 16 == 0)
    {
      // 设置行下标
      cout << endl;
      setIndex(byteBeenRead, hexNumber);
      cout << hexNumber << ":\t";
    }
    byteBeenRead++;
    
    // 读 1 字节
    int hex = (unsigned)temp;
    char a = HEX[hex / 16];
    char b = HEX[hex % 16];
    cout << a << b << " ";
  }
  // 关闭文件流
  in.close();
  cout << "Read Successfully" << endl;

  getchar();
  return 0;
}

C/C++ 读取文件16进制格式_数组

进阶篇 - 找 PE 文件内16进制特征码,计算对应的内存地址

比如我想要找到内存里 KiProcessExpiredTimerList+0x102 的位置:

C/C++ 读取文件16进制格式_数组_02

征码: 

int codeArr_kipetl_102[] = {
    0xff,0x53,0x08,
    0x41,0x3b,0xb4,0x24,0xc4,0x01,0x00,0x00,
    0x0f,0x85,0x48,0xff,0x09,0x00,
    0x40,0x84,0xff
  };
int codeCtrl_kipetl_102[] = {
    1,1,1,
    1,1,1,1,1,1,1,1,
    1,1,1,1,1,1,
    1,1,1
};

在刚才的函数上稍作修改,找到这一串特征码在文件内出现的位置: 

int get_PE_feature_rof(
  string path_r,      // PE 文件全路径。我这里是:"C:\\Windows\\SysNative\\ntoskrnl.exe"
  int codeArr[],      // 上面提到的第一个数组
  int codeCtrl[],     // 上面提到的第二个数组
  int len         // 数组的长度
){
  // 打开文件
  ifstream in = ifstream(path_r, ios::binary);
  if (!in.is_open()){
    cout << "文件打开失败:" << GetLastError() << endl;
    in.close();
    return 0;
  }

  // 获取文件大小、文件名
  long long Beg = in.tellg();
  in.seekg(0, ios::end);
  long long End = in.tellg();
  long long fileSize = End - Beg;
  in.seekg(0, ios::beg);

  // 读文件(每次循环读取 1 字节)
  int byteBeenRead = 0;       // 已经读取的字节数
  unsigned char temp;         // 存放读取内容的缓冲区       
  int rof_feature = 0;        // 特征 ROF
  int codeArrSub = 0;         // 要对比的 codeArr[] 下标
  BOOL isFound = FALSE;       // 是否找到特征
  while (in.read((char*)&temp, 1) && isFound == FALSE){
    byteBeenRead++;
    // 读 1 字节
    int hex = (unsigned)temp;
    
    // 比较特征
    for(int i=0;i<len;i++){
      // 需要匹配
      if(codeCtrl[codeArrSub] == 1){
        // 匹配到特征
        if(hex == codeArr[codeArrSub]){
          codeArrSub++;
          // 匹配完成
          if(codeArrSub == len){
            rof_feature = byteBeenRead - len;
            isFound = TRUE;
            break;
          }else{break;}
        }else{codeArrSub=0;break;}
      }else{codeArrSub++;break;}
    }
  }
  //cout << "rof_feature = " << hex << rof_feature << endl;
  in.close();
  return rof_feature;
}

函数返回后成功拿到这个位置的 ROF:

C/C++ 读取文件16进制格式_ios_03

然后看一下这个 ROF(0x30F42) 属于 PE 文件的哪一个区段。因为 .text 的 ROffset 小于 0x30F42 ,且 ROffset + RSize 大于 0x30F42 ,所以可知这段代码处于 .text 区段:

C/C++ 读取文件16进制格式_数组_04

所以最终的偏移 = 我们代码的 ROF - .text区段的ROF + .text区段的VAddr = 0x30F42 - 0x600 + 0x1000 = 0x31942

用 PCHunter 看下 ntoskrnl.exe 的内核基地址(这里不讲怎么获取了)

C/C++ 读取文件16进制格式_C/C++ 基础知识_05

试下 FFFFF8000421C000 + 0x31942 = FFFFF8000424D942

计算出的值刚好等于 WinDbg 中的值:

C/C++ 读取文件16进制格式_数组_06


版权声明: 本博客文章与代码均为学习时整理的笔记,文章 [均为原创] 作品,转载请 [添加出处] ,您添加出处是我创作的动力!





hive sql所在月多少天 hive的sql

在hive的使用中写了不少常用的hql,但在这里更系统的写完sql的基本操作。1、创建表 建表语法CREATE [EXTERNAL] TABLE [IF NOT EXISTS] table_name [(col_name data_type [COMMENT col_comment], ...)] [COMMENT table_comment] [PARTITIONED

三台服务器 部署三主三从Redis集群 3台服务器集群搭建

1.硬件条件53~55 共3台服务器,操作系统均是centos 7.5, 服务器相关配置修改:echo never > /sys/kernel/mm/transparent_hugepage/enabled echo never > /sys/kernel/mm/transparent_hugepage/defrag echo 0 > /proc/sys/vm/zone_recl

 
推荐文章
满身肌肉的红烧肉  ·  Day 28:使用 Parchment 實現類似 Medium 的編輯器 - Basic Formatting & myBlot - iT 邦幫忙::一起幫忙解決難題,拯救 IT 人的一天
1 年前
老实的人字拖  ·  Nodejs http https 设置请求头 - lihao_李浩 - 简书
1 年前
追风的菠萝  ·  python时间处理包:datetime,time_lxy_Alex的博客-CSDN博客
1 年前
坚强的甘蔗  ·  SQL Server字符串转日期格式 - shudu19 - 博客园
1 年前
痴情的墨镜  ·  NLP必读经典论文整理分享(附详细中文解析)_nlp论文中文_lqfarmer的博客-CSDN博客
2 年前
今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
link之家 - 链接快照平台
© 2024 ~ 沪ICP备11025650号