PE文件提取，可提取wai挂辅助或者病毒里的功能dll

Gu_city

可以提取某个PE文件中作为资源存放的其他PE文件，例如提取辅助辅助或者病毒里的功能dll，具体看源码

1. class TiQu{
   
2. public:
   
3.         TiQu(char*);
   
4.         ~TiQu();
   
5.         int TQ();
   
6.         char* buffer;
   
7.         FILE* hf;
   
8.         long len;
   
9. };
   
10. 
    
11. TiQu::TiQu(char* name){
    
12.         hf=fopen(name,"rb+");
    
13.         fseek(hf,0,SEEK_END);
    
14.         len=ftell(hf);
    
15.         buffer=new char[len];
    
16.         fseek(hf,0,SEEK_SET);
    
17.         fread(buffer,len,1,hf);
    
18. }
    
19. 
    
20. TiQu::~TiQu(){
    
21.         fclose(hf);
    
22.         delete[] buffer;
    
23. }
    
24. 
    
25. int TiQu::TQ(){
    
26.         int numbers=0;//内含PE文件数量
    
27.         char* PEstruct[10]={0};//存放内含的PE文件起始指针，假设文件里含有不超过10个PE文件
    
28.         char* point=buffer;
    
29.         do{
    
30.                 char M=*point;
    
31.                 char Z=*(point+1);
    
32.                 if(M=='M' && Z=='Z'){
    
33.                         int E_lfanew=*(int*)(point+0x3c);
    
34.                         if(E_lfanew>0 && E_lfanew<0x1000){//E_lfanew偏移一般很小，注意排除负数，因为读取出来的E_lfanew可能超过有符号整数范围变成负数
    
35.                                 char P=*(point+E_lfanew);
    
36.                                 char E=*(point+E_lfanew+1);
    
37.                                 if(P=='P' && E=='E'){
    
38.                                         PEstruct[numbers]=point;
    
39.                                         numbers++;
    
40.                                 }
    
41.                         }
    
42.                 }
    
43.          point++;
    
44.         }while(point<buffer+len);
    
45.         //char text[30]={0};
    
46.         //sprintf(text,"共找到%d个PE文件\r\n",numbers);
    
47.         //MessageBox(NULL,text,"提示",MB_OK);
    
48. 
    
49.         if(numbers>1){//如果有超过1个PE文件就提取
    
50.                 for(int i=1;i<numbers;++i){//从PEstruct[1]开始提取，PEstruct[0]是原文件PE结构
    
51.                         int E_lfanew=*(int*)(PEstruct[i]+0x3c);
    
52.                         PIMAGE_FILE_HEADER pfile=reinterpret_cast<PIMAGE_FILE_HEADER>(PEstruct[i]+E_lfanew+4);
    
53.                         WORD character=pfile->Characteristics;
    
54.                         int sectionnumbers=pfile->NumberOfSections;
    
55.                         PIMAGE_SECTION_HEADER psec=reinterpret_cast<PIMAGE_SECTION_HEADER>(PEstruct[i]+E_lfanew+sizeof(IMAGE_NT_HEADERS));
    
56.                         for(int j=1;j<sectionnumbers;++j){
    
57.                                 psec++;
    
58.                         }
    
59.                         int pesize=psec->PointerToRawData+psec->SizeOfRawData;
    
60.                         char lujing[200]={0};
    
61.                         GetCurrentDirectory(200,lujing);
    
62.                         char filename[10]={0};
    
63.                         if((character&0x2000)==0x2000)
    
64.                                 sprintf(filename,"\\%d.dll",i);
    
65.                         else
    
66.                                 sprintf(filename,"\\%d.exe",i);
    
67.                         strcat(lujing,filename);
    
68.                         FILE* hfile=fopen(lujing,"wb+");
    
69.                         int error=GetLastError();
    
70.                         fwrite(PEstruct[i],pesize,1,hfile);
    
71.                         fclose(hfile);
    
72.                         std::cout<<"提取文件："<<lujing<<"成功"<<std::endl;
    
73.                 }
    
74.         }
    
75.         return numbers;
    
76. }
    
77. 
    
78. int _tmain(int argc, _TCHAR* argv[])
    
79. {
    
80.         char buffer[200]={0};
    
81.         std::cout<<"请输入要提取的目标程序"<<std::endl;
    
82.         std::cin>>buffer;
    
83.         TiQu ceshi(buffer);
    
84.         ceshi.TQ();
    
85.         system("pause");
    
86.         return 0;
    
87. }

复制代码

Jrdan

加过壳的可以吗

q1014310193

没有成品吗？大哥

lhy1075703658

没看见软件啊

听丶音乐之声

能做成成品吗