Как отличить PE-файлы в директории от остальных

@BJIag · Регистрация: 26.12.2013

Студворк — интернет-сервис помощи студентам

Есть директория, например, c:/windows/system32. В ней имеется большое количество файлов (over 2000). Как в ней найти все PE-файлы? Суть даже не в конкретике, относительно этой папки, а в общем. Как отличить PE-файл от не PE? Можно с помощью какого-либо кода, а может и через консоль это возможно. Не знаю откуда копать начинать.

PS. Под PE я подразумеваю portable executable.

@ViterAlex · 07.11.2014, 08:03

По всей видимости нужно смотреть на структуру файла. Смотрим википедию. Согласно описанию пытаемся набросать код.

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
/// <summary>
/// Преобразование байтового массива с структуру PEFile
/// </summary>
/// <param name="ar">Байтовый массив, прочитанный из файла</param>
/// <returns>Возвращает объект типа PEFile</returns>
static PEFile ToFileHeader(byte[] ar) {
    GCHandle handle = GCHandle.Alloc(ar, GCHandleType.Pinned);
    PEFile pfh = (PEFile)Marshal.PtrToStructure(handle.AddrOfPinnedObject(), typeof(PEFile));
    handle.Free();
    return pfh;
}
 
static bool IsPEFile(string path) {
    using (BinaryReader br = new BinaryReader(File.OpenRead(path), Encoding.ASCII)) {
        /// Читаем первые 64 байта. Именно там находится заголовок.
        byte[] ar = br.ReadBytes(64);
        /// Заносим эти байты в структуру
        PEFile sig = ToFileHeader(ar);
        /// Переходим по смещению для чтения первых двух символов PE-заголовка
        br.BaseStream.Seek(sig.PEHeaderAddress, SeekOrigin.Begin);
        /// Читаем два символа и переводим их в строку
        string pe = new string(br.ReadChars(2));
        /// Возвращаем результат выполнения
        return sig.DosHeader == "MZ" && pe == "PE";
    }
}
 
/// <summary>
/// Структура заголовка PE-файла. Все поля нам не нужны, только первые два байта и
/// адрес PE-заголовка по смещению 0x3C
/// </summary>
[StructLayout(LayoutKind.Explicit)]
struct PEFile {
    [MarshalAs(UnmanagedType.ByValTStr, SizeConst = 2)]
    [FieldOffset(0)]
    public string DosHeader;
    [MarshalAs(UnmanagedType.I8)]
    [FieldOffset(0x3C)]
    public long PEHeaderAddress;
}

Хотелось бы проверить его работу да не на чем

Добавлено через 17 минут
Проверил, работает. Только в структуре нужно SizeConst = 3. Почему — не пойму.

Добавлено через 20 минут
В общем, решил я отказаться от строк

C#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
class Program {
    static void Main(string[] args) {
        Console.Write(IsPEFile(@"C:\Windows\System32\autochk.exe"));
        Console.Read();
    }
    /// <summary>
    /// Преобразование байтового массива с структуру PEFile
    /// </summary>
    /// <param name="ar">Байтовый массив, прочитанный из файла</param>
    /// <returns>Возвращает объект типа PEFile</returns>
    static PEFile ToFileHeader(byte[] ar) {
        GCHandle handle = GCHandle.Alloc(ar, GCHandleType.Pinned);
        PEFile pfh = (PEFile)Marshal.PtrToStructure(handle.AddrOfPinnedObject(), typeof(PEFile));
        handle.Free();
        return pfh;
    }
 
    static bool IsPEFile(string path) {
        using (BinaryReader br = new BinaryReader(File.OpenRead(path), Encoding.ASCII)) {
            /// Читаем первые 64 байта. Именно там находится заголовок.
            byte[] ar = br.ReadBytes(64);
            /// Заносим эти байты в структуру
            PEFile sig = ToFileHeader(ar);
            /// Переходим по смещению для чтения первых двух символов PE-заголовка
            br.BaseStream.Seek(sig.PEHeaderAddress, SeekOrigin.Begin);
            /// Читаем сигнатуру
            UInt32 pe = br.ReadUInt32();
            /// Возвращаем результат выполнения
            return sig.DosHeader == 0x5a4d && pe == 0x4550;
        }
    }
 
    /// <summary>
    /// Структура заголовка PE-файла. Все поля нам не нужны, только первые два байта и
    /// адрес PE-заголовка по смещению 0x3C
    /// </summary>
    [StructLayout(LayoutKind.Explicit)]
    struct PEFile {
        [MarshalAs(UnmanagedType.U2)]
        [FieldOffset(0)]
        public ushort DosHeader;
        [MarshalAs(UnmanagedType.I8)]
        [FieldOffset(0x3C)]
        public long PEHeaderAddress;
    }
}

@BJIag · 07.11.2014, 08:06 **[ТС]**

Спасибо большое. Про структуру файла я подумал, просто надеялся на более простой способ. На счет сайзконст не понятно на самом деле, т.к. первые 2 байта это ДОС, а 3 байт это уже РЕ, т.е. при подсчете с 0 не получается.

@ViterAlex · 07.11.2014, 08:11

Сообщение от BJIag

надеялся на более простой способ

Куда уж проще?

Сообщение от BJIag

На счет сайзконст не понятно на самом деле

Бог с ним. В последнем варианте я от него отказался в пользу числовых типов

@NickoTin · 07.11.2014, 14:06

Сообщение от ViterAlex

C#
1
2
3
[MarshalAs(UnmanagedType.I8)]
[FieldOffset(0x3C)]
public long PEHeaderAddress;

Неверно. Поле e_lfanew (которое по смещению 0x3C) имеет тип LONG, который занимает 4 байта в памяти.

IMAGE_DOS_HEADER

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    USHORT e_magic;                     // Magic number
    USHORT e_cblp;                      // Bytes on last page of file
    USHORT e_cp;                        // Pages in file
    USHORT e_crlc;                      // Relocations
    USHORT e_cparhdr;                   // Size of header in paragraphs
    USHORT e_minalloc;                  // Minimum extra paragraphs needed
    USHORT e_maxalloc;                  // Maximum extra paragraphs needed
    USHORT e_ss;                        // Initial (relative) SS value
    USHORT e_sp;                        // Initial SP value
    USHORT e_csum;                      // Checksum
    USHORT e_ip;                        // Initial IP value
    USHORT e_cs;                        // Initial (relative) CS value
    USHORT e_lfarlc;                    // File address of relocation table
    USHORT e_ovno;                      // Overlay number
    USHORT e_res[4];                    // Reserved words
    USHORT e_oemid;                     // OEM identifier (for e_oeminfo)
    USHORT e_oeminfo;                   // OEM information; e_oemid specific
    USHORT e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

C#
1
2
3
4
5
6
7
    [StructLayout(LayoutKind.Explicit)]
    struct PEFile /* IMAGE_DOS_HEADER */{
        [FieldOffset(0)]
        public ushort DosHeader;
        [FieldOffset(0x3C)]
        public int PEHeaderAddress;
    }

@gazlan · 07.11.2014, 14:12

Сообщение от BJIag

PE-файл от не PE

pMMF - указатель на memory mapped file

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
bool PELib::Open(const BYTE* const pMMF)
{
   _bValid = false;
 
   if (!pMMF)
   {
      return false;
   }
 
   _pMMF = (BYTE*)pMMF;
 
   _pDosHeader = (PIMAGE_DOS_HEADER)_pMMF;
 
   if (_pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
   {
      return false;
   }
         
   _pNTHeader = MakePtr(PIMAGE_NT_HEADERS,_pDosHeader,_pDosHeader->e_lfanew);
 
   // First, verify that the e_lfanew field gave us a reasonable pointer, then verify the PE signature.
   if (IsBadReadPtr(_pNTHeader,sizeof(IMAGE_NT_HEADERS)) || _pNTHeader->Signature != IMAGE_NT_SIGNATURE)
   {
      return false;
   }
 
   // [url]http://msdn.microsoft.com/en-us/library/ms680313%28v=vs.85%29.aspx[/url]
   if ((_pNTHeader->FileHeader.Machine != IMAGE_FILE_MACHINE_I386)   &&    // 0x014C   // x86
       (_pNTHeader->FileHeader.Machine != IMAGE_FILE_MACHINE_IA64)   &&    // 0x0200   // Intel Itanium
       (_pNTHeader->FileHeader.Machine != IMAGE_FILE_MACHINE_AMD64))       // 0x8664   // x64
   {
      return false;
   }
 
   // [url]http://msdn.microsoft.com/en-us/library/ms680339%28v=vs.85%29.aspx[/url]
   if ((_pNTHeader->OptionalHeader.Magic != IMAGE_NT_OPTIONAL_HDR32_MAGIC) &&    // 0x010B   // The file is an executable image.
       (_pNTHeader->OptionalHeader.Magic != IMAGE_NT_OPTIONAL_HDR64_MAGIC) &&    // 0x020B   // The file is an executable image.
       (_pNTHeader->OptionalHeader.Magic != IMAGE_ROM_OPTIONAL_HDR_MAGIC))       // 0x0107   // The file is a ROM image.
   {
      return false;
   }
 
   _bValid = true;
 
   _bPE64 = (_pNTHeader->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC);
 
    return true;
}

@BJIag · 09.11.2014, 02:43 **[ТС]**

Спасибо, вот только я потому и создавал тему в c#, чтобы код в нем увидеть, если готового решения в windows нет)) Но спасибо, что указали, на какое именно поле смотреть. Выглядит очень годно, посмотрю, что к чему.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	Установка Emscripten SDK (emsdk) и CMake на Windows для сборки C и C++ приложений в WebAssembly (Wasm) 8Observer8 30.01.2026 Чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. Система контроля версиями Git. . .	Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .

@BJIag 0 / 0 / 0 Регистрация: 26.12.2013 Сообщений: 25

	Как отличить PE-файлы в директории от остальных 07.11.2014, 06:13. Показов 1549. Ответов 6 Метки нет (Все метки) Есть директория, например, c:/windows/system32. В ней имеется большое количество файлов (over 2000). Как в ней найти все PE-файлы? Суть даже не в конкретике, относительно этой папки, а в общем. Как отличить PE-файл от не PE? Можно с помощью какого-либо кода, а может и через консоль это возможно. Не знаю откуда копать начинать. PS. Под PE я подразумеваю portable executable. 0

@BJIag 0 / 0 / 0 Регистрация: 26.12.2013 Сообщений: 25
	07.11.2014, 08:06 [ТС]
	Спасибо большое. Про структуру файла я подумал, просто надеялся на более простой способ. На счет сайзконст не понятно на самом деле, т.к. первые 2 байта это ДОС, а 3 байт это уже РЕ, т.е. при подсчете с 0 не получается. 0

@BJIag 0 / 0 / 0 Регистрация: 26.12.2013 Сообщений: 25
	09.11.2014, 02:43 [ТС]
	Спасибо, вот только я потому и создавал тему в c#, чтобы код в нем увидеть, если готового решения в windows нет)) Но спасибо, что указали, на какое именно поле смотреть. Выглядит очень годно, посмотрю, что к чему. 0