Discussion :

[The Jos]

Bonjour à tous

Y a t-il une soluce pour déterminer si une dll ou un exe est 64 ou 32 bits (signature particulière, analyse du header... ?)

Et de manière plus générale qu'est ce qui différencie au niveau de la conception un programme 64 bits ?

Merci beaucoup

[Médinoc]

La solution à laquelle je pensais ne marchant pas, je crois qu'il va falloir une analyse du header.

Pour ton autre question, ça dépend si on parle d'Itanium ("IA-64") ou de dérivé du x86 ("x86-64", "x64", "amd64"). Dans le premier cas, c'est carrément une autre façon de coder en asm (L'itanium utilise des instructions VLIW de 128 bits comprenant chacune trois instructions de 41 bits).

Dans le second, c'est juste que les pointeurs sont sur 64 bits, que les registres 64 bits sont utilisés (RAX, etc. au lieu de EAX etc.) et que la convention d'appel des fonctions change pour un truc qui ressemble au __fastcall de 32 bits mais en différent.

[Mac LAK]

Il faut regarder quelques signatures dans l'entête du fichier exécutable. Je te donne les infos issues de Portable Executable and Object File Format Specification, documentation officielle disponible chez Microsoft.

• Offset 0x00 : Lire 2 caractères, signature "MZ" (2 octets).
• Offset 0x18 : Lire 16 bits.
  • Si >= 0x40 : Exécutable étendu, continuer l'analyse.
  • Sinon, exécutable DOS.
• Offset 0x3C : Lire 16 bits, offset "Off" de la donnée par rapport au début du fichier.
• Offset "Off" : Lire 2 caractères.
  • Si "NE" : exécutable Win16.
  • Si "PE" : exécutable Win32.
• Offset "Off+4" : Lire 16 bits.
  • Si 0x14c (constante IMAGE_FILE_MACHINE_I386) : Exécutable 32 bits.
  • Sinon : probablement 64 bits (tester IMAGE_FILE_MACHINE_IA64=0x200 et IMAGE_FILE_MACHINE_AMD64=0x8664 qui sont les plus courants).
• Offset "Off+18" : Lire 16 bits, c'est un champ de bits "Characteristics".
  • Si (Characteristics & IMAGE_FILE_32BIT_MACHINE=0x100) != 0 : Machine 32 bits.
  • Sinon : Autre architecture (probablement 64 bits, vu les vérifications précédentes qui ont éliminé les machines 16 bits).

Voilà, j'espère que ça pourra t'aider.


EDIT : Tu peux aussi utiliser les fonctions de Image Help Library pour lire l'entête PE (via GetImageConfigInformation notamment), mais je n'ai pas le code correspondant sous le coude... Si tu écris le code via cette API, ce serait sympa de le poster, je pense, ça devrait intéresser pas mal de monde.

[The Jos]

Merci beaucoup pour ces réponses...

Je potasse cela...

Encore un grand merci...


A+

[The Jos]

Pour info j'ai trouvé ceci :

http://www.pazera-software.com/products/peinfo/

Logiciel freeware qui analyse les exécutables et entre autre donne l'info que je recherchais. Deuxième onglet (file header) lire le résumé en bas de page

Merci beaucoup et a+

[Neitsa]

Hello,

Deux outils très sérieux du coté de l'exploration PE:

CFF explorer: http://www.ntcore.com/exsuite.php

PE Browse pro: http://www.smidgeonsoft.prohosting.c...le-viewer.html

Coté programmation, comme le faisait remarquer Mac LAK, ImageHlp est la bonne lib. MapAndLoad est suffisant pour parser les entêtes PE.

[Mac LAK]

Tiens, en fouillant MSDN, je suis tombé sur GetBinaryType, fonction pourtant assez ancienne (Win2k).

Cela n'offre pas les mêmes services que l'analyse des entêtes PE, bien sûr, mais cela peut simplifier la vie dans les cas "basiques".

[FrutyHoops]

bonjour, je me posais en 2020 cette même question. Vos éléments de réponse m'ont fait regarder de plus près un utilitaire que j'utilise depuis de nombreuses annèes FileAlyzer vers.2 de Safer-Networking qui est très puissant, et donne dans l'onglet PE Header en seconde ligne 'Machine' le code hexa '014C' pour Intel 386, ou '8664' pour '64-bit Windows (AMD)'. Cela marche pour tout objet, exe, dll, ocx, raccourci...etc