Discussion :

[risk69]

bonjour je suis en train de creer en soft en c , je me demande si on peut extraire du handle des information comme par exemple la structure IMAGE_FILE_HEADER pour diverse utilité ,en gros d'ou extraire les info , et comment
en gros comment utiliser une structure typedef :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
typedef struct _IMAGE_NT_HEADERS {
  DWORD                   Signature;
  IMAGE_FILE_HEADER       FileHeader;
  IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

en gros comment faire pour utiliser cette structure ? comment l'initialiser merci de vos reponse

[Médinoc]

Ça dépend des infos que tu veux, et à quoi tu veux accéder.
Par exemple, je ne sais pas lire les infos de débogage, mais il est possible de lire les ressources d'un exécutable.

Dans la structure IMAGE_FILE_HEADER elle-même, les infos les plus utiles "telles quelles" seront la timestamp de l'éditeur de liens (TimeDateStamp), qui indique quand l'exécutable a été compilé (sauf quand ce n'est pas le cas) et la "machine", qui indique la bitness de l'exécutable.
Après, il faut creuser plus: SizeOfOptionalHeader et NumberOfSections indiquent la position et la taille de la table des sections, indispensable pour pouvoir lire quoi que ce soit d'intéressant (et si l'exécutable n'est pas mappé en mémoire, indispensable pour convertir une Relative Virtual Address (RVA) en offset dans le fichier).

[risk69]

je veux lister les section et savoir a quel adresse est l l'OEP donc lesinfo que je veux sont dans IMAGE_FILE_HEADER

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
IMAGE_FILE_HEADER       FileHeader;

peut on a partir d'un handle utilier la structure pour avoir : la taille de l'imagebase ,le nombre de section , etc ... et comment? un petit code en exemple m'aiderait beaucoup .
je precise que j'obtient l'handle avec openprocess , je n'est pas compris l'histoire du timestamp*
Merci de vos reponse

[Médinoc]

Un HANDLE de processus ne donne pas directement accès aux structures de données de l'exécutable. Toutefois il donne accès à EnumProcessModules(), qui lui donne plus ou moins accès (tu auras besoin de ReadProcessMemory() pour obtenir les infos).

[risk69]

comment avoir accès aux structures de données de l'exécutable en execution et comment les lister ?(avec un code pour plus de comprehension )
je pensait que avec le handle du process on pouvait le faire
merci de vos futur reponse

[Médinoc]

Pour avoir accès à tes propres données, c'est là le plus simple: Utiliser le HMODULE de l'exécutable du processus courant, qui correspond à l'adresses de base où l'exécutable est chargé (du moins le début de l'exécutable, car ce qui suit la table des sections est géré un peu différemment).
On obtient ce HMODULE avec GetModuleHandle(NULL).

[kaitlyn]

comment avoir accès aux structures de données de l'exécutable en execution et comment les lister ?(avec un code pour plus de comprehension )

Regarde les deux excellents articles de Matt Pietrek (http://www.wheaty.net/) au sujet du
format PE ainsi que le code source de PEDUMP.