4.3　PE查看器

写PE查看器并不是件复杂的事情，只要按照PE结构一步一步地解析就可以了。下面简单地解析其中几个字段内容，显示一下节表的信息。写的PE查看器如图4-26所示。

图4-26　PE查看器解析记事本程序

PE查看器的界面就按照如图4-26所示的那样来设置，不过这个可以按照个人的偏好进行设置。编写该PE查看器的步骤为打开文件并创建文件内存映像，判断文件是否为PE文件并获得PE格式相关结构体的指针，解析基本的PE字段，枚举节表，最后关闭文件。我们需要在类中添加几个成员变量及成员函数，添加的内容如图4-27所示。

图4-27　在类中添加的成员变量及成员函数

按照前面所说的顺序，依次实现添加的各个成员函数。

这个函数的主要功能是打开文件并创建内存文件映像。通常对文件进行连续读写时直接使用ReadFile()和WriteFile()两个函数，当不连续操作文件时，每次在ReadFile()或者WriteFile()后就要使用SetFilePointer()来调整文件指针的位置，这样的操作较为繁琐。内存文件映像的作用是把整个文件映射入进程的虚拟空间中，这样操作文件就像操作内存变量或数据一样的方便。

创建内存文件映像所使用的函数有两个，分别是CreateFileMapping()和MapViewOfFile()。下面分别介绍这两个函数，CreateFileMapping()函数的定义如下：

参数说明如下。

（1） hFile:该参数是CreateFile()函数返回的句柄。

（2） lpAttributes:是安全属性，该值通常是NULL。

（3） flProtect:创建文件映射后的属性，通常设置为可读可写PAGE_READWRITE,如果需要按照装载可执行文件那样把文件映射入内存的话，那么需要使用SEC_IMAGE;

最后3个参数在这里为0。如果创建的映射需要在多进程中共享数据的话，那么最后一个参数设定为一个字符串，以便通过该名称找到该块共享内存。

该函数的返回值为一个内存映射的句柄。

MapViewOfFile()函数的定义如下：

参数说明如下。

（1） hFileMappingObject:该参数为CreateFileMapping()返回的句柄。

（2） dwDesiredAccess:想获得的访问权限，通常情况下也是可读可写FILE_MAP_READ、 FILE_MAP_WRITE。

最后3个参数一般给0值就可以了。

按照编程的规矩，打开要关闭，申请要释放。那么对于CreateFileMapping()的关闭需要使用CloseHandle()函数，对于MapViewOfFile()来说，要使用UnmapViewOfFile,该函数的定义如下：

该函数的参数就是MapViewOfFile()函数的返回值。

接着说PE查看器，文件已经打开，那么就要判断文件是否为有效的PE文件了，如果是有效的PE文件，那么就把解析PE格式的相关结构体的指针也得到。代码如下：

这段代码应该非常容易理解，继续看解析PE格式的部分吧。

对于PE格式的基础信息来说，就是简单地获取结构体的成员变量，没有过多复杂的内容。获取导入表、导出表就要比获取基础信息要复杂了。关于导入表、导出表的内容将在后面介绍。接下来进行节表的枚举，代码如下：

最后的动作就是释放动作了，因为很简单，这里就不给出代码了。整个PE查看器就算是写完了。