2. 程式人生 > 其它 >C/C++ 讀取檔案16進位制格式

C/C++ 讀取檔案16進位制格式

阿新 發佈:2021-07-16

讀取程式碼

#include <iostream>
#include <Windows.h>
#include <iomanip>
#include <fstream>
#include<cstdlib>
#include<string>

using namespace std;

char HEX[16] = { '0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F' };
void setIndex(int num, char* hexNumber)
{
	// 清空行下標
	for (int i = 0; i < 8; i++){
		hexNumber[i] = '0';
	}

	// 設定新的行下標
	int index = 7;
	while (num != 0 && index >= 0)
	{
		hexNumber[index--] = HEX[num % 16];
		num = num / 16;
	}
}

int _tmain(int argc, _TCHAR* argv[])
{
	// 開啟檔案
	string path_r = "C:\\Windows\\SysNative\\ntoskrnl.exe";
	ifstream in = ifstream(path_r, ios::binary);
	if (!in.is_open()){cout << "Error: File Path is Wrong" << endl;}

	// 獲取檔案大小、檔名
	long long Beg = in.tellg();
	in.seekg(0, ios::end);
	long long End = in.tellg();
	long long fileSize = End - Beg;
	in.seekg(0, ios::beg);
	cout << "File Size: " << fileSize / 1024.0 << "KB" << endl;

	// 讀檔案(每次迴圈讀取 1 位元組)
	int byteBeenRead = 0;
	char hexNumber[9] = "00000000";
	unsigned char temp;
	while (in.read((char*)&temp, 1))
	{
		// 每讀 16 個位元組換行
		if (byteBeenRead % 16 == 0)
		{
			// 設定行下標
			cout << endl;
			setIndex(byteBeenRead, hexNumber);
			cout << hexNumber << ":\t";
		}
		byteBeenRead++;
		
		// 讀 1 位元組
		int hex = (unsigned)temp;
		char a = HEX[hex / 16];
		char b = HEX[hex % 16];
		cout << a << b << " ";
	}
	// 關閉檔案流
	in.close();
	cout << "Read Successfully" << endl;

	getchar();
	return 0;
}

進階篇 - 找 PE 檔案內16進位制特徵碼,計算對應的記憶體地址

比如我想要找到記憶體裡 KiProcessExpiredTimerList+0x102 的位置:

徵碼:

int codeArr_kipetl_102[] = {
		0xff,0x53,0x08,
		0x41,0x3b,0xb4,0x24,0xc4,0x01,0x00,0x00,
		0x0f,0x85,0x48,0xff,0x09,0x00,
		0x40,0x84,0xff
	};
int codeCtrl_kipetl_102[] = {
		1,1,1,
		1,1,1,1,1,1,1,1,
		1,1,1,1,1,1,
		1,1,1
};

在剛才的函式上稍作修改,找到這一串特徵碼在檔案內出現的位置:

int get_PE_feature_rof(
	string path_r,			// PE 檔案全路徑。我這裡是:"C:\\Windows\\SysNative\\ntoskrnl.exe"
	int codeArr[],			// 上面提到的第一個陣列
	int codeCtrl[],			// 上面提到的第二個陣列
	int len					// 陣列的長度
){
	// 開啟檔案
	ifstream in = ifstream(path_r, ios::binary);
	if (!in.is_open()){
		cout << "檔案開啟失敗:" << GetLastError() << endl;
		in.close();
		return 0;
	}

	// 獲取檔案大小、檔名
	long long Beg = in.tellg();
	in.seekg(0, ios::end);
	long long End = in.tellg();
	long long fileSize = End - Beg;
	in.seekg(0, ios::beg);

	// 讀檔案(每次迴圈讀取 1 位元組)
	int byteBeenRead = 0;				// 已經讀取的位元組數
	unsigned char temp;					// 存放讀取內容的緩衝區				
	int rof_feature = 0;				// 特徵 ROF
	int codeArrSub = 0;					// 要對比的 codeArr[] 下標
	BOOL isFound = FALSE;				// 是否找到特徵
	while (in.read((char*)&temp, 1) && isFound == FALSE){
		byteBeenRead++;
		// 讀 1 位元組
		int hex = (unsigned)temp;
		
		// 比較特徵
		for(int i=0;i<len;i++){
			// 需要匹配
			if(codeCtrl[codeArrSub] == 1){
				// 匹配到特徵
				if(hex == codeArr[codeArrSub]){
					codeArrSub++;
					// 匹配完成
					if(codeArrSub == len){
						rof_feature = byteBeenRead - len;
						isFound = TRUE;
						break;
					}else{break;}
				}else{codeArrSub=0;break;}
			}else{codeArrSub++;break;}
		}
	}
	//cout << "rof_feature = " << hex << rof_feature << endl;
	in.close();
	return rof_feature;
}

函式返回後成功拿到這個位置的 ROF:

然後看一下這個 ROF(0x30F42) 屬於 PE 檔案的哪一個區段。因為 .text 的 ROffset 小於 0x30F42 ,且 ROffset + RSize 大於 0x30F42 ,所以可知這段程式碼處於 .text 區段:

所以最終的偏移 = 我們程式碼的 ROF - .text區段的ROF + .text區段的VAddr = 0x30F42 - 0x600 + 0x1000 = 0x31942

用 PCHunter 看下 ntoskrnl.exe 的核心基地址(這裡不講怎麼獲取了)

試下 FFFFF8000421C000 + 0x31942 = FFFFF8000424D942

計算出的值剛好等於 WinDbg 中的值:

文章出處:https://www.cnblogs.com/lyshark
許可協議: 文章中的程式碼均為學習時整理的筆記,部落格中除去明確標註有參考文獻的文章,其他文章【均為原創】作品,轉載請務必【添加出處】,您添加出處是我創作的動力!

防惡意轉載:如果發現您在轉載時,沒有新增本人部落格連結,本人將通過爬蟲批量爬取您部落格中所有內容,打上本人原創版權水印,並進行二次發行,請相互尊重,你尊重我的勞動成果,我才會尊重你。

相關推薦

C/C++ 讀取檔案16格式

讀取程式碼 #include <iostream> #include <Windows.h> #include <iomanip> #include <fstream>

C++對資料進行16編碼&解碼(hex encode)

技術標籤:拓展c++hex編碼16編碼16 本例演示使用16對資料進行編碼

C#實現16顏色和Color之間的轉換

/// <summary> /// color 轉換hex /// </summary> /// <param name="color"></param>

c中如何將多個位元組的16數合併成一個_一次搞懂Java中的編碼問題

技術標籤:c中如何將多個位元組的16數合併成一個 編碼問題一直是一個困擾程式設計師的問題,尤其是對於java程式設計師。因為java的跨平臺特性,經常需要在多個編碼之間進行轉換。

C# 16與字串、位元組陣列之間的轉換

1.請問c#中如何將十進位制數的字串轉化成十六數的字串//十進位制轉二進位制

C# BYTE[] 與16字串互相轉換

https://www.cnblogs.com/mingjing/p/14473568.html byte[] 轉16字串 方法一、 byte[] resultArray = new byte[]{1,2,3,4,5,6,7,8,9};BitConverter.ToString(resultArray).Replace(\"-\", \"\")

C++ 串列埠通訊時字串轉16轉換

//************************************ // Method:strToHex 十六字串轉16 // FullName:CommUtil::strToHex

批量把16轉成10c++)特別長的16字串

緣由:批量把特別長的16字串,轉成10,而excel轉完會缺失很多

c語言把16文字轉16陣列

直接上程式碼 #include<stdio.h> #include<stdlib.h> #include<string.h> void str2hex(unsigned char* value,int len,unsigned char* out);

16的形式檢視java class二進位制檔案

首先建立java檔案 HelloWorld.java public class HelloWorld { public static void main(String[] args) {

C#整數文字以及不同之間的轉換

// 方式1,無法進行自動補0 string data1 = Convert.ToString(17194, 16); // 432A string data2 = Convert.ToString(0, 16); // 0

javascript將16的字串轉換為10整數hex

16的字串 轉換為整數 function hex2int(hex) { var len = hex.length,a = new Array(len),code;

js將URL網址轉為16加密與解密函式

十六進位制(Hexadecimal)是計算機中資料的一種表示方法。同日常生活中的表示法不一樣,它由0-9,A-F組成,字母不區分大小寫。與10進位制的對應關係是:0-9對應0-9;A-F對應10-15;N進位制的數可以用0~(N-1)的數表示

16字串轉BCD碼

15IMEI字串轉8BCD碼 public static string SwapStr(string str) { return (str.Substring(1, 1) + str.Substring(0, 1));

【轉】go 解析16字串中的bit, byte.

go語言 strconv.ParseInt 的例子 chuanheng·2015-01-22 13:00:01· 23975 次點選 ·預計閱讀時間不到 1 分鐘·大約2小時之前開始瀏覽

IOS:16程式碼轉UIColor物件

之前有寫過一個color物件轉16的,後來在專案中發現調整亮度,還是需要獲取當前顏色的儲存值。。

獲取圖片或者網址中的顏色RGB值或者16

1.先將圖片所需部分截圖 2.開啟畫圖工具,貼上,如下 3.在畫圖的工具欄中中的顏色選取器(一個小吸管圖示),放在需要選取的顏色上,得到顏色

java byte陣列與16間相互轉換的示例

1.準備工作 import java.util.Arrays; /** * Byte[]與hex的相互轉換 * @explain * @author Marydon * @creationTime 2018年6月11日下午2:29:11

本關需要你根據所學的組合邏輯及數位電路的知識完成一個167段數碼顯示譯碼器的設計

技術標籤:數字邏輯 本關需要你根據所學的組合邏輯及數位電路的知識完成一個16進位制7段數碼顯示譯碼器的設計,驗證滿足一個16進位制7段數碼顯示譯碼器的規則,根據邏輯真值表和邏輯表示式完成表決功能。熟悉Qua

js將2,1016和任意(2-62)互相轉換

1、獻上我常用的一個工具網站,裡面有任意轉換的工具https://www.321tool.com/convert/hexconvert.html