Проверка файла на PE заголовок.

[Ibanez Wizard]

На основе прочитанных парочки уроков решил написать программу, определяющую файл на правильность PE-заголовка. Почему то, что бы я не выбрал, выдает что это не PE заголовок. В чем проблема?

Код:

.386
.model flat, stdcall
option casemap : none
include\masm32\include\kernel32.inc
include\masm32\include\user32.inc
include\masm32\include\windows.inc
include\masm32\include\comdlg32.inc
includelib\masm32\lib\comdlg32.lib
includelib\masm32\lib\user32.lib
includelib\masm32\lib\kernel32.lib

.const
MEMSIZE equ 65535
MAXSIZE equ 260

.data?
hMemory dd ?
pMemory dd ?
hFile dd ?
buffer db 256 dup(?)

.data
ofn OPENFILENAME <>
PE_da db "PE заголовок", 0
PE_net db "Не PE заголовок", 0
FilterString db "All Files",0,"*.*",0

.code
start:
mov ofn.lStructSize,SIZEOF ofn
mov  ofn.lpstrFilter, OFFSET FilterString
mov  ofn.lpstrFile, OFFSET buffer
mov  ofn.nMaxFile,MAXSIZE

mov  ofn.Flags, OFN_FILEMUSTEXIST or \
                OFN_PATHMUSTEXIST or OFN_LONGNAMES or \
                OFN_EXPLORER or OFN_HIDEREADONLY
invoke GetOpenFileName, addr ofn
.if eax==TRUE
invoke CreateFile, addr buffer, GENERIC_READ, \
                   NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, \
				   NULL
mov hFile, eax
invoke GlobalAlloc, GMEM_MOVEABLE or GMEM_ZEROINIT, MEMSIZE
mov hMemory, eax
invoke GlobalLock, hMemory
mov pMemory, eax
mov esi, pMemory
call ValidPE
.if eax==TRUE
invoke MessageBox, 0, addr PE_da, 0, MB_OK
.elseif eax==FALSE
invoke MessageBox, 0, addr PE_net, 0, MB_OK
.endif

invoke GlobalUnlock, pMemory
invoke GlobalFree, hMemory
invoke CloseHandle, hFile
.endif
invoke ExitProcess, 0

ValidPE proc
push esi
pushf
.if word ptr [esi]=="ZM"
   assume esi:ptr IMAGE_DOS_HEADER
   add esi, [esi].e_lfanew
   .if word ptr [esi]=="EP"
       popf
       pop esi
       mov eax, TRUE
       ret
   .endif
.endif
popf
pop esi
mov eax, FALSE
ret
ValidPE endp
end start

[Пепел Феникса]

эмм, а вы где с файла то читаете?

[Ibanez Wizard]

эмм...чтения у меня нету
Всегда на таких тупостях подкалываюсь). Я в общем исправил - добавил чтение, но проблема в том, что теперь вместо мессэдж бокса, программа выдает ошибку (инструкция с такого то адреса перешла в другой адрес...т.д. и т.п.)
Вот прога с исправлениями:

Код:

.386
.model flat, stdcall
option casemap : none
include\masm32\include\kernel32.inc
include\masm32\include\user32.inc
include\masm32\include\windows.inc
include\masm32\include\comdlg32.inc
includelib\masm32\lib\comdlg32.lib
includelib\masm32\lib\user32.lib
includelib\masm32\lib\kernel32.lib

.const
MEMSIZE equ 65535
MAXSIZE equ 260

.data?
hMemory dd ?
pMemory dd ?
hFile dd ?
buffer db 256 dup(?)

.data
ofn OPENFILENAME <>
PE_da db "PE заголовок", 0
PE_net db "Не PE заголовок", 0
FilterString db "All Files",0,"*.*",0

.code
start:
mov ofn.lStructSize,SIZEOF ofn
mov  ofn.lpstrFilter, OFFSET FilterString
mov  ofn.lpstrFile, OFFSET buffer
mov  ofn.nMaxFile,MAXSIZE

mov  ofn.Flags, OFN_FILEMUSTEXIST or \
                OFN_PATHMUSTEXIST or OFN_LONGNAMES or \
                OFN_EXPLORER or OFN_HIDEREADONLY
invoke GetOpenFileName, addr ofn
.if eax==TRUE
invoke CreateFile, addr buffer, GENERIC_READ, \
                   NULL, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, \
				   NULL
mov hFile, eax
invoke GlobalAlloc, GMEM_MOVEABLE or GMEM_ZEROINIT, MEMSIZE
mov hMemory, eax
invoke GlobalLock, hMemory
mov pMemory, eax
invoke ReadFile,hFile,pMemory, sizeof pMemory-1, NULL ,NULL
mov esi, pMemory
call ValidPE
.if eax==TRUE
invoke MessageBox, 0, addr PE_da, 0, MB_OK
.elseif eax==FALSE
invoke MessageBox, 0, addr PE_net, 0, MB_OK
.endif

invoke GlobalUnlock, pMemory
invoke GlobalFree, hMemory
invoke CloseHandle, hFile
.endif
invoke ExitProcess, 0

ValidPE proc
push esi
pushf
.if word ptr [esi]=="ZM"
   assume esi:ptr IMAGE_DOS_HEADER
   add esi, [esi].e_lfanew
   .if word ptr [esi]=="EP"
       popf
       pop esi
       mov eax, TRUE
       ret
   .endif
.endif
popf
pop esi
mov eax, FALSE
ret
ValidPE endp
end start

[yuran666666]

Посмотрите уроки Айцзелиона-он такой пример на пальцах разобрал заодно с СЕХ даже уже лет чуть ли не 15 назад.

invoke ReadFile,hFile,pMemory, sizeof pMemory-1, NULL ,NULL
здесь: sizeof pMemory-1 укажет читать из файла 3 байта; 4й параметр не должен быть равным нулю - в него возвращается количество загруженных байт, ежели не хотите выделять отдельную переменную, то поставьте хотя бы esp
вообщем сделайте хотя бы так
invoke ReadFile,hFile,pMemory, 100h, esp ,NULL
но это шибко грубо и чревато ошибками, так что все же рекомендую ознакомится с туториалом приведенным в пример выше

[Ibanez Wizard]

Спасибо).
А кстати - зачем нужен SEH?

[rpy3uH]

SEH - это механизм обработки исключений возникающих в программе

[yuran666666]

Вот вам пример все оттуда же:
мы даем на съедение данной программе не ПЕ-файл, а какой либо другой, пусть хоть даже текстовый документ, программа же сделает что(возьмем наш вариант программы):
1. Загрузит первые его 0х100 байт в память
2. Прибавит к адресу в памяти по которому загружены эти 100 байт смещение на ПЕ-заголовок, расположенное по смещению 0х3с от начала этого же куска памяти с нашими байтами.
Теперь вопрос на засыпку: что произойдет если в данном текстовом документе спустя от начала 0х3с символов будет слово 'fuck'?
Программа рассмотрит это байты (аскии коды символов 'fuck') как смещение на пе-заголовок и обратится за поиском РЕ-сигнатуры как минимум к тому месту где их уж точно быть не может, а скорее всего к адресу, запрос доступа к которому вызовет исключение(неразмеченное виртуальное пространство, адреса ниже 0х10000 и выше 0х7ффффффф). Если программа не использует механизм обработки исключений, то вызывается стандартный обработчик, говорящий о том, что инструкция по адресу Х обратилась по адресу У, память не может быть прочитана в данном случае. Вот собственно и все.

[Ibanez Wizard]

Спасибо). Просто я хотел сам попробовать написать программу, определяющую PE или нет). И хотел обойтись без сеха, но по видимому у меня это не получилось.