Изучаю PE заголовок...

← →
Spawn © (2003-07-05 12:01) [0]

...и вот появился такой вопрос. В одной статье написано, что поле Signature должно содержать ASCII код, обозначающий тип файла. Пробую делать так.

Base:=GetModuleHandle(nil);
ImageDosHeader:=PImageDosHeader(Base);
ImageNtHeaders:=PImageNtHeaders(Base+ImageDosHeader._lfanew);
ShowMessage(PChar(ImageNtHeader.Signature)); - так возникает Access Violetion

А если же я сделаю так

ShowMessage(PChar(Base+ImageDosHeader._lfanew)), то показывает сообщение с надписью "PE". Так в чем сдесь ошибка? Возможно, я еще не очень хорошо понимаю как нужно использовать указатели. Заранее спасибо.

← →
R4D][ (2003-07-05 12:20) [1]

Сигнатура это не указатель, а DWORD, поэтому писать, что это PCHAR - ересь. Так же, так как PImageDos(NT)Header - это указатель, то надо использовать символ ^. В общем я проэксперементировал и вот, что получил. Показывает 17744, что по-моему соответсвует "PE", хотя я могу ошибаться:
var ImageDosHeader: PImageDosHeader; ImageNtHeaders: PImageNtHeaders; Base ( nil) Сигнатура это не указатель, а DWORD, поэтому писать, что это PCHAR - ересь. Так же, так как PImageDos(NT)Header - это указатель, то надо использовать символ ^. В общем я проэксперементировал и вот, что получил. Показывает 17744, что по-моему соответсвует "PE", хотя я могу ошибаться: var ImageDosHeader: PImageDosHeader; ImageNtHeaders: PImageNtHeaders; Base : THANDLE; begin Base:=GetModuleHandle(nil); ImageDosHeader:=PImageDosHeader(Base); ImageNtHeaders:=PImageNtHeaders(Base+ImageDosHeader^._lfanew); ShowMessage(IntToStr(ImageNtHeaders^.Signature)); end;

← →
R4D][ (2003-07-05 12:26) [2]

Да, соответсвует. Если добавить такой код перед самыым end;, то сообщение не выдается:
if ImageNtHeaders^.Signature<>IMAGE_NT_SIGNATURE then ShowMessage("error");

← →
Spawn © (2003-07-05 14:24) [3]

Без значка указателя (^) абсолютно те же самые данные. То есть нет различия. И вообще обьясните мне плиз в чем разница записи ImageDosHeader._lfanew и ImageDosHeader^._lfanew ?

← →
VMcL © (2003-07-05 15:51) [4]

>Spawn © (05.07.03 14:24)

Разницы нет.

← →
Poirot © (2003-07-05 16:46) [5]

Сдаётся мне эта фишка осталась ещё от паскаля.... типа для совместимости!

← →
Spawn © (2003-07-05 16:52) [6]

Избыточность языка программирования получается

← →
R4D][ (2003-07-05 17:17) [7]

А я считаю, для порядка так сказать, для крайней ясности :)

MessageBox(0, @ImageNtHeaders.Signature, nil, 0);

Если кому-то интересна тема, предлагаю глянуть rush-x-change.front.ru/peview.rar
Это исходнники моей проги, которая позволяет прсмотреть PE модуль подобно TDUMP"у.
P.S. Не судите строго, я ее писал, когда с ПЕ разбирался :)

Изучаю PE заголовок... Найти похожие ветки