Нужны примеры исходников на С/С++ для работы с Pe-заголовками.

что понимается по "работой"?
в любом случае идем сюда. потом и вторую часть почитать можно будет...

Под работой я понимаю извлечение всякой полезной информации по типу таблиц экспорта,импорта.
За линк спасибо , информации по
Pe заголовкам у меня хватает.
Мне бы так чтобы самому как можно меньше писать...

Leksey , очень спецовые исходники есть на 
                    http://vx.netlux.org 
в журналах 29-A. Там же адреса сайтов авторов исходников.
А так вот держи один исходничок от просветленного y0da.
 

Присоединённый файл ( Кол-во скачиваний: 14 )
 realignDLL.c 15,74 Kb

Leksey,вот нашел ещё один исходник (авторство не знаю) ; это исходник полиморфного упаковщика exe-модулей....
Очень навороченный .........
Прицепить не реально - размер великоват.
Вот отсюда можно скачать: 
                                 
 http://www.wasm.ru/baixado.php?mode=tool&id=188  

Это сообщение отредактировал(а) 4udo - 29.4.2006, 09:45

А этот вообще на С!!!!!!!!!!!!!!!!!!!
Coded by Cronos!!!!
Зацени...............   
 

Это сообщение отредактировал(а) 4udo - 30.4.2006, 16:54

Присоединённый файл ( Кол-во скачиваний: 28 )
 peinfo.c 11,60 Kb

А как можно узнать параметры, переданные фукнции? Допустим, прочитал я таблицу импорта, узнал какие функции используются. Можно ли узнать переданные параметры?

criz, для этого есть отладчик и дизассемблер

Вот тут хорошее описание PE заголовков

именно в PE и COFF, для этого служит формат формирования декорированных имен функций, т.е. в самом названии эти данные могут присутствовать, в зависимости от способа линковки символов

функции, экспортированные и слинкованные как extern "C", в общем случае, такой информации в PE не предоставляют,
только общие соглашения: размер пула параметров, порядок параметров в стеке(прямой, обратный) и условие эпилога(выталкивать стек или нет на выходе)

в общем случае, это не надежный источник информации, поскольку переопределить любое объявление можно вручную без всяких условий декорирования (как, например, сделано в большинстве API), обычно используется информация из символьных БД
как правило, такие базы весят в десятки раз больше, приложений,которые они описывают, поэтому ими редко пользуются повторно

не экспортируемые функции, в PE, именуются вообще крайне редко, так что они актуальны только для COFF-образов

по декорированию подробнее тут:
http://members.ozemail.com.au/[email protected]/index.html
http://msdn.microsoft.com/en-us/library/deaxefa7(VS.71).aspx
а по базам - ключ для поиска: PDB-файлы

если имя декорировано, отладчик или дизассемблер или просто просмотровщик его расшифрует

IDA pro

Вариант с отладчиками и дизасемблерами, типа IdaPro и др., не подходит. Думал, что можно все реализвать своими силами, имея в распоряжении только exe-шник.

criz, те в рантайме или статически?

criz, 
Зная соглашение можно понять скоко параметров автоматизировано!

вызов на си, с stdcall:

hDll = LoadLibrary("my1.dll");

на асме:



вот вывод:
1. нашел итем в ИАТ нужной ф-ции
2. нашел места ее вызова
3. Распознал соглашение вызова , stcall, cdecl - как правило , реже register- тут уже реверсить, ну и др
4. если stdcall, cdecl - работем и смотрим скоко пушей перед этим !
5. если cdecl еще лучше, скоко байтов у стека убивается и ищем стоко пушей, если они есть значит именно эти параметры и есть )

ЗЫ:
Почитай теорию декомпиляции