取PE文件的链接时间[附原理注释]

嫂子 · 发表于 2025-1-3 23:58:45

代码【带注释】：

[Delphi] 纯文本查看 复制代码

function GetPETimestamp(const FileName: string): TDateTime;
var
  FileBase: Pointer;
  DosHeader: PImageDosHeader;
  NTHeaders: PImageNtHeaders;
  TimeStamp: DWORD;
begin
  Result := 0;
  var FileHandle := CreateFile(PChar(FileName), GENERIC_READ, FILE_SHARE_READ, nil,OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
  if FileHandle = INVALID_HANDLE_VALUE then
    Exit;
  try
    //创建文件映射 因为PE文件可能会很大
    var FileMapping := CreateFileMapping(FileHandle, nil, PAGE_READONLY, 0, 0, nil);
    if FileMapping = 0 then
      Exit;
    try
      //读取映射文件
      FileBase := MapViewOfFile(FileMapping, FILE_MAP_READ, 0, 0, 0);
      if FileBase = nil then
        Exit;
      try
        //读取Dos头
        DosHeader := PImageDosHeader(FileBase);
        //如果Dos头不正确 退出不是PE文件
        if DosHeader^.e_magic <> IMAGE_DOS_SIGNATURE then
          Exit;
        //读取NT头
        NTHeaders := PImageNtHeaders(PByte(FileBase) + DosHeader^._lfanew);
        //NT头不正确 退出
        if NTHeaders^.Signature <> IMAGE_NT_SIGNATURE then
          Exit;
        //NT头DOS头都正确 是PE文件。从NT头读取PE文件的链接时间
        TimeStamp := NTHeaders^.FileHeader.TimeDateStamp;
        //Unix转换为可读的时间
        Result := UnixToDateTime(TimeStamp,False);
      finally
        UnmapViewOfFile(FileBase);
      end;
    finally
      CloseHandle(FileMapping);
    end;
  finally
    CloseHandle(FileHandle);
  end;
end;

ttggnn · 发表于 2025-1-4 20:03:16

支持开源~！感谢分享

何浩文 · 发表于 2025-1-4 18:49:29

支持开源~！感谢分享

pipicool · 发表于 2025-1-4 17:52:25

学习一下

dj1990 · 发表于 2025-1-4 16:30:11

作者用心了，感谢你的付出。

卡卡1111 · 发表于 2025-1-4 16:05:06

支持开源~！感谢分享

无二22222 · 发表于 2025-1-4 10:02:16

作者用心了，感谢你的付出。

gdhong · 发表于 2025-1-4 09:05:46

666666666666666666666666

一指温柔 · 发表于 2025-1-4 08:38:09

#在这里快速回复#支持开源~！感谢分享

qq977352880 · 发表于 2025-1-4 06:30:07

作者用心了，感谢你的付出。

		自动登录	找回密码
密码			注册

[其它源码] 取PE文件的链接时间[附原理注释]

评分

[其它源码] 取PE文件的链接时间[附 原理注释]

评分

[其它源码] 取PE文件的链接时间[附原理注释]