alien_fx_fiend

2 Minor Errors Remain Code Almost Done Needs Textual Editing for 64/32 Output Strings

Dec 19th, 2024 (edited)
15
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
C++ 88.13 KB | Source Code | 0 0
  1. /*
  2. I get red squiggly errors on "hFile, nullptr" in line "DWORD fileSize = GetFileSize(hFile, nullptr);". More specifically: "argument of type "HANDLE" is incompatible with parameter of type "const wchar_t *"" 1988. AND ALSO "too many arguments in function call" 1988. Please fix this so the code may run!
  3. */
  4.  
  5.     #define STRICT
  6.     #define WIN32_LEAN_AND_MEAN
  7.     #include <Windows.h>
  8.     #include <winternl.h>
  9.     #include <CommCtrl.h>
  10.     #include <commdlg.h>
  11.     #include <string>
  12.     #include <strsafe.h>
  13.     #include <sstream>
  14.     #include <iomanip>
  15.     #include <stdio.h>
  16.     #include <vector>
  17.     #include <shellapi.h>
  18.     //#include "helpers.h"
  19.     #include "resource.h"
  20.     #pragma comment(lib, "comctl32.lib")
  21.  
  22.     //bool Is64BitPE(PIMAGE_NT_HEADERS pNtHeaders);
  23.  
  24.     namespace PEHelpers {
  25.         // Add these new helper functions
  26.         bool Is64BitPE(PIMAGE_NT_HEADERS pNtHeaders) {
  27.             return pNtHeaders->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC;
  28.         }
  29.  
  30.         DWORD_PTR GetImageBase(PIMAGE_NT_HEADERS pNtHeaders) {
  31.             if (PEHelpers::Is64BitPE(pNtHeaders)) {
  32.                 auto pNtHeaders64 = reinterpret_cast<PIMAGE_NT_HEADERS64>(pNtHeaders);
  33.                 return static_cast<DWORD_PTR>(pNtHeaders64->OptionalHeader.ImageBase);
  34.             }
  35.             else {
  36.                 auto pNtHeaders32 = reinterpret_cast<PIMAGE_NT_HEADERS32>(pNtHeaders);
  37.                 return static_cast<DWORD_PTR>(pNtHeaders32->OptionalHeader.ImageBase);
  38.             }
  39.         }
  40.  
  41.         DWORD GetSizeOfImage(PIMAGE_NT_HEADERS pNtHeaders) {
  42.             if (PEHelpers::Is64BitPE(pNtHeaders)) {
  43.                 auto pNtHeaders64 = reinterpret_cast<PIMAGE_NT_HEADERS64>(pNtHeaders);
  44.                 return pNtHeaders64->OptionalHeader.SizeOfImage;
  45.             }
  46.             else {
  47.                 auto pNtHeaders32 = reinterpret_cast<PIMAGE_NT_HEADERS32>(pNtHeaders);
  48.                 return pNtHeaders32->OptionalHeader.SizeOfImage;
  49.             }
  50.         }
  51.  
  52.         bool ValidateFileSize(DWORD expectedSize, DWORD fileSize) {
  53.             // Validate against SizeOfHeaders instead of SizeOfImage
  54.             return expectedSize > 0 && expectedSize <= fileSize;
  55.         }
  56.         //}
  57.  
  58.             // Replace the existing GetRvaPtr function in PEHelpers namespace with this:
  59.         DWORD_PTR GetRvaPtr(DWORD rva, PIMAGE_SECTION_HEADER pSectionHeader, WORD numberOfSections, LPVOID baseAddress) {
  60.             for (WORD i = 0; i < numberOfSections; i++) {
  61.                 if (rva >= pSectionHeader[i].VirtualAddress &&
  62.                     rva < (pSectionHeader[i].VirtualAddress + pSectionHeader[i].SizeOfRawData)) {
  63.                     DWORD_PTR delta = (DWORD_PTR)baseAddress + pSectionHeader[i].PointerToRawData;
  64.                     return delta + (rva - pSectionHeader[i].VirtualAddress);
  65.                 }
  66.             }
  67.             return 0;
  68.         }
  69.  
  70.         // Add to PEHelpers namespace:
  71.         bool IsRvaValid(DWORD rva, DWORD fileSize, PIMAGE_NT_HEADERS pNtHeaders) {
  72.             return rva < pNtHeaders->OptionalHeader.SizeOfImage&& rva < fileSize;
  73.         }
  74.  
  75.         // Add this new helper function in PEHelpers namespace:
  76.         PIMAGE_SECTION_HEADER GetEnclosingSectionHeader(DWORD rva, PIMAGE_SECTION_HEADER pSectionHeader, WORD numberOfSections) {
  77.             for (WORD i = 0; i < numberOfSections; i++) {
  78.                 if ((rva >= pSectionHeader[i].VirtualAddress) &&
  79.                     (rva < (pSectionHeader[i].VirtualAddress + pSectionHeader[i].SizeOfRawData))) {
  80.                     return &pSectionHeader[i];
  81.                 }
  82.             }
  83.             return nullptr;
  84.         }
  85.  
  86.         std::wstring GetImageCharacteristics(DWORD characteristics) {
  87.             if (characteristics & IMAGE_FILE_DLL) return L"(DLL)";
  88.             if (characteristics & IMAGE_FILE_SYSTEM) return L"(DRIVER)";
  89.             if (characteristics & IMAGE_FILE_EXECUTABLE_IMAGE) return L"(EXE)";
  90.             return L"(UNKNOWN)";
  91.         }
  92.  
  93.         std::wstring GetSubsystem(WORD subsystem) {
  94.             switch (subsystem) {
  95.             case IMAGE_SUBSYSTEM_NATIVE: return L"(NATIVE/DRIVER)";
  96.             case IMAGE_SUBSYSTEM_WINDOWS_GUI: return L"(GUI)";
  97.             case IMAGE_SUBSYSTEM_WINDOWS_CUI: return L"(CONSOLE)";
  98.             default: return L"(UNKNOWN)";
  99.             }
  100.         }
  101.  
  102.         std::wstring GetDataDirectoryName(int DirectoryNumber) {
  103.             switch (DirectoryNumber) {
  104.             case 0: return L"Export Table";
  105.             case 1: return L"Import Table";
  106.             case 2: return L"Resource Table";
  107.             case 3: return L"Exception Entry";
  108.             case 4: return L"Security Entry";
  109.             case 5: return L"Relocation Table";
  110.             case 6: return L"Debug Entry";
  111.             case 7: return L"Copyright Entry";
  112.             case 8: return L"Global PTR Entry";
  113.             case 9: return L"TLS Entry";
  114.             case 10: return L"Configuration Entry";
  115.             case 11: return L"Bound Import Entry";
  116.             case 12: return L"IAT";
  117.             case 13: return L"Delay Import Descriptor";
  118.             case 14: return L"COM Descriptor";
  119.             default: return L"Unknown";
  120.             }
  121.         }
  122.  
  123.         std::wstring GetSectionProtection(DWORD characteristics) {
  124.             std::wstring protection = L"(";
  125.             bool needsSeparator = false;
  126.  
  127.             if (characteristics & IMAGE_SCN_MEM_EXECUTE) {
  128.                 protection += L"EXECUTE";
  129.                 needsSeparator = true;
  130.             }
  131.  
  132.             if (characteristics & IMAGE_SCN_MEM_READ) {
  133.                 if (needsSeparator) protection += L" | ";
  134.                 protection += L"READ";
  135.                 needsSeparator = true;
  136.             }
  137.  
  138.             if (characteristics & IMAGE_SCN_MEM_WRITE) {
  139.                 if (needsSeparator) protection += L" | ";
  140.                 protection += L"WRITE";
  141.             }
  142.  
  143.             protection += L")";
  144.             return protection;
  145.         }
  146.  
  147.         PIMAGE_SECTION_HEADER GetExportSection(const PIMAGE_SECTION_HEADER pImageSectionHeader,
  148.             const int NumberOfSections,
  149.             const DWORD_PTR dExportAddress) {
  150.             for (int i = 0; i < NumberOfSections; ++i) {
  151.                 const auto pCurrentSectionHeader =
  152.                     (PIMAGE_SECTION_HEADER)((DWORD_PTR)pImageSectionHeader + i * sizeof(IMAGE_SECTION_HEADER));
  153.  
  154.                 if (dExportAddress >= pCurrentSectionHeader->VirtualAddress &&
  155.                     dExportAddress < pCurrentSectionHeader->VirtualAddress + pCurrentSectionHeader->Misc.VirtualSize)
  156.                     return pCurrentSectionHeader;
  157.             }
  158.             return nullptr;
  159.         }
  160.  
  161.         DWORD RvaToOffset(DWORD rva, PIMAGE_SECTION_HEADER pSectionHeader, WORD numberOfSections) {
  162.             for (WORD i = 0; i < numberOfSections; i++) {
  163.                 if (rva >= pSectionHeader[i].VirtualAddress &&
  164.                     rva < (pSectionHeader[i].VirtualAddress + pSectionHeader[i].SizeOfRawData)) {
  165.                     return (rva - pSectionHeader[i].VirtualAddress) + pSectionHeader[i].PointerToRawData;
  166.                 }
  167.             }
  168.             return 0;
  169.         }
  170.     }
  171.  
  172.     namespace PEParser {
  173.         using namespace std;
  174.         struct PEAnalyzer {
  175.             LPVOID lpFileContent;
  176.             DWORD fileSize;
  177.             bool is64Bit;
  178.             PIMAGE_NT_HEADERS32 pNtHeaders32;
  179.             PIMAGE_NT_HEADERS64 pNtHeaders64;
  180.             PIMAGE_DOS_HEADER pDosHeader;
  181.  
  182.             PEAnalyzer() :
  183.                 lpFileContent(nullptr),
  184.                 fileSize(0),
  185.                 is64Bit(false),
  186.                 pNtHeaders32(nullptr),
  187.                 pNtHeaders64(nullptr),
  188.                 pDosHeader(nullptr) {}
  189.  
  190.             ~PEAnalyzer() {
  191.                 if (lpFileContent) {
  192.                     UnmapViewOfFile(lpFileContent);
  193.                     lpFileContent = nullptr;
  194.                 }
  195.             }
  196.         };
  197.  
  198.         // At the top of your file, change the window class name to wide string
  199.     #define WINDOW_CLASS_NAME L"PEAnalyzerWindow"
  200.     //const wchar_t* const WINDOW_CLASS_NAME = L"PEAnalyzerWindow";
  201.  
  202.     // Use ANSI versions explicitly
  203.     //#undef CreateWindow
  204.     //#undef CreateWindowEx
  205.     //#define CreateWindow  CreateWindowW
  206.     //#define CreateWindowEx CreateWindowExW
  207.  
  208.     // Helper function to replace printf with GUI output
  209.     #define OUTPUT(format, ...) AppendToOutput(L##format, ##__VA_ARGS__)
  210.     //#define OUTPUT(format, ...) AppendToOutput(format, ##__VA_ARGS__)
  211.     //#define printf(format, ...) AppendToOutput(format, ##__VA_ARGS__)
  212.  
  213.     // Window dimensions
  214.     #define WINDOW_WIDTH    1024
  215.     #define WINDOW_HEIGHT   768
  216.     #define EDIT_MARGIN    10
  217.  
  218.     // Global variables
  219.         HWND g_hMainWindow = NULL;
  220.         HWND g_hEditControl = NULL;
  221.         HFONT g_hFont = NULL;
  222.         std::wstringstream g_OutputText;
  223.         WCHAR filePathW[MAX_PATH];
  224.         std::vector<wchar_t> g_OutputBuffer;
  225.         std::wstring tempBuffer; // Declare tempBuffer globally
  226.         HWND g_hStatusBar = NULL;
  227.         HWND g_hProgressBar = NULL;  // Add this with your other global variables
  228.         //int virtualHeight = 100;  // Initialize with an appropriate value
  229.  
  230.         // Function declarations
  231.         LRESULT CALLBACK WindowProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam);
  232.         LRESULT CALLBACK EditSubclassProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam, UINT_PTR uIdSubclass, DWORD_PTR dwRefData);
  233.         void CreateMainWindow(HINSTANCE hInstance);
  234.         void InitializeControls(HWND hwnd);
  235.         void AddMenus(HWND hwnd);
  236.         void OpenFileDialog(HWND hwnd);
  237.         //void AnalyzePEFile(const WCHAR* filePathW);
  238.         void AnalyzePEFile(const wchar_t* filePathW);
  239.         HANDLE GetFileContent(const wchar_t* lpFilePath);
  240.         /*void GetDataDirectories(PIMAGE_DATA_DIRECTORY pImageDataDirectory);
  241.         PIMAGE_SECTION_HEADER GetSections(const PIMAGE_SECTION_HEADER pImageSectionHeader,
  242.             int NumberOfSections, DWORD dImportAddress);
  243.         void GetImports32(PIMAGE_IMPORT_DESCRIPTOR pImageImportDescriptor,
  244.             DWORD dRawOffset, const PIMAGE_SECTION_HEADER pImageImportSection);
  245.         void GetImports64(PIMAGE_IMPORT_DESCRIPTOR pImageImportDescriptor,
  246.             DWORD dRawOffset, const PIMAGE_SECTION_HEADER pImageImportSection);*/
  247.         void AppendToOutput(const wchar_t* format, ...);
  248.         //newfunctionshere (lateest fixes)
  249.         void ParseSections(const PEAnalyzer& analyzer); //forwarddeclare parse+ bring namespace up
  250.         void ParseImportDirectory(const PEAnalyzer& analyzer);
  251.         void ParseExportDirectory(const PEAnalyzer& analyzer);
  252.         void ParseResourceDirectory(const PEAnalyzer& analyzer);
  253.         void ParseDebugDirectory(const PEAnalyzer& analyzer);
  254.         void SetStatusText(const wchar_t* text);
  255.         void ShowProgress(int percentage);
  256.         void UpdateEditControl();
  257.         bool InitializePEAnalyzer(PEAnalyzer& analyzer, const wchar_t* filePath);
  258.  
  259.         void ProcessResourceDirectory32(
  260.             PIMAGE_RESOURCE_DIRECTORY resDir,
  261.             int level,
  262.             const wchar_t* type,
  263.             PIMAGE_RESOURCE_DIRECTORY baseResourceDir,
  264.             const wchar_t* resourceTypes[],
  265.             const PEAnalyzer& analyzer);
  266.  
  267.         void ProcessResourceDirectory64(
  268.             PIMAGE_RESOURCE_DIRECTORY resDir,
  269.             int level,
  270.             const wchar_t* type,
  271.             PIMAGE_RESOURCE_DIRECTORY baseResourceDir,
  272.             const wchar_t* resourceTypes[],
  273.             const PEAnalyzer& analyzer);
  274.  
  275.         // Main window class name
  276.         //const char* const WINDOW_CLASS_NAME = "PEAnalyzerWindow";
  277.  
  278.         //new inserted here >>
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.         //here
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.         int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) {
  324.             INITCOMMONCONTROLSEX icc = { sizeof(INITCOMMONCONTROLSEX), ICC_WIN95_CLASSES };
  325.             InitCommonControlsEx(&icc);
  326.  
  327.             // Get command line parameters in Unicode
  328.             int argc;
  329.             LPWSTR* argv = CommandLineToArgvW(GetCommandLineW(), &argc);
  330.  
  331.             CreateMainWindow(hInstance);
  332.             if (!g_hMainWindow) {
  333.                 LocalFree(argv);
  334.                 return -1;
  335.             }
  336.  
  337.             ShowWindow(g_hMainWindow, nCmdShow);
  338.             UpdateWindow(g_hMainWindow);
  339.  
  340.             // If there's a command line parameter, process it
  341.             if (argc > 1) {
  342.                 // Process the first parameter as file path
  343.                 SetWindowTextW(g_hEditControl, L"");
  344.                 g_OutputText.str(L"");
  345.                 g_OutputText.clear();
  346.                 AnalyzePEFile(argv[1]);
  347.                 UpdateEditControl();
  348.             }
  349.  
  350.             LocalFree(argv);
  351.  
  352.             MSG msg = {};
  353.             while (GetMessage(&msg, NULL, 0, 0)) {
  354.                 TranslateMessage(&msg);
  355.                 DispatchMessage(&msg);
  356.             }
  357.  
  358.             if (g_hFont) DeleteObject(g_hFont);
  359.             return (int)msg.wParam;
  360.         }
  361.  
  362.         void CreateMainWindow(HINSTANCE hInstance) {
  363.             WNDCLASSEXW wc = { sizeof(WNDCLASSEXW), 0, WindowProc, 0, 0, hInstance,
  364.                 LoadIcon(hInstance, MAKEINTRESOURCE(IDI_ICON1)),
  365.                 LoadCursor(NULL, IDC_ARROW),
  366.                 (HBRUSH)(COLOR_WINDOW + 1),
  367.                 NULL, WINDOW_CLASS_NAME,
  368.                 LoadIcon(hInstance, MAKEINTRESOURCE(IDI_ICON1)) };
  369.             RegisterClassExW(&wc);
  370.  
  371.             // Get screen dimensions
  372.             int screenWidth = GetSystemMetrics(SM_CXSCREEN);
  373.             int screenHeight = GetSystemMetrics(SM_CYSCREEN);
  374.  
  375.             // Calculate center position
  376.             int windowX = (screenWidth - WINDOW_WIDTH) / 2;
  377.             int windowY = (screenHeight - WINDOW_HEIGHT) / 2;
  378.  
  379.             // Remove WS_MAXIMIZEBOX and WS_THICKFRAME from the window style
  380.             DWORD style = (WS_OVERLAPPEDWINDOW & ~WS_MAXIMIZEBOX) & ~WS_THICKFRAME;
  381.             //WS_OVERLAPPEDWINDOW ~~> style
  382.             g_hMainWindow = CreateWindowExW(0, WINDOW_CLASS_NAME, L"PE File Analyzer",
  383.                 style, windowX, windowY, WINDOW_WIDTH, WINDOW_HEIGHT,
  384.                 nullptr, nullptr, hInstance, nullptr);
  385.         }
  386.  
  387.         void InitializeControls(HWND hwnd) {
  388.             // Create status bar
  389.             g_hStatusBar = CreateWindowEx(0, STATUSCLASSNAME, NULL,
  390.                 WS_CHILD | WS_VISIBLE,
  391.                 0, 0, 0, 0, hwnd, NULL,
  392.                 (HINSTANCE)GetWindowLongPtr(hwnd, GWLP_HINSTANCE), NULL);
  393.  
  394.             // Set up status bar parts
  395.             RECT rcClient;
  396.             GetClientRect(hwnd, &rcClient);
  397.             int statusParts[2] = { 150, rcClient.right };
  398.             SendMessage(g_hStatusBar, SB_SETPARTS, 2, (LPARAM)statusParts);
  399.  
  400.             // Create progress bar in the second part of status bar
  401.             RECT rcPart;
  402.             SendMessage(g_hStatusBar, SB_GETRECT, 1, (LPARAM)&rcPart);
  403.  
  404.             g_hProgressBar = CreateWindowEx(0, PROGRESS_CLASS, NULL,
  405.                 WS_CHILD | WS_VISIBLE | PBS_SMOOTH,
  406.                 rcPart.left + 5, rcPart.top + 2,
  407.                 rcPart.right - rcPart.left - 10, rcPart.bottom - rcPart.top - 4,
  408.                 g_hStatusBar, NULL,
  409.                 (HINSTANCE)GetWindowLongPtr(hwnd, GWLP_HINSTANCE), NULL);
  410.  
  411.             // Set blue color and range
  412.             SendMessage(g_hProgressBar, PBM_SETBARCOLOR, 0, (LPARAM)RGB(0, 120, 215));  // Windows 10 blue
  413.             SendMessage(g_hProgressBar, PBM_SETRANGE, 0, MAKELPARAM(0, 100));
  414.             SendMessage(g_hProgressBar, PBM_SETSTEP, 1, 0);
  415.  
  416.             // Get status bar height for edit control positioning
  417.             RECT rcStatus;
  418.             GetWindowRect(g_hStatusBar, &rcStatus);
  419.             int statusHeight = rcStatus.bottom - rcStatus.top;
  420.  
  421.             // Create edit control
  422.             g_hEditControl = CreateWindowExW(WS_EX_CLIENTEDGE, L"EDIT", L"",
  423.                 WS_CHILD | WS_VISIBLE | WS_VSCROLL | WS_HSCROLL |
  424.                 ES_MULTILINE | ES_AUTOVSCROLL | ES_AUTOHSCROLL,
  425.                 EDIT_MARGIN, EDIT_MARGIN,
  426.                 rcClient.right - (2 * EDIT_MARGIN),
  427.                 rcClient.bottom - statusHeight - (2 * EDIT_MARGIN),
  428.                 hwnd, nullptr,
  429.                 (HINSTANCE)GetWindowLongPtr(hwnd, GWLP_HINSTANCE), nullptr);
  430.  
  431.             // Create and set font
  432.             g_hFont = CreateFont(-14, 0, 0, 0, FW_NORMAL, FALSE, FALSE, 0,
  433.                 ANSI_CHARSET, OUT_DEFAULT_PRECIS, CLIP_DEFAULT_PRECIS,
  434.                 DEFAULT_QUALITY, DEFAULT_PITCH | FF_MODERN, L"Consolas");
  435.  
  436.             if (g_hFont)
  437.                 SendMessage(g_hEditControl, WM_SETFONT, (WPARAM)g_hFont, TRUE);
  438.  
  439.             SetWindowSubclass(g_hEditControl, EditSubclassProc, 0, 0);
  440.         }
  441.  
  442.         void AddMenus(HWND hwnd) {
  443.             HMENU hMenuBar = CreateMenu();
  444.             HMENU hFileMenu = CreateMenu();
  445.             AppendMenu(hMenuBar, MF_POPUP, (UINT_PTR)hFileMenu, L"&File");
  446.             AppendMenu(hFileMenu, MF_STRING, 1, L"&Open\tCtrl+O");  // Updated to show shortcut
  447.             AppendMenu(hFileMenu, MF_STRING, 2, L"E&xit");
  448.             SetMenu(hwnd, hMenuBar);
  449.         }
  450.      
  451.  
  452.         // First, add this helper function to determine if the PE file is 64-bit
  453.         bool Is64BitPE(PIMAGE_NT_HEADERS pNtHeaders) {
  454.             return pNtHeaders->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC;
  455.         }
  456.  
  457.         // Helper function to safely get file size
  458.         DWORD GetFileSize(const wchar_t* filePath) {
  459.             HANDLE hFile = CreateFileW(filePath, GENERIC_READ, FILE_SHARE_READ,
  460.                 nullptr, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, nullptr);
  461.  
  462.             if (hFile == INVALID_HANDLE_VALUE) {
  463.                 return 0;
  464.             }
  465.  
  466.             DWORD fileSize = ::GetFileSize(hFile, nullptr);
  467.             CloseHandle(hFile);
  468.             return fileSize;
  469.         }
  470.  
  471.         // Add this helper function
  472.         void SafeOutput(const std::wstring& text) {
  473.             try {
  474.                 g_OutputText << text;
  475.                 UpdateEditControl();
  476.             }
  477.             catch (...) {
  478.                 SetStatusText(L"Error writing output");
  479.             }
  480.         }
  481.  
  482.         void UpdateStatusBar(const wchar_t* text, int progress = -1) {
  483.             if (text) {
  484.                 SetStatusText(text);
  485.             }
  486.             if (progress >= 0) {
  487.                 ShowProgress(progress);
  488.             }
  489.         }
  490.  
  491.         void ClearProgress() {
  492.             ShowWindow(g_hProgressBar, SW_HIDE);
  493.             SetStatusText(L"Ready");
  494.         }
  495.  
  496.         LRESULT CALLBACK EditSubclassProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam, UINT_PTR uIdSubclass, DWORD_PTR dwRefData) {
  497.             if (uMsg == WM_KEYDOWN) {
  498.                 if ((GetKeyState(VK_CONTROL) & 0x8000) && wParam == 'O') {
  499.                     SendMessage(GetParent(hwnd), WM_COMMAND, 1, 0);
  500.                     return 0;
  501.                 }
  502.                 switch (wParam) {
  503.                 case VK_F1:
  504.                     SendMessage(GetParent(hwnd), WM_KEYDOWN, VK_F1, 0);
  505.                     return 0;
  506.                 case VK_ESCAPE:
  507.                     SendMessage(GetParent(hwnd), WM_KEYDOWN, VK_ESCAPE, 0);
  508.                     return 0;
  509.                 case VK_PRIOR:
  510.                     // Scroll up
  511.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_PAGEUP, 0), 0);
  512.                     return 0;
  513.                 case VK_NEXT:
  514.                     // Scroll down
  515.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_PAGEDOWN, 0), 0);
  516.                     return 0;
  517.                 case VK_UP:
  518.                     // Scroll one line up
  519.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_LINEUP, 0), 0);
  520.                     return 0;
  521.                 case VK_DOWN:
  522.                     // Scroll one line down
  523.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_LINEDOWN, 0), 0);
  524.                     return 0;
  525.                 }
  526.             }
  527.             if (uMsg == WM_MOUSEWHEEL) {
  528.                 int delta = GET_WHEEL_DELTA_WPARAM(wParam);
  529.                 if (delta > 0) {
  530.                     // Scroll up
  531.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_PAGEUP, 0), 0);
  532.                 }
  533.                 else {
  534.                     // Scroll down
  535.                     SendMessage(hwnd, WM_VSCROLL, MAKELONG(SB_PAGEDOWN, 0), 0);
  536.                 }
  537.                 return 0;
  538.             }
  539.             return DefSubclassProc(hwnd, uMsg, wParam, lParam);
  540.         }
  541.  
  542.         LRESULT CALLBACK WindowProc(HWND hwnd, UINT uMsg, WPARAM wParam, LPARAM lParam) {
  543.             switch (uMsg) {
  544.             case WM_CREATE: InitializeControls(hwnd); AddMenus(hwnd); return 0;
  545.             case WM_SIZE:
  546.             {
  547.                 RECT rcClient;
  548.                 GetClientRect(hwnd, &rcClient);
  549.  
  550.                 // Resize status bar
  551.                 SendMessage(g_hStatusBar, WM_SIZE, 0, 0);
  552.  
  553.                 // Recalculate status bar parts
  554.                 int statusParts[2] = { 150, rcClient.right };
  555.                 SendMessage(g_hStatusBar, SB_SETPARTS, 2, (LPARAM)statusParts);
  556.  
  557.                 // Reposition progress bar
  558.                 RECT rcPart;
  559.                 SendMessage(g_hStatusBar, SB_GETRECT, 1, (LPARAM)&rcPart);
  560.                 SetWindowPos(g_hProgressBar, NULL,
  561.                     rcPart.left + 5, rcPart.top + 2,
  562.                     rcPart.right - rcPart.left - 10, rcPart.bottom - rcPart.top - 4,
  563.                     SWP_NOZORDER);
  564.  
  565.                 // Get status bar height
  566.                 RECT rcStatus;
  567.                 GetWindowRect(g_hStatusBar, &rcStatus);
  568.                 int statusHeight = rcStatus.bottom - rcStatus.top;
  569.  
  570.                 // Resize edit control
  571.                 SetWindowPos(g_hEditControl, NULL,
  572.                     EDIT_MARGIN,
  573.                     EDIT_MARGIN,
  574.                     rcClient.right - (2 * EDIT_MARGIN),
  575.                     rcClient.bottom - statusHeight - (2 * EDIT_MARGIN),
  576.                     SWP_NOZORDER);
  577.                 return 0;
  578.             }
  579.        
  580.             case WM_KEYDOWN:
  581.             {
  582.                 if (GetKeyState(VK_CONTROL) & 0x8000) {
  583.                     switch (wParam) {
  584.                     case 'O':
  585.                         OpenFileDialog(hwnd);
  586.                         return 0;
  587.                     }
  588.                 }
  589.                 switch (wParam) {
  590.                 case VK_F1:
  591.                     MessageBoxW(hwnd,
  592.                         L"PE Header Parser 4.3 GUI-based Programmed in C++ Win32 API (1546 lines of code) by Entisoft Software(c) Evans Thorpemorton",
  593.                         L"About",
  594.                         MB_OK | MB_ICONINFORMATION);
  595.                     return 0;
  596.                 case VK_ESCAPE:
  597.                     PostQuitMessage(0);
  598.                     return 0;
  599.                 case VK_PRIOR:
  600.                     // Scroll up
  601.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_PAGEUP, 0), 0);
  602.                     return 0;
  603.                 case VK_NEXT:
  604.                     // Scroll down
  605.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_PAGEDOWN, 0), 0);
  606.                     return 0;
  607.                 case VK_UP:
  608.                     // Scroll one line up
  609.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_LINEUP, 0), 0);
  610.                     return 0;
  611.                 case VK_DOWN:
  612.                     // Scroll one line down
  613.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_LINEDOWN, 0), 0);
  614.                     return 0;
  615.                 }
  616.                 break;
  617.             }
  618.             case WM_MOUSEWHEEL:
  619.             {
  620.                 int delta = GET_WHEEL_DELTA_WPARAM(wParam);
  621.                 if (delta > 0) {
  622.                     // Scroll up
  623.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_PAGEUP, 0), 0);
  624.                 }
  625.                 else {
  626.                     // Scroll down
  627.                     SendMessage(g_hEditControl, WM_VSCROLL, MAKELONG(SB_PAGEDOWN, 0), 0);
  628.                 }
  629.                 return 0;
  630.             }
  631.             case WM_COMMAND: if (LOWORD(wParam) == 1) OpenFileDialog(hwnd); if (LOWORD(wParam) == 2) PostQuitMessage(0); return 0;
  632.             case WM_DESTROY:
  633.                 if (g_hStatusBar) DestroyWindow(g_hStatusBar);
  634.                 PostQuitMessage(0);
  635.                 return 0;
  636.             }
  637.             return DefWindowProc(hwnd, uMsg, wParam, lParam);
  638.         }
  639.  
  640.         void SetStatusText(const wchar_t* text) {
  641.             SendMessage(g_hStatusBar, SB_SETTEXT, 0, (LPARAM)text);
  642.         }
  643.  
  644.         void ShowProgress(int percentage) {
  645.             // Update progress bar
  646.             SendMessage(g_hProgressBar, PBM_SETPOS, (WPARAM)percentage, 0);
  647.  
  648.             // Update status text in first part
  649.             wchar_t status[256];
  650.             swprintf_s(status, L"Analyzing... %d%%", percentage);
  651.             //swprintf_s(status, L"Analyzing...");
  652.             SetStatusText(status); //commented-out
  653.             SendMessage(g_hStatusBar, SB_SETTEXT, 0, (LPARAM)status);
  654.         }
  655.  
  656.         void OpenFileDialog(HWND hwnd) {
  657.             WCHAR fileName[MAX_PATH] = L"";
  658.             OPENFILENAMEW ofn = { sizeof(OPENFILENAMEW), hwnd, NULL, L"Executable Files (*.exe;*.dll)\0*.exe;*.dll\0All Files (*.*)\0*.*\0", NULL, 0, 1, fileName, MAX_PATH, NULL, 0, NULL, NULL, OFN_EXPLORER | OFN_FILEMUSTEXIST | OFN_HIDEREADONLY, 0, 0, L"exe", NULL, NULL, NULL };
  659.             if (GetOpenFileNameW(&ofn)) {
  660.                 SetWindowTextW(g_hEditControl, L"");
  661.                 g_OutputText.str(L"");
  662.                 g_OutputText.clear();
  663.                 AnalyzePEFile(ofn.lpstrFile);
  664.                 UpdateEditControl();
  665.             }
  666.         }
  667.  
  668.         class FileMapper {
  669.         private:
  670.             HANDLE hFile;
  671.             HANDLE hMapping;
  672.             LPVOID lpView;
  673.  
  674.         public:
  675.             FileMapper() : hFile(INVALID_HANDLE_VALUE), hMapping(nullptr), lpView(nullptr) {}
  676.  
  677.             ~FileMapper() {
  678.                 Cleanup();
  679.             }
  680.  
  681.             void Cleanup() {
  682.                 if (lpView) {
  683.                     UnmapViewOfFile(lpView);
  684.                     lpView = nullptr;
  685.                 }
  686.                 if (hMapping) {
  687.                     CloseHandle(hMapping);
  688.                     hMapping = nullptr;
  689.                 }
  690.                 if (hFile != INVALID_HANDLE_VALUE) {
  691.                     CloseHandle(hFile);
  692.                     hFile = INVALID_HANDLE_VALUE;
  693.                 }
  694.             }
  695.  
  696.             bool Initialize(const wchar_t* path) {
  697.                 Cleanup();  // Ensure clean state
  698.  
  699.                 hFile = CreateFileW(path, GENERIC_READ, FILE_SHARE_READ,
  700.                     nullptr, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, nullptr);
  701.                 if (hFile == INVALID_HANDLE_VALUE) return false;
  702.  
  703.                 hMapping = CreateFileMappingW(hFile, nullptr, PAGE_READONLY, 0, 0, nullptr);
  704.                 if (!hMapping) {
  705.                     Cleanup();
  706.                     return false;
  707.                 }
  708.  
  709.                 lpView = MapViewOfFile(hMapping, FILE_MAP_READ, 0, 0, 0);
  710.                 if (!lpView) {
  711.                     Cleanup();
  712.                     return false;
  713.                 }
  714.  
  715.                 return true;
  716.             }
  717.  
  718.             LPVOID GetView() const { return lpView; }
  719.         };
  720.  
  721.         // Modified AppendToOutput to handle newlines properly:
  722.         void AppendToOutput(const wchar_t* format, ...) {
  723.             std::vector<wchar_t> buffer(1024);
  724.             va_list args;
  725.             va_start(args, format);
  726.  
  727.             while (true) {
  728.                 int result = _vsnwprintf(buffer.data(), buffer.size(), format, args);
  729.                 if (result >= 0) break;
  730.                 buffer.resize(buffer.size() * 2);
  731.             }
  732.             va_end(args);
  733.  
  734.             // Convert \n to \r\n
  735.             std::wstring output = buffer.data();
  736.             size_t pos = 0;
  737.             while ((pos = output.find(L'\n', pos)) != std::wstring::npos) {
  738.                 if (pos == 0 || output[pos - 1] != L'\r') {
  739.                     output.insert(pos, L"\r");
  740.                     pos += 2;
  741.                 }
  742.                 else {
  743.                     pos++;
  744.                 }
  745.             }
  746.  
  747.             g_OutputText << output;
  748.             UpdateEditControl();
  749.         }
  750.  
  751.    
  752.         //use vectors for unlimited size growth of buffer, use an alternative to editbox, check for fast loops overloading, in its primitive form it works properly! try w/o getimports3264 datadirectories getsections
  753.  
  754.         void ProcessResourceDirectory(
  755.             PIMAGE_RESOURCE_DIRECTORY resDir,
  756.             int level,
  757.             const wchar_t* type,
  758.             PIMAGE_RESOURCE_DIRECTORY pResourceDir,
  759.             const wchar_t* resourceTypes[],
  760.             PIMAGE_NT_HEADERS pNtHeaders,
  761.             LPVOID lpFileContent)
  762.         {
  763.             if (IsBadReadPtr(resDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  764.                 return;
  765.             }
  766.  
  767.             auto entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(resDir + 1);
  768.             WORD totalEntries = resDir->NumberOfNamedEntries + resDir->NumberOfIdEntries;
  769.  
  770.             for (WORD i = 0; i < totalEntries; i++) {
  771.                 if (IsBadReadPtr(entry + i, sizeof(IMAGE_RESOURCE_DIRECTORY_ENTRY))) {
  772.                     break;
  773.                 }
  774.  
  775.                 for (int indent = 0; indent < level; indent++) {
  776.                     OUTPUT("\t");
  777.                 }
  778.  
  779.                 if (entry[i].NameIsString) {
  780.                     auto nameEntry = (PIMAGE_RESOURCE_DIR_STRING_U)((BYTE*)pResourceDir + entry[i].NameOffset);
  781.                     if (!IsBadReadPtr(nameEntry, sizeof(IMAGE_RESOURCE_DIR_STRING_U))) {
  782.                         std::vector<wchar_t> resourceName(nameEntry->Length + 1);
  783.                         wcsncpy_s(resourceName.data(), nameEntry->Length + 1,
  784.                             nameEntry->NameString, nameEntry->Length);
  785.                         resourceName[nameEntry->Length] = L'\0';
  786.  
  787.                         if (level == 0) {
  788.                             OUTPUT("Resource Type: Custom (%s)\n", resourceName.data());
  789.                         }
  790.                         else {
  791.                             OUTPUT("Name: %s\n", resourceName.data());
  792.                         }
  793.                     }
  794.                 }
  795.                 else {
  796.                     if (level == 0) {
  797.                         DWORD resourceType = entry[i].Id;
  798.                         if (resourceType < 16) {
  799.                             OUTPUT("Resource Type: %s (ID: %d)\n", resourceTypes[resourceType], resourceType);
  800.                         }
  801.                         else {
  802.                             OUTPUT("Resource Type: Custom (ID: %d)\n", resourceType);
  803.                         }
  804.                     }
  805.                     else {
  806.                         OUTPUT("ID: %d\n", entry[i].Id);
  807.                     }
  808.                 }
  809.  
  810.                 if (entry[i].DataIsDirectory) {
  811.                     auto nextDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)pResourceDir + entry[i].OffsetToDirectory);
  812.                     if (!IsBadReadPtr(nextDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  813.                         ProcessResourceDirectory(nextDir, level + 1,
  814.                             level == 0 ? resourceTypes[min(entry[i].Id, 15)] : type,
  815.                             pResourceDir, resourceTypes, pNtHeaders, lpFileContent);
  816.                     }
  817.                 }
  818.                 else {
  819.                     auto dataEntry = (PIMAGE_RESOURCE_DATA_ENTRY)((BYTE*)pResourceDir + entry[i].OffsetToData);
  820.                     if (!IsBadReadPtr(dataEntry, sizeof(IMAGE_RESOURCE_DATA_ENTRY))) {
  821.                         for (int indent = 0; indent < level + 1; indent++) {
  822.                             OUTPUT("\t");
  823.                         }
  824.                         OUTPUT("Size: %d bytes, RVA: 0x%X\n",
  825.                             dataEntry->Size, dataEntry->OffsetToData);
  826.  
  827.                         if (type && wcscmp(type, L"Version") == 0) {
  828.                             auto versionData = (BYTE*)PEHelpers::GetRvaPtr(
  829.                                 dataEntry->OffsetToData,
  830.                                 IMAGE_FIRST_SECTION(pNtHeaders),
  831.                                 pNtHeaders->FileHeader.NumberOfSections,
  832.                                 lpFileContent);
  833.  
  834.                             if (versionData && !IsBadReadPtr(versionData, sizeof(VS_FIXEDFILEINFO))) {
  835.                                 auto versionInfo = (VS_FIXEDFILEINFO*)(versionData + 40);
  836.                                 if (versionInfo->dwSignature == 0xFEEF04BD) {
  837.                                     for (int indent = 0; indent < level + 2; indent++) {
  838.                                         OUTPUT("\t");
  839.                                     }
  840.                                     OUTPUT("File Version: %d.%d.%d.%d\n",
  841.                                         HIWORD(versionInfo->dwFileVersionMS),
  842.                                         LOWORD(versionInfo->dwFileVersionMS),
  843.                                         HIWORD(versionInfo->dwFileVersionLS),
  844.                                         LOWORD(versionInfo->dwFileVersionLS));
  845.                                 }
  846.                             }
  847.                         }
  848.                     }
  849.                 }
  850.             }
  851.         }
  852.  
  853.         //adding here
  854.         //######################################################################################
  855.         //######################################################################################
  856.         //        ##    endroughxfer - urldump #1#
  857.         //        ##    <EOF><EOF>
  858.         //######################################################################################
  859.         //######################################################################################
  860.         //
  861.         // new code below starting here vv
  862.  
  863.         bool InitializePEAnalyzer(PEAnalyzer& analyzer, const wchar_t* filePath) {
  864.             FileMapper mapper;
  865.             if (!mapper.Initialize(filePath)) {
  866.                 OUTPUT("[-] Failed to open file! Error: %d\n", GetLastError());
  867.                 return false;
  868.             }
  869.  
  870.             analyzer.lpFileContent = mapper.GetView();
  871.             analyzer.fileSize = GetFileSize(filePath);
  872.  
  873.             analyzer.pDosHeader = static_cast<PIMAGE_DOS_HEADER>(analyzer.lpFileContent);
  874.             if (analyzer.pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) {
  875.                 OUTPUT("[-] Invalid DOS signature!\n");
  876.                 return false;
  877.             }
  878.  
  879.             auto pNtHeaders = reinterpret_cast<PIMAGE_NT_HEADERS>(
  880.                 static_cast<BYTE*>(analyzer.lpFileContent) + analyzer.pDosHeader->e_lfanew);
  881.  
  882.             if (IsBadReadPtr(pNtHeaders, sizeof(IMAGE_NT_HEADERS)) ||
  883.                 pNtHeaders->Signature != IMAGE_NT_SIGNATURE) {
  884.                 OUTPUT("[-] Invalid NT signature!\n");
  885.                 return false;
  886.             }
  887.  
  888.             analyzer.is64Bit = (pNtHeaders->OptionalHeader.Magic == IMAGE_NT_OPTIONAL_HDR64_MAGIC);
  889.  
  890.             if (analyzer.is64Bit) {
  891.                 analyzer.pNtHeaders64 = reinterpret_cast<PIMAGE_NT_HEADERS64>(pNtHeaders);
  892.                 analyzer.pNtHeaders32 = nullptr;
  893.             }
  894.             else {
  895.                 analyzer.pNtHeaders32 = reinterpret_cast<PIMAGE_NT_HEADERS32>(pNtHeaders);
  896.                 analyzer.pNtHeaders64 = nullptr;
  897.             }
  898.  
  899.             return true;
  900.         }
  901.  
  902.         DWORD GetFileSize(const wchar_t* filePath) {
  903.             HANDLE hFile = CreateFileW(filePath, GENERIC_READ, FILE_SHARE_READ,
  904.                 nullptr, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, nullptr);
  905.             if (hFile == INVALID_HANDLE_VALUE) return 0;
  906.  
  907.             DWORD fileSize = ::GetFileSize(hFile, nullptr);
  908.             CloseHandle(hFile);
  909.             return fileSize;
  910.         }
  911.     //}
  912.  
  913.     void ParseImportDirectory32(const PEAnalyzer& analyzer) {
  914.         const auto& importDir = analyzer.pNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
  915.         if (!importDir.VirtualAddress || !importDir.Size) return;
  916.  
  917.         if (!PEHelpers::IsRvaValid(importDir.VirtualAddress, analyzer.fileSize,
  918.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders32))) {
  919.             OUTPUT("[-] Invalid import directory RVA!\n");
  920.             return;
  921.         }
  922.  
  923.         OUTPUT("\n[+] IMPORT DIRECTORY (32-bit)\n");
  924.         auto pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)PEHelpers::GetRvaPtr(
  925.             importDir.VirtualAddress,
  926.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  927.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  928.             analyzer.lpFileContent);
  929.  
  930.         if (!pImportDesc) return;
  931.  
  932.         while (pImportDesc->Name != 0) {
  933.             if (IsBadReadPtr(pImportDesc, sizeof(IMAGE_IMPORT_DESCRIPTOR))) {
  934.                 OUTPUT("[-] Invalid import descriptor detected!\n");
  935.                 break;
  936.             }
  937.  
  938.             const char* dllName = (const char*)PEHelpers::GetRvaPtr(
  939.                 pImportDesc->Name,
  940.                 IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  941.                 analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  942.                 analyzer.lpFileContent);
  943.  
  944.             if (dllName && !IsBadReadPtr(dllName, 1)) {
  945.                 std::vector<wchar_t> wideDllName(MAX_PATH);
  946.                 MultiByteToWideChar(CP_ACP, 0, dllName, -1, wideDllName.data(), MAX_PATH);
  947.  
  948.                 OUTPUT("\n\tDLL NAME: %s\n", wideDllName.data());
  949.                 OUTPUT("\tCharacteristics: 0x%X\n", pImportDesc->Characteristics);
  950.                 OUTPUT("\tTimeDateStamp: 0x%X\n", pImportDesc->TimeDateStamp);
  951.                 OUTPUT("\tForwarderChain: 0x%X\n", pImportDesc->ForwarderChain);
  952.                 OUTPUT("\tFirstThunk: 0x%X\n", pImportDesc->FirstThunk);
  953.                 OUTPUT("\n\tImported Functions:\n");
  954.  
  955.                 auto pThunk = (PIMAGE_THUNK_DATA32)PEHelpers::GetRvaPtr(
  956.                     pImportDesc->OriginalFirstThunk ? pImportDesc->OriginalFirstThunk : pImportDesc->FirstThunk,
  957.                     IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  958.                     analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  959.                     analyzer.lpFileContent);
  960.  
  961.                 while (pThunk && pThunk->u1.AddressOfData) {
  962.                     if (!(pThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG32)) {
  963.                         auto pImportByName = (PIMAGE_IMPORT_BY_NAME)PEHelpers::GetRvaPtr(
  964.                             pThunk->u1.AddressOfData,
  965.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  966.                             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  967.                             analyzer.lpFileContent);
  968.  
  969.                         if (pImportByName && !IsBadReadPtr(pImportByName, sizeof(IMAGE_IMPORT_BY_NAME))) {
  970.                             std::vector<wchar_t> wideFuncName(MAX_PATH);
  971.                             MultiByteToWideChar(CP_ACP, 0, (char*)pImportByName->Name, -1,
  972.                                 wideFuncName.data(), MAX_PATH);
  973.                             OUTPUT("\t\t%s\n", wideFuncName.data());
  974.                         }
  975.                     }
  976.                     else {
  977.                         OUTPUT("\t\tOrdinal: %d\n", pThunk->u1.Ordinal & 0xFFFF);
  978.                     }
  979.                     pThunk++;
  980.                 }
  981.             }
  982.             pImportDesc++;
  983.         }
  984.     }
  985.  
  986.     void ParseImportDirectory64(const PEAnalyzer& analyzer) {
  987.         const auto& importDir = analyzer.pNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];
  988.         if (!importDir.VirtualAddress || !importDir.Size) return;
  989.  
  990.         if (!PEHelpers::IsRvaValid(importDir.VirtualAddress, analyzer.fileSize,
  991.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders64))) {
  992.             OUTPUT("[-] Invalid import directory RVA!\n");
  993.             return;
  994.         }
  995.  
  996.         OUTPUT("\n[+] IMPORT DIRECTORY (64-bit)\n");
  997.         auto pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)PEHelpers::GetRvaPtr(
  998.             importDir.VirtualAddress,
  999.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1000.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1001.             analyzer.lpFileContent);
  1002.  
  1003.         if (!pImportDesc) return;
  1004.  
  1005.         while (pImportDesc->Name != 0) {
  1006.             if (IsBadReadPtr(pImportDesc, sizeof(IMAGE_IMPORT_DESCRIPTOR))) {
  1007.                 OUTPUT("[-] Invalid import descriptor detected!\n");
  1008.                 break;
  1009.             }
  1010.  
  1011.             const char* dllName = (const char*)PEHelpers::GetRvaPtr(
  1012.                 pImportDesc->Name,
  1013.                 IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1014.                 analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1015.                 analyzer.lpFileContent);
  1016.  
  1017.             if (dllName && !IsBadReadPtr(dllName, 1)) {
  1018.                 std::vector<wchar_t> wideDllName(MAX_PATH);
  1019.                 MultiByteToWideChar(CP_ACP, 0, dllName, -1, wideDllName.data(), MAX_PATH);
  1020.  
  1021.                 OUTPUT("\n\tDLL NAME: %s\n", wideDllName.data());
  1022.                 OUTPUT("\tCharacteristics: 0x%X\n", pImportDesc->Characteristics);
  1023.                 OUTPUT("\tTimeDateStamp: 0x%X\n", pImportDesc->TimeDateStamp);
  1024.                 OUTPUT("\tForwarderChain: 0x%X\n", pImportDesc->ForwarderChain);
  1025.                 OUTPUT("\tFirstThunk: 0x%X\n", pImportDesc->FirstThunk);
  1026.                 OUTPUT("\n\tImported Functions:\n");
  1027.  
  1028.                 auto pThunk = (PIMAGE_THUNK_DATA64)PEHelpers::GetRvaPtr(
  1029.                     pImportDesc->OriginalFirstThunk ? pImportDesc->OriginalFirstThunk : pImportDesc->FirstThunk,
  1030.                     IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1031.                     analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1032.                     analyzer.lpFileContent);
  1033.  
  1034.                 while (pThunk && pThunk->u1.AddressOfData) {
  1035.                     if (!(pThunk->u1.Ordinal & IMAGE_ORDINAL_FLAG64)) {
  1036.                         auto pImportByName = (PIMAGE_IMPORT_BY_NAME)PEHelpers::GetRvaPtr(
  1037.                             (DWORD)pThunk->u1.AddressOfData,
  1038.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1039.                             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1040.                             analyzer.lpFileContent);
  1041.  
  1042.                         if (pImportByName && !IsBadReadPtr(pImportByName, sizeof(IMAGE_IMPORT_BY_NAME))) {
  1043.                             std::vector<wchar_t> wideFuncName(MAX_PATH);
  1044.                             MultiByteToWideChar(CP_ACP, 0, (char*)pImportByName->Name, -1,
  1045.                                 wideFuncName.data(), MAX_PATH);
  1046.                             OUTPUT("\t\t%s\n", wideFuncName.data());
  1047.                         }
  1048.                     }
  1049.                     else {
  1050.                         OUTPUT("\t\tOrdinal: %lld\n", pThunk->u1.Ordinal & 0xFFFF);
  1051.                     }
  1052.                     pThunk++;
  1053.                 }
  1054.             }
  1055.             pImportDesc++;
  1056.         }
  1057.     }
  1058.  
  1059.     void ParseImportDirectory(const PEAnalyzer& analyzer) {
  1060.         if (analyzer.is64Bit) {
  1061.             ParseImportDirectory64(analyzer);
  1062.         }
  1063.         else {
  1064.             ParseImportDirectory32(analyzer);
  1065.         }
  1066.     }
  1067.     //}
  1068.  
  1069.     void ParseExportDirectory32(const PEAnalyzer& analyzer) {
  1070.         const auto& exportDir = analyzer.pNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];
  1071.         if (!exportDir.VirtualAddress || !exportDir.Size) return;
  1072.  
  1073.         if (!PEHelpers::IsRvaValid(exportDir.VirtualAddress, analyzer.fileSize,
  1074.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders32))) {
  1075.             OUTPUT("[-] Invalid export directory RVA!\n");
  1076.             return;
  1077.         }
  1078.  
  1079.         OUTPUT("\n[+] EXPORT DIRECTORY (32-bit)\n");
  1080.         auto pExportDir = (PIMAGE_EXPORT_DIRECTORY)PEHelpers::GetRvaPtr(
  1081.             exportDir.VirtualAddress,
  1082.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1083.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1084.             analyzer.lpFileContent);
  1085.  
  1086.         if (!pExportDir || IsBadReadPtr(pExportDir, sizeof(IMAGE_EXPORT_DIRECTORY))) {
  1087.             OUTPUT("[-] Invalid export directory structure!\n");
  1088.             return;
  1089.         }
  1090.  
  1091.         OUTPUT("\tCharacteristics: 0x%X\n", pExportDir->Characteristics);
  1092.         OUTPUT("\tTimeDateStamp: 0x%X\n", pExportDir->TimeDateStamp);
  1093.         OUTPUT("\tMajorVersion: %d\n", pExportDir->MajorVersion);
  1094.         OUTPUT("\tMinorVersion: %d\n", pExportDir->MinorVersion);
  1095.         OUTPUT("\tName: 0x%X\n", pExportDir->Name);
  1096.         OUTPUT("\tBase: %d\n", pExportDir->Base);
  1097.         OUTPUT("\tNumberOfFunctions: %d\n", pExportDir->NumberOfFunctions);
  1098.         OUTPUT("\tNumberOfNames: %d\n", pExportDir->NumberOfNames);
  1099.         OUTPUT("\tAddressOfFunctions: 0x%X\n", pExportDir->AddressOfFunctions);
  1100.         OUTPUT("\tAddressOfNames: 0x%X\n", pExportDir->AddressOfNames);
  1101.         OUTPUT("\tAddressOfNameOrdinals: 0x%X\n\n", pExportDir->AddressOfNameOrdinals);
  1102.  
  1103.         auto pFunctions = (PDWORD)PEHelpers::GetRvaPtr(
  1104.             pExportDir->AddressOfFunctions,
  1105.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1106.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1107.             analyzer.lpFileContent);
  1108.  
  1109.         auto pNames = (PDWORD)PEHelpers::GetRvaPtr(
  1110.             pExportDir->AddressOfNames,
  1111.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1112.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1113.             analyzer.lpFileContent);
  1114.  
  1115.         auto pNameOrdinals = (PWORD)PEHelpers::GetRvaPtr(
  1116.             pExportDir->AddressOfNameOrdinals,
  1117.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1118.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1119.             analyzer.lpFileContent);
  1120.  
  1121.         if (!pNames || !pNameOrdinals || !pFunctions) {
  1122.             OUTPUT("[-] Invalid export address tables!\n");
  1123.             return;
  1124.         }
  1125.  
  1126.         OUTPUT("\tExported Functions:\n\n");
  1127.         for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
  1128.             if (IsBadReadPtr(pNames + i, sizeof(DWORD)) ||
  1129.                 IsBadReadPtr(pNameOrdinals + i, sizeof(WORD))) {
  1130.                 break;
  1131.             }
  1132.  
  1133.             const char* functionName = (const char*)PEHelpers::GetRvaPtr(
  1134.                 pNames[i],
  1135.                 IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1136.                 analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1137.                 analyzer.lpFileContent);
  1138.  
  1139.             if (functionName && !IsBadReadPtr(functionName, 1)) {
  1140.                 WORD ordinal = pNameOrdinals[i];
  1141.                 if (ordinal < pExportDir->NumberOfFunctions) {
  1142.                     DWORD functionRva = pFunctions[ordinal];
  1143.  
  1144.                     // Check for forwarded export
  1145.                     if (functionRva >= exportDir.VirtualAddress &&
  1146.                         functionRva < (exportDir.VirtualAddress + exportDir.Size)) {
  1147.  
  1148.                         const char* forwardName = (const char*)PEHelpers::GetRvaPtr(
  1149.                             functionRva,
  1150.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1151.                             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1152.                             analyzer.lpFileContent);
  1153.  
  1154.                         if (forwardName && !IsBadReadPtr(forwardName, 1)) {
  1155.                             std::vector<wchar_t> wideForwardName(MAX_PATH);
  1156.                             MultiByteToWideChar(CP_ACP, 0, forwardName, -1,
  1157.                                 wideForwardName.data(), MAX_PATH);
  1158.                             OUTPUT("\t\t%s (Ordinal: %d) -> Forward to: %s\n",
  1159.                                 functionName,
  1160.                                 ordinal + pExportDir->Base,
  1161.                                 wideForwardName.data());
  1162.                         }
  1163.                     }
  1164.                     else {
  1165.                         OUTPUT("\t\t%s (Ordinal: %d, RVA: 0x%08X)\n",
  1166.                             functionName,
  1167.                             ordinal + pExportDir->Base,
  1168.                             functionRva);
  1169.                     }
  1170.                 }
  1171.             }
  1172.         }
  1173.     }
  1174.  
  1175.     void ParseExportDirectory64(const PEAnalyzer& analyzer) {
  1176.         const auto& exportDir = analyzer.pNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];
  1177.         if (!exportDir.VirtualAddress || !exportDir.Size) return;
  1178.  
  1179.         if (!PEHelpers::IsRvaValid(exportDir.VirtualAddress, analyzer.fileSize,
  1180.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders64))) {
  1181.             OUTPUT("[-] Invalid export directory RVA!\n");
  1182.             return;
  1183.         }
  1184.  
  1185.         OUTPUT("\n[+] EXPORT DIRECTORY (64-bit)\n");
  1186.         // Rest of the implementation is identical to 32-bit version
  1187.         // Just using pNtHeaders64 instead of pNtHeaders64
  1188.         auto pExportDir = (PIMAGE_EXPORT_DIRECTORY)PEHelpers::GetRvaPtr(
  1189.             exportDir.VirtualAddress,
  1190.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1191.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1192.             analyzer.lpFileContent);
  1193.  
  1194.         if (!pExportDir || IsBadReadPtr(pExportDir, sizeof(IMAGE_EXPORT_DIRECTORY))) {
  1195.             OUTPUT("[-] Invalid export directory structure!\n");
  1196.             return;
  1197.         }
  1198.  
  1199.         OUTPUT("\tCharacteristics: 0x%X\n", pExportDir->Characteristics);
  1200.         OUTPUT("\tTimeDateStamp: 0x%X\n", pExportDir->TimeDateStamp);
  1201.         OUTPUT("\tMajorVersion: %d\n", pExportDir->MajorVersion);
  1202.         OUTPUT("\tMinorVersion: %d\n", pExportDir->MinorVersion);
  1203.         OUTPUT("\tName: 0x%X\n", pExportDir->Name);
  1204.         OUTPUT("\tBase: %d\n", pExportDir->Base);
  1205.         OUTPUT("\tNumberOfFunctions: %d\n", pExportDir->NumberOfFunctions);
  1206.         OUTPUT("\tNumberOfNames: %d\n", pExportDir->NumberOfNames);
  1207.         OUTPUT("\tAddressOfFunctions: 0x%X\n", pExportDir->AddressOfFunctions);
  1208.         OUTPUT("\tAddressOfNames: 0x%X\n", pExportDir->AddressOfNames);
  1209.         OUTPUT("\tAddressOfNameOrdinals: 0x%X\n\n", pExportDir->AddressOfNameOrdinals);
  1210.  
  1211.         auto pFunctions = (PDWORD)PEHelpers::GetRvaPtr(
  1212.             pExportDir->AddressOfFunctions,
  1213.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1214.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1215.             analyzer.lpFileContent);
  1216.  
  1217.         auto pNames = (PDWORD)PEHelpers::GetRvaPtr(
  1218.             pExportDir->AddressOfNames,
  1219.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1220.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1221.             analyzer.lpFileContent);
  1222.  
  1223.         auto pNameOrdinals = (PWORD)PEHelpers::GetRvaPtr(
  1224.             pExportDir->AddressOfNameOrdinals,
  1225.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1226.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1227.             analyzer.lpFileContent);
  1228.  
  1229.         if (!pNames || !pNameOrdinals || !pFunctions) {
  1230.             OUTPUT("[-] Invalid export address tables!\n");
  1231.             return;
  1232.         }
  1233.  
  1234.         OUTPUT("\tExported Functions:\n\n");
  1235.         for (DWORD i = 0; i < pExportDir->NumberOfNames; i++) {
  1236.             if (IsBadReadPtr(pNames + i, sizeof(DWORD)) ||
  1237.                 IsBadReadPtr(pNameOrdinals + i, sizeof(WORD))) {
  1238.                 break;
  1239.             }
  1240.  
  1241.             const char* functionName = (const char*)PEHelpers::GetRvaPtr(
  1242.                 pNames[i],
  1243.                 IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1244.                 analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1245.                 analyzer.lpFileContent);
  1246.  
  1247.             if (functionName && !IsBadReadPtr(functionName, 1)) {
  1248.                 WORD ordinal = pNameOrdinals[i];
  1249.                 if (ordinal < pExportDir->NumberOfFunctions) {
  1250.                     DWORD functionRva = pFunctions[ordinal];
  1251.  
  1252.                     // Check for forwarded export
  1253.                     if (functionRva >= exportDir.VirtualAddress &&
  1254.                         functionRva < (exportDir.VirtualAddress + exportDir.Size)) {
  1255.  
  1256.                         const char* forwardName = (const char*)PEHelpers::GetRvaPtr(
  1257.                             functionRva,
  1258.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1259.                             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1260.                             analyzer.lpFileContent);
  1261.  
  1262.                         if (forwardName && !IsBadReadPtr(forwardName, 1)) {
  1263.                             std::vector<wchar_t> wideForwardName(MAX_PATH);
  1264.                             MultiByteToWideChar(CP_ACP, 0, forwardName, -1,
  1265.                                 wideForwardName.data(), MAX_PATH);
  1266.                             OUTPUT("\t\t%s (Ordinal: %d) -> Forward to: %s\n",
  1267.                                 functionName,
  1268.                                 ordinal + pExportDir->Base,
  1269.                                 wideForwardName.data());
  1270.                         }
  1271.                     }
  1272.                     else {
  1273.                         OUTPUT("\t\t%s (Ordinal: %d, RVA: 0x%08X)\n",
  1274.                             functionName,
  1275.                             ordinal + pExportDir->Base,
  1276.                             functionRva);
  1277.                     }
  1278.                 }
  1279.             }
  1280.         }
  1281.     }
  1282.     // Copying the same logic as ParseExportDirectory32 but with 64-bit headers
  1283.     // ... [Same implementation as above, just using pNtHeaders64]
  1284.  
  1285.     void ParseExportDirectory(const PEAnalyzer& analyzer) {
  1286.         if (analyzer.is64Bit) {
  1287.             ParseExportDirectory64(analyzer);
  1288.         }
  1289.         else {
  1290.             ParseExportDirectory32(analyzer);
  1291.         }
  1292.     }
  1293.  
  1294.     void ProcessResourceDirectory32(
  1295.         PIMAGE_RESOURCE_DIRECTORY resDir,
  1296.         int level,
  1297.         const wchar_t* type,
  1298.         PIMAGE_RESOURCE_DIRECTORY baseResourceDir,
  1299.         const wchar_t* resourceTypes[],
  1300.         const PEAnalyzer& analyzer)
  1301.     {
  1302.         if (IsBadReadPtr(resDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  1303.             return;
  1304.         }
  1305.  
  1306.         auto entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(resDir + 1);
  1307.         WORD totalEntries = resDir->NumberOfNamedEntries + resDir->NumberOfIdEntries;
  1308.  
  1309.         for (WORD i = 0; i < totalEntries; i++) {
  1310.             if (IsBadReadPtr(entry + i, sizeof(IMAGE_RESOURCE_DIRECTORY_ENTRY))) {
  1311.                 break;
  1312.             }
  1313.  
  1314.             for (int indent = 0; indent < level; indent++) {
  1315.                 OUTPUT("\t");
  1316.             }
  1317.  
  1318.             if (entry[i].NameIsString) {
  1319.                 auto nameEntry = (PIMAGE_RESOURCE_DIR_STRING_U)((BYTE*)baseResourceDir + entry[i].NameOffset);
  1320.                 if (!IsBadReadPtr(nameEntry, sizeof(IMAGE_RESOURCE_DIR_STRING_U))) {
  1321.                     std::vector<wchar_t> resourceName(nameEntry->Length + 1);
  1322.                     wcsncpy_s(resourceName.data(), nameEntry->Length + 1,
  1323.                         nameEntry->NameString, nameEntry->Length);
  1324.                     resourceName[nameEntry->Length] = L'\0';
  1325.  
  1326.                     if (level == 0) {
  1327.                         OUTPUT("Resource Type: Custom (%s)\n", resourceName.data());
  1328.                     }
  1329.                     else {
  1330.                         OUTPUT("Name: %s\n", resourceName.data());
  1331.                     }
  1332.                 }
  1333.             }
  1334.             else {
  1335.                 if (level == 0) {
  1336.                     DWORD resourceType = entry[i].Id;
  1337.                     if (resourceType < 16) {
  1338.                         OUTPUT("Resource Type: %s (ID: %d)\n", resourceTypes[resourceType], resourceType);
  1339.                     }
  1340.                     else {
  1341.                         OUTPUT("Resource Type: Custom (ID: %d)\n", resourceType);
  1342.                     }
  1343.                 }
  1344.                 else {
  1345.                     OUTPUT("ID: %d\n", entry[i].Id);
  1346.                 }
  1347.             }
  1348.  
  1349.             if (entry[i].DataIsDirectory) {
  1350.                 auto nextDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)baseResourceDir + entry[i].OffsetToDirectory);
  1351.                 if (!IsBadReadPtr(nextDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  1352.                     ProcessResourceDirectory32(nextDir, level + 1,
  1353.                         level == 0 ? resourceTypes[min(entry[i].Id, 15)] : type,
  1354.                         baseResourceDir, resourceTypes, analyzer);
  1355.                 }
  1356.             }
  1357.             else {
  1358.                 auto dataEntry = (PIMAGE_RESOURCE_DATA_ENTRY)((BYTE*)baseResourceDir + entry[i].OffsetToData);
  1359.                 if (!IsBadReadPtr(dataEntry, sizeof(IMAGE_RESOURCE_DATA_ENTRY))) {
  1360.                     for (int indent = 0; indent < level + 1; indent++) {
  1361.                         OUTPUT("\t");
  1362.                     }
  1363.                     OUTPUT("Size: %d bytes, RVA: 0x%X\n", dataEntry->Size, dataEntry->OffsetToData);
  1364.  
  1365.                     // Special handling for Version resources
  1366.                     if (type && wcscmp(type, L"Version") == 0) {
  1367.                         auto versionData = (BYTE*)PEHelpers::GetRvaPtr(
  1368.                             dataEntry->OffsetToData,
  1369.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1370.                             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1371.                             analyzer.lpFileContent);
  1372.  
  1373.                         if (versionData && !IsBadReadPtr(versionData, sizeof(VS_FIXEDFILEINFO))) {
  1374.                             auto versionInfo = (VS_FIXEDFILEINFO*)(versionData + 40);
  1375.                             if (versionInfo->dwSignature == 0xFEEF04BD) {
  1376.                                 for (int indent = 0; indent < level + 2; indent++) {
  1377.                                     OUTPUT("\t");
  1378.                                 }
  1379.                                 OUTPUT("File Version: %d.%d.%d.%d\n",
  1380.                                     HIWORD(versionInfo->dwFileVersionMS),
  1381.                                     LOWORD(versionInfo->dwFileVersionMS),
  1382.                                     HIWORD(versionInfo->dwFileVersionLS),
  1383.                                     LOWORD(versionInfo->dwFileVersionLS));
  1384.                             }
  1385.                         }
  1386.                     }
  1387.                 }
  1388.             }
  1389.         }
  1390.     }
  1391.  
  1392.     void ProcessResourceDirectory64(
  1393.         PIMAGE_RESOURCE_DIRECTORY resDir,
  1394.         int level,
  1395.         const wchar_t* type,
  1396.         PIMAGE_RESOURCE_DIRECTORY baseResourceDir,
  1397.         const wchar_t* resourceTypes[],
  1398.         const PEAnalyzer& analyzer)
  1399.     {
  1400.         // Similar to ProcessResourceDirectory32 but using 64-bit structures
  1401.         // Main difference is using analyzer.pNtHeaders64 instead of analyzer.pNtHeaders32
  1402.         if (IsBadReadPtr(resDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  1403.             return;
  1404.             // Rest of the implementation follows the same pattern
  1405.         }
  1406.  
  1407.         auto entry = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(resDir + 1);
  1408.         WORD totalEntries = resDir->NumberOfNamedEntries + resDir->NumberOfIdEntries;
  1409.  
  1410.         for (WORD i = 0; i < totalEntries; i++) {
  1411.             if (IsBadReadPtr(entry + i, sizeof(IMAGE_RESOURCE_DIRECTORY_ENTRY))) {
  1412.                 break;
  1413.             }
  1414.  
  1415.             for (int indent = 0; indent < level; indent++) {
  1416.                 OUTPUT("\t");
  1417.             }
  1418.  
  1419.             if (entry[i].NameIsString) {
  1420.                 auto nameEntry = (PIMAGE_RESOURCE_DIR_STRING_U)((BYTE*)baseResourceDir + entry[i].NameOffset);
  1421.                 if (!IsBadReadPtr(nameEntry, sizeof(IMAGE_RESOURCE_DIR_STRING_U))) {
  1422.                     std::vector<wchar_t> resourceName(nameEntry->Length + 1);
  1423.                     wcsncpy_s(resourceName.data(), nameEntry->Length + 1,
  1424.                         nameEntry->NameString, nameEntry->Length);
  1425.                     resourceName[nameEntry->Length] = L'\0';
  1426.  
  1427.                     if (level == 0) {
  1428.                         OUTPUT("Resource Type: Custom (%s)\n", resourceName.data());
  1429.                     }
  1430.                     else {
  1431.                         OUTPUT("Name: %s\n", resourceName.data());
  1432.                     }
  1433.                 }
  1434.             }
  1435.             else {
  1436.                 if (level == 0) {
  1437.                     DWORD resourceType = entry[i].Id;
  1438.                     if (resourceType < 16) {
  1439.                         OUTPUT("Resource Type: %s (ID: %d)\n", resourceTypes[resourceType], resourceType);
  1440.                     }
  1441.                     else {
  1442.                         OUTPUT("Resource Type: Custom (ID: %d)\n", resourceType);
  1443.                     }
  1444.                 }
  1445.                 else {
  1446.                     OUTPUT("ID: %d\n", entry[i].Id);
  1447.                 }
  1448.             }
  1449.  
  1450.             if (entry[i].DataIsDirectory) {
  1451.                 auto nextDir = (PIMAGE_RESOURCE_DIRECTORY)((BYTE*)baseResourceDir + entry[i].OffsetToDirectory);
  1452.                 if (!IsBadReadPtr(nextDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  1453.                     ProcessResourceDirectory32(nextDir, level + 1,
  1454.                         level == 0 ? resourceTypes[min(entry[i].Id, 15)] : type,
  1455.                         baseResourceDir, resourceTypes, analyzer);
  1456.                 }
  1457.             }
  1458.             else {
  1459.                 auto dataEntry = (PIMAGE_RESOURCE_DATA_ENTRY)((BYTE*)baseResourceDir + entry[i].OffsetToData);
  1460.                 if (!IsBadReadPtr(dataEntry, sizeof(IMAGE_RESOURCE_DATA_ENTRY))) {
  1461.                     for (int indent = 0; indent < level + 1; indent++) {
  1462.                         OUTPUT("\t");
  1463.                     }
  1464.                     OUTPUT("Size: %d bytes, RVA: 0x%X\n", dataEntry->Size, dataEntry->OffsetToData);
  1465.  
  1466.                     // Special handling for Version resources
  1467.                     if (type && wcscmp(type, L"Version") == 0) {
  1468.                         auto versionData = (BYTE*)PEHelpers::GetRvaPtr(
  1469.                             dataEntry->OffsetToData,
  1470.                             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1471.                             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1472.                             analyzer.lpFileContent);
  1473.  
  1474.                         if (versionData && !IsBadReadPtr(versionData, sizeof(VS_FIXEDFILEINFO))) {
  1475.                             auto versionInfo = (VS_FIXEDFILEINFO*)(versionData + 40);
  1476.                             if (versionInfo->dwSignature == 0xFEEF04BD) {
  1477.                                 for (int indent = 0; indent < level + 2; indent++) {
  1478.                                     OUTPUT("\t");
  1479.                                 }
  1480.                                 OUTPUT("File Version: %d.%d.%d.%d\n",
  1481.                                     HIWORD(versionInfo->dwFileVersionMS),
  1482.                                     LOWORD(versionInfo->dwFileVersionMS),
  1483.                                     HIWORD(versionInfo->dwFileVersionLS),
  1484.                                     LOWORD(versionInfo->dwFileVersionLS));
  1485.                             }
  1486.                         }
  1487.                     }
  1488.                 }
  1489.             }
  1490.         }
  1491.     }
  1492.  
  1493.     void ParseResourceDirectory32(const PEAnalyzer& analyzer) {
  1494.         const auto& resourceDir = analyzer.pNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
  1495.         if (!resourceDir.VirtualAddress || !resourceDir.Size) return;
  1496.  
  1497.         if (!PEHelpers::IsRvaValid(resourceDir.VirtualAddress, analyzer.fileSize,
  1498.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders32))) {
  1499.             OUTPUT("[-] Invalid resource directory RVA!\n");
  1500.             return;
  1501.         }
  1502.  
  1503.         OUTPUT("\n[+] RESOURCE DIRECTORY (32-bit)\n");
  1504.         auto pResourceDir = (PIMAGE_RESOURCE_DIRECTORY)PEHelpers::GetRvaPtr(
  1505.             resourceDir.VirtualAddress,
  1506.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1507.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1508.             analyzer.lpFileContent);
  1509.  
  1510.         if (!pResourceDir || IsBadReadPtr(pResourceDir, sizeof(IMAGE_RESOURCE_DIRECTORY))) {
  1511.             OUTPUT("[-] Invalid or corrupted resource directory\n");
  1512.             return;
  1513.         }
  1514.  
  1515.         const wchar_t* resourceTypes[] = {
  1516.             L"Unknown",     L"Cursor",      L"Bitmap",      L"Icon",
  1517.             L"Menu",        L"Dialog",      L"String",      L"FontDir",
  1518.             L"Font",        L"Accelerator", L"RCData",      L"MessageTable",
  1519.             L"GroupCursor", L"GroupIcon",   L"Version",     L"DlgInclude"
  1520.         };
  1521.  
  1522.         ProcessResourceDirectory32(pResourceDir, 0, nullptr, pResourceDir, resourceTypes, analyzer);
  1523.     }
  1524.  
  1525.     void ParseResourceDirectory64(const PEAnalyzer& analyzer) {
  1526.         // Similar to ParseResourceDirectory32 but using 64-bit structures
  1527.         const auto& resourceDir = analyzer.pNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE];
  1528.         // Rest of implementation follows same pattern as 32-bit version
  1529.     }
  1530.  
  1531.     void ParseResourceDirectory(const PEAnalyzer& analyzer) {
  1532.         if (analyzer.is64Bit) {
  1533.             ParseResourceDirectory64(analyzer);
  1534.         }
  1535.         else {
  1536.             ParseResourceDirectory32(analyzer);
  1537.         }
  1538.     }
  1539.  
  1540.     void ParseDebugDirectory32(const PEAnalyzer& analyzer) {
  1541.         const auto& debugDir = analyzer.pNtHeaders32->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG];
  1542.         if (!debugDir.VirtualAddress || !debugDir.Size) return;
  1543.  
  1544.         if (!PEHelpers::IsRvaValid(debugDir.VirtualAddress, analyzer.fileSize,
  1545.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders32))) {
  1546.             OUTPUT("[-] Invalid debug directory RVA!\n");
  1547.             return;
  1548.         }
  1549.  
  1550.         OUTPUT("\n[+] DEBUG DIRECTORY (32-bit)\n");
  1551.         auto pDebugDir = (PIMAGE_DEBUG_DIRECTORY)PEHelpers::GetRvaPtr(
  1552.             debugDir.VirtualAddress,
  1553.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders32),
  1554.             analyzer.pNtHeaders32->FileHeader.NumberOfSections,
  1555.             analyzer.lpFileContent);
  1556.  
  1557.         if (!pDebugDir || IsBadReadPtr(pDebugDir, sizeof(IMAGE_DEBUG_DIRECTORY))) {
  1558.             OUTPUT("[-] Invalid debug directory structure!\n");
  1559.             return;
  1560.         }
  1561.  
  1562.         DWORD numEntries = min(debugDir.Size / sizeof(IMAGE_DEBUG_DIRECTORY), 16);
  1563.         for (DWORD i = 0; i < numEntries; i++) {
  1564.             OUTPUT("\tDebug Entry %d:\n", i + 1);
  1565.             OUTPUT("\tCharacteristics: 0x%X\n", pDebugDir[i].Characteristics);
  1566.             OUTPUT("\tTimeDateStamp: 0x%X\n", pDebugDir[i].TimeDateStamp);
  1567.             OUTPUT("\tMajorVersion: %d\n", pDebugDir[i].MajorVersion);
  1568.             OUTPUT("\tMinorVersion: %d\n", pDebugDir[i].MinorVersion);
  1569.             OUTPUT("\tType: 0x%X", pDebugDir[i].Type);
  1570.  
  1571.             switch (pDebugDir[i].Type) {
  1572.             case IMAGE_DEBUG_TYPE_COFF:
  1573.                 OUTPUT(" (COFF)\n"); break;
  1574.             case IMAGE_DEBUG_TYPE_CODEVIEW:
  1575.                 OUTPUT(" (CodeView)\n"); break;
  1576.             case IMAGE_DEBUG_TYPE_FPO:
  1577.                 OUTPUT(" (FPO)\n"); break;
  1578.             case IMAGE_DEBUG_TYPE_MISC:
  1579.                 OUTPUT(" (Misc)\n"); break;
  1580.             case IMAGE_DEBUG_TYPE_EXCEPTION:
  1581.                 OUTPUT(" (Exception)\n"); break;
  1582.             case IMAGE_DEBUG_TYPE_FIXUP:
  1583.                 OUTPUT(" (Fixup)\n"); break;
  1584.             case IMAGE_DEBUG_TYPE_OMAP_TO_SRC:
  1585.                 OUTPUT(" (OMAP to Src)\n"); break;
  1586.             case IMAGE_DEBUG_TYPE_OMAP_FROM_SRC:
  1587.                 OUTPUT(" (OMAP from Src)\n"); break;
  1588.             case IMAGE_DEBUG_TYPE_BORLAND:
  1589.                 OUTPUT(" (Borland)\n"); break;
  1590.             default:
  1591.                 OUTPUT(" (Unknown)\n"); break;
  1592.             }
  1593.  
  1594.             OUTPUT("\tSizeOfData: 0x%X\n", pDebugDir[i].SizeOfData);
  1595.             OUTPUT("\tAddressOfRawData: 0x%X\n", pDebugDir[i].AddressOfRawData);
  1596.             OUTPUT("\tPointerToRawData: 0x%X\n\n", pDebugDir[i].PointerToRawData);
  1597.  
  1598.             // Special handling for CodeView debug information
  1599.             if (pDebugDir[i].Type == IMAGE_DEBUG_TYPE_CODEVIEW &&
  1600.                 pDebugDir[i].PointerToRawData != 0 &&
  1601.                 pDebugDir[i].SizeOfData >= sizeof(DWORD)) {
  1602.  
  1603.                 auto pCVHeader = (DWORD*)((BYTE*)analyzer.lpFileContent + pDebugDir[i].PointerToRawData);
  1604.                 if (!IsBadReadPtr(pCVHeader, sizeof(DWORD))) {
  1605.                     switch (*pCVHeader) {
  1606.                     case 0x53445352: // 'RSDS'
  1607.                         if (pDebugDir[i].SizeOfData >= (sizeof(DWORD) + sizeof(GUID) + sizeof(DWORD) + 1)) {
  1608.                             auto pCVData = (char*)(pCVHeader + 1);
  1609.                             if (!IsBadReadPtr(pCVData + 16, 1)) {
  1610.                                 auto guid = (GUID*)pCVData;
  1611.                                 DWORD age = *(DWORD*)(pCVData + 16);
  1612.                                 const char* pdbPath = pCVData + 20;
  1613.  
  1614.                                 OUTPUT("\tPDB Information:\n");
  1615.                                 OUTPUT("\tGUID: {%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}\n",
  1616.                                     guid->Data1, guid->Data2, guid->Data3,
  1617.                                     guid->Data4[0], guid->Data4[1], guid->Data4[2], guid->Data4[3],
  1618.                                     guid->Data4[4], guid->Data4[5], guid->Data4[6], guid->Data4[7]);
  1619.                                 OUTPUT("\tAge: %d\n", age);
  1620.                                 OUTPUT("\tPDB Path: %s\n\n", pdbPath);
  1621.                             }
  1622.                         }
  1623.                         break;
  1624.  
  1625.                     case 0x3031424E: // 'NB10'
  1626.                         if (pDebugDir[i].SizeOfData >= 16) {
  1627.                             auto pNB10Data = (char*)(pCVHeader + 1);
  1628.                             DWORD offset = *(DWORD*)pNB10Data;
  1629.                             DWORD timestamp = *(DWORD*)(pNB10Data + 4);
  1630.                             DWORD age = *(DWORD*)(pNB10Data + 8);
  1631.                             const char* pdbPath = pNB10Data + 12;
  1632.  
  1633.                             OUTPUT("\tPDB Information (NB10):\n");
  1634.                             OUTPUT("\tOffset: 0x%X\n", offset);
  1635.                             OUTPUT("\tTimestamp: 0x%X\n", timestamp);
  1636.                             OUTPUT("\tAge: %d\n", age);
  1637.                             OUTPUT("\tPDB Path: %s\n\n", pdbPath);
  1638.                         }
  1639.                         break;
  1640.                     }
  1641.                 }
  1642.             }
  1643.         }
  1644.     }
  1645.  
  1646.     void ParseDebugDirectory64(const PEAnalyzer& analyzer) {
  1647.         const auto& debugDir = analyzer.pNtHeaders64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG];
  1648.         if (!debugDir.VirtualAddress || !debugDir.Size) return;
  1649.  
  1650.         if (!PEHelpers::IsRvaValid(debugDir.VirtualAddress, analyzer.fileSize,
  1651.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders64))) {
  1652.             OUTPUT("[-] Invalid debug directory RVA!\n");
  1653.             return;
  1654.         }
  1655.  
  1656.         OUTPUT("\n[+] DEBUG DIRECTORY (64-bit)\n");
  1657.         // Rest of implementation follows same pattern as 32-bit version
  1658.         // Just using pNtHeaders64 instead of pNtHeaders32
  1659.         auto pDebugDir = (PIMAGE_DEBUG_DIRECTORY)PEHelpers::GetRvaPtr(
  1660.             debugDir.VirtualAddress,
  1661.             IMAGE_FIRST_SECTION(analyzer.pNtHeaders64),
  1662.             analyzer.pNtHeaders64->FileHeader.NumberOfSections,
  1663.             analyzer.lpFileContent);
  1664.  
  1665.         if (!pDebugDir || IsBadReadPtr(pDebugDir, sizeof(IMAGE_DEBUG_DIRECTORY))) {
  1666.             OUTPUT("[-] Invalid debug directory structure!\n");
  1667.             return;
  1668.         }
  1669.  
  1670.         DWORD numEntries = min(debugDir.Size / sizeof(IMAGE_DEBUG_DIRECTORY), 16);
  1671.         for (DWORD i = 0; i < numEntries; i++) {
  1672.             OUTPUT("\tDebug Entry %d:\n", i + 1);
  1673.             OUTPUT("\tCharacteristics: 0x%X\n", pDebugDir[i].Characteristics);
  1674.             OUTPUT("\tTimeDateStamp: 0x%X\n", pDebugDir[i].TimeDateStamp);
  1675.             OUTPUT("\tMajorVersion: %d\n", pDebugDir[i].MajorVersion);
  1676.             OUTPUT("\tMinorVersion: %d\n", pDebugDir[i].MinorVersion);
  1677.             OUTPUT("\tType: 0x%X", pDebugDir[i].Type);
  1678.  
  1679.             switch (pDebugDir[i].Type) {
  1680.             case IMAGE_DEBUG_TYPE_COFF:
  1681.                 OUTPUT(" (COFF)\n"); break;
  1682.             case IMAGE_DEBUG_TYPE_CODEVIEW:
  1683.                 OUTPUT(" (CodeView)\n"); break;
  1684.             case IMAGE_DEBUG_TYPE_FPO:
  1685.                 OUTPUT(" (FPO)\n"); break;
  1686.             case IMAGE_DEBUG_TYPE_MISC:
  1687.                 OUTPUT(" (Misc)\n"); break;
  1688.             case IMAGE_DEBUG_TYPE_EXCEPTION:
  1689.                 OUTPUT(" (Exception)\n"); break;
  1690.             case IMAGE_DEBUG_TYPE_FIXUP:
  1691.                 OUTPUT(" (Fixup)\n"); break;
  1692.             case IMAGE_DEBUG_TYPE_OMAP_TO_SRC:
  1693.                 OUTPUT(" (OMAP to Src)\n"); break;
  1694.             case IMAGE_DEBUG_TYPE_OMAP_FROM_SRC:
  1695.                 OUTPUT(" (OMAP from Src)\n"); break;
  1696.             case IMAGE_DEBUG_TYPE_BORLAND:
  1697.                 OUTPUT(" (Borland)\n"); break;
  1698.             default:
  1699.                 OUTPUT(" (Unknown)\n"); break;
  1700.             }
  1701.  
  1702.             OUTPUT("\tSizeOfData: 0x%X\n", pDebugDir[i].SizeOfData);
  1703.             OUTPUT("\tAddressOfRawData: 0x%X\n", pDebugDir[i].AddressOfRawData);
  1704.             OUTPUT("\tPointerToRawData: 0x%X\n\n", pDebugDir[i].PointerToRawData);
  1705.  
  1706.             // Special handling for CodeView debug information
  1707.             if (pDebugDir[i].Type == IMAGE_DEBUG_TYPE_CODEVIEW &&
  1708.                 pDebugDir[i].PointerToRawData != 0 &&
  1709.                 pDebugDir[i].SizeOfData >= sizeof(DWORD)) {
  1710.  
  1711.                 auto pCVHeader = (DWORD*)((BYTE*)analyzer.lpFileContent + pDebugDir[i].PointerToRawData);
  1712.                 if (!IsBadReadPtr(pCVHeader, sizeof(DWORD))) {
  1713.                     switch (*pCVHeader) {
  1714.                     case 0x53445352: // 'RSDS'
  1715.                         if (pDebugDir[i].SizeOfData >= (sizeof(DWORD) + sizeof(GUID) + sizeof(DWORD) + 1)) {
  1716.                             auto pCVData = (char*)(pCVHeader + 1);
  1717.                             if (!IsBadReadPtr(pCVData + 16, 1)) {
  1718.                                 auto guid = (GUID*)pCVData;
  1719.                                 DWORD age = *(DWORD*)(pCVData + 16);
  1720.                                 const char* pdbPath = pCVData + 20;
  1721.  
  1722.                                 OUTPUT("\tPDB Information:\n");
  1723.                                 OUTPUT("\tGUID: {%08X-%04X-%04X-%02X%02X-%02X%02X%02X%02X%02X%02X}\n",
  1724.                                     guid->Data1, guid->Data2, guid->Data3,
  1725.                                     guid->Data4[0], guid->Data4[1], guid->Data4[2], guid->Data4[3],
  1726.                                     guid->Data4[4], guid->Data4[5], guid->Data4[6], guid->Data4[7]);
  1727.                                 OUTPUT("\tAge: %d\n", age);
  1728.                                 OUTPUT("\tPDB Path: %s\n\n", pdbPath);
  1729.                             }
  1730.                         }
  1731.                         break;
  1732.  
  1733.                     case 0x3031424E: // 'NB10'
  1734.                         if (pDebugDir[i].SizeOfData >= 16) {
  1735.                             auto pNB10Data = (char*)(pCVHeader + 1);
  1736.                             DWORD offset = *(DWORD*)pNB10Data;
  1737.                             DWORD timestamp = *(DWORD*)(pNB10Data + 4);
  1738.                             DWORD age = *(DWORD*)(pNB10Data + 8);
  1739.                             const char* pdbPath = pNB10Data + 12;
  1740.  
  1741.                             OUTPUT("\tPDB Information (NB10):\n");
  1742.                             OUTPUT("\tOffset: 0x%X\n", offset);
  1743.                             OUTPUT("\tTimestamp: 0x%X\n", timestamp);
  1744.                             OUTPUT("\tAge: %d\n", age);
  1745.                             OUTPUT("\tPDB Path: %s\n\n", pdbPath);
  1746.                         }
  1747.                         break;
  1748.                     }
  1749.                 }
  1750.             }
  1751.         }
  1752.     }
  1753.     // ... [Same implementation as ParseDebugDirectory32]
  1754.  
  1755.     void ParseDebugDirectory(const PEAnalyzer& analyzer) {
  1756.         if (analyzer.is64Bit) {
  1757.             ParseDebugDirectory64(analyzer);
  1758.         }
  1759.         else {
  1760.             ParseDebugDirectory32(analyzer);
  1761.         }
  1762.     }
  1763.  
  1764.     // Add Section Parser if not already defined
  1765.     void ParseSections(const PEAnalyzer& analyzer) {
  1766.         OUTPUT("[+] SECTION HEADERS\n");
  1767.  
  1768.         PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(
  1769.             analyzer.is64Bit ?
  1770.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders64) :
  1771.             reinterpret_cast<PIMAGE_NT_HEADERS>(analyzer.pNtHeaders32));
  1772.  
  1773.         WORD numberOfSections = analyzer.is64Bit ?
  1774.             analyzer.pNtHeaders64->FileHeader.NumberOfSections :
  1775.             analyzer.pNtHeaders32->FileHeader.NumberOfSections;
  1776.  
  1777.         for (WORD i = 0; i < numberOfSections; i++, pSection++) {
  1778.             if (IsBadReadPtr(pSection, sizeof(IMAGE_SECTION_HEADER))) {
  1779.                 OUTPUT("[-] Invalid section header detected!\n");
  1780.                 break;
  1781.             }
  1782.  
  1783.             char sectionName[IMAGE_SIZEOF_SHORT_NAME + 1] = {};
  1784.             memcpy(sectionName, pSection->Name, IMAGE_SIZEOF_SHORT_NAME);
  1785.  
  1786.             // Ensure section name is printable
  1787.             for (int j = 0; j < IMAGE_SIZEOF_SHORT_NAME; j++) {
  1788.                 if (!isprint(static_cast<unsigned char>(sectionName[j]))) {
  1789.                     sectionName[j] = '\0';
  1790.                 }
  1791.             }
  1792.  
  1793.             wchar_t wideSectionName[IMAGE_SIZEOF_SHORT_NAME + 1] = {};
  1794.             MultiByteToWideChar(CP_ACP, MB_PRECOMPOSED,
  1795.                 sectionName, -1,
  1796.                 wideSectionName, IMAGE_SIZEOF_SHORT_NAME + 1);
  1797.  
  1798.             OUTPUT("\tSECTION: %s\n", wideSectionName);
  1799.             OUTPUT("\t\tVirtualSize: 0x%X\n", pSection->Misc.VirtualSize);
  1800.             OUTPUT("\t\tVirtualAddress: 0x%X\n", pSection->VirtualAddress);
  1801.             OUTPUT("\t\tSizeOfRawData: 0x%X\n", pSection->SizeOfRawData);
  1802.             OUTPUT("\t\tPointerToRawData: 0x%X\n", pSection->PointerToRawData);
  1803.             OUTPUT("\t\tPointerToRelocations: 0x%X\n", pSection->PointerToRelocations);
  1804.             OUTPUT("\t\tPointerToLinenumbers: 0x%X\n", pSection->PointerToLinenumbers);
  1805.             OUTPUT("\t\tNumberOfRelocations: 0x%X\n", pSection->NumberOfRelocations);
  1806.             OUTPUT("\t\tNumberOfLinenumbers: 0x%X\n", pSection->NumberOfLinenumbers);
  1807.             OUTPUT("\t\tCharacteristics: 0x%X %s\n\n",
  1808.                 pSection->Characteristics,
  1809.                 PEHelpers::GetSectionProtection(pSection->Characteristics).c_str());
  1810.         }
  1811.     } //end of parsesection here
  1812.  
  1813.     void AnalyzePEFile(const wchar_t* filePathW) {
  1814.         OUTPUT("[+] Starting PE Analysis for: %s\n\n", filePathW);
  1815.         ShowProgress(10);
  1816.  
  1817.         PEAnalyzer analyzer;
  1818.         if (!PEParser::InitializePEAnalyzer(analyzer, filePathW)) {
  1819.             SetStatusText(L"Failed to initialize PE analysis!");
  1820.             return;
  1821.         }
  1822.  
  1823.         ShowProgress(20);
  1824.  
  1825.         // Basic PE Information
  1826.         OUTPUT("[+] PE IMAGE INFORMATION\n\n");
  1827.         OUTPUT("[+] Architecture: %s\n\n", analyzer.is64Bit ? "x64" : "x86");
  1828.  
  1829.         // DOS Header
  1830.         OUTPUT("[+] DOS HEADER\n");
  1831.         OUTPUT("\te_magic    : 0x%X\n", analyzer.pDosHeader->e_magic);
  1832.         OUTPUT("\te_cblp     : 0x%X\n", analyzer.pDosHeader->e_cblp);
  1833.         OUTPUT("\te_cp       : 0x%X\n", analyzer.pDosHeader->e_cp);
  1834.         OUTPUT("\te_crlc     : 0x%X\n", analyzer.pDosHeader->e_crlc);
  1835.         OUTPUT("\te_cparhdr  : 0x%X\n", analyzer.pDosHeader->e_cparhdr);
  1836.         OUTPUT("\te_minalloc : 0x%X\n", analyzer.pDosHeader->e_minalloc);
  1837.         OUTPUT("\te_maxalloc : 0x%X\n", analyzer.pDosHeader->e_maxalloc);
  1838.         OUTPUT("\te_ss       : 0x%X\n", analyzer.pDosHeader->e_ss);
  1839.         OUTPUT("\te_sp       : 0x%X\n", analyzer.pDosHeader->e_sp);
  1840.         OUTPUT("\te_csum     : 0x%X\n", analyzer.pDosHeader->e_csum);
  1841.         OUTPUT("\te_ip       : 0x%X\n", analyzer.pDosHeader->e_ip);
  1842.         OUTPUT("\te_cs       : 0x%X\n", analyzer.pDosHeader->e_cs);
  1843.         OUTPUT("\te_lfarlc   : 0x%X\n", analyzer.pDosHeader->e_lfarlc);
  1844.         OUTPUT("\te_ovno     : 0x%X\n", analyzer.pDosHeader->e_ovno);
  1845.         OUTPUT("\te_oemid    : 0x%X\n", analyzer.pDosHeader->e_oemid);
  1846.         OUTPUT("\te_oeminfo  : 0x%X\n", analyzer.pDosHeader->e_oeminfo);
  1847.         OUTPUT("\te_lfanew   : 0x%X\n\n", analyzer.pDosHeader->e_lfanew);
  1848.  
  1849.         ShowProgress(30);
  1850.  
  1851.         // NT Headers
  1852.         if (analyzer.is64Bit) {
  1853.             OUTPUT("[+] NT HEADER (64-bit)\n");
  1854.             OUTPUT("\tSignature: 0x%X\n\n", analyzer.pNtHeaders64->Signature);
  1855.  
  1856.             OUTPUT("[+] FILE HEADER\n");
  1857.             OUTPUT("\tMachine: 0x%X\n", analyzer.pNtHeaders64->FileHeader.Machine);
  1858.             OUTPUT("\tNumberOfSections: 0x%X\n", analyzer.pNtHeaders64->FileHeader.NumberOfSections);
  1859.             OUTPUT("\tTimeDateStamp: 0x%X\n", analyzer.pNtHeaders64->FileHeader.TimeDateStamp);
  1860.             OUTPUT("\tPointerToSymbolTable: 0x%X\n", analyzer.pNtHeaders64->FileHeader.PointerToSymbolTable);
  1861.             OUTPUT("\tNumberOfSymbols: 0x%X\n", analyzer.pNtHeaders64->FileHeader.NumberOfSymbols);
  1862.             OUTPUT("\tSizeOfOptionalHeader: 0x%X\n", analyzer.pNtHeaders64->FileHeader.SizeOfOptionalHeader);
  1863.             OUTPUT("\tCharacteristics: 0x%X %s\n\n",
  1864.                 analyzer.pNtHeaders64->FileHeader.Characteristics,
  1865.                 PEHelpers::GetImageCharacteristics(analyzer.pNtHeaders64->FileHeader.Characteristics).c_str());
  1866.  
  1867.             OUTPUT("[+] OPTIONAL HEADER\n");
  1868.             OUTPUT("\tMagic: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.Magic);
  1869.             OUTPUT("\tAddressOfEntryPoint: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.AddressOfEntryPoint);
  1870.             OUTPUT("\tImageBase: 0x%llX\n", analyzer.pNtHeaders64->OptionalHeader.ImageBase);
  1871.             OUTPUT("\tSectionAlignment: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.SectionAlignment);
  1872.             OUTPUT("\tFileAlignment: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.FileAlignment);
  1873.             OUTPUT("\tMajorOperatingSystemVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MajorOperatingSystemVersion);
  1874.             OUTPUT("\tMinorOperatingSystemVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MinorOperatingSystemVersion);
  1875.             OUTPUT("\tMajorImageVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MajorImageVersion);
  1876.             OUTPUT("\tMinorImageVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MinorImageVersion);
  1877.             OUTPUT("\tMajorSubsystemVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MajorSubsystemVersion);
  1878.             OUTPUT("\tMinorSubsystemVersion: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.MinorSubsystemVersion);
  1879.             OUTPUT("\tWin32VersionValue: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.Win32VersionValue);
  1880.             OUTPUT("\tSizeOfImage: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.SizeOfImage);
  1881.             OUTPUT("\tSizeOfHeaders: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.SizeOfHeaders);
  1882.             OUTPUT("\tCheckSum: 0x%X\n", analyzer.pNtHeaders64->OptionalHeader.CheckSum);
  1883.             OUTPUT("\tSubsystem: 0x%X %s\n\n",
  1884.                 analyzer.pNtHeaders64->OptionalHeader.Subsystem,
  1885.                 PEHelpers::GetSubsystem(analyzer.pNtHeaders64->OptionalHeader.Subsystem).c_str());
  1886.         }
  1887.         else {
  1888.             // Similar output for 32-bit headers using analyzer.pNtHeaders32
  1889.             //if (analyzer.is64Bit) {
  1890.             OUTPUT("[+] NT HEADER (32-bit)\n");
  1891.             OUTPUT("\tSignature: 0x%X\n\n", analyzer.pNtHeaders32->Signature);
  1892.  
  1893.             OUTPUT("[+] FILE HEADER\n");
  1894.             OUTPUT("\tMachine: 0x%X\n", analyzer.pNtHeaders32->FileHeader.Machine);
  1895.             OUTPUT("\tNumberOfSections: 0x%X\n", analyzer.pNtHeaders32->FileHeader.NumberOfSections);
  1896.             OUTPUT("\tTimeDateStamp: 0x%X\n", analyzer.pNtHeaders32->FileHeader.TimeDateStamp);
  1897.             OUTPUT("\tPointerToSymbolTable: 0x%X\n", analyzer.pNtHeaders32->FileHeader.PointerToSymbolTable);
  1898.             OUTPUT("\tNumberOfSymbols: 0x%X\n", analyzer.pNtHeaders32->FileHeader.NumberOfSymbols);
  1899.             OUTPUT("\tSizeOfOptionalHeader: 0x%X\n", analyzer.pNtHeaders32->FileHeader.SizeOfOptionalHeader);
  1900.             OUTPUT("\tCharacteristics: 0x%X %s\n\n",
  1901.                 analyzer.pNtHeaders32->FileHeader.Characteristics,
  1902.                 PEHelpers::GetImageCharacteristics(analyzer.pNtHeaders32->FileHeader.Characteristics).c_str());
  1903.  
  1904.             OUTPUT("[+] OPTIONAL HEADER\n");
  1905.             OUTPUT("\tMagic: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.Magic);
  1906.             OUTPUT("\tAddressOfEntryPoint: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.AddressOfEntryPoint);
  1907.             OUTPUT("\tImageBase: 0x%llX\n", analyzer.pNtHeaders32->OptionalHeader.ImageBase);
  1908.             OUTPUT("\tSectionAlignment: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.SectionAlignment);
  1909.             OUTPUT("\tFileAlignment: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.FileAlignment);
  1910.             OUTPUT("\tMajorOperatingSystemVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MajorOperatingSystemVersion);
  1911.             OUTPUT("\tMinorOperatingSystemVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MinorOperatingSystemVersion);
  1912.             OUTPUT("\tMajorImageVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MajorImageVersion);
  1913.             OUTPUT("\tMinorImageVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MinorImageVersion);
  1914.             OUTPUT("\tMajorSubsystemVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MajorSubsystemVersion);
  1915.             OUTPUT("\tMinorSubsystemVersion: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.MinorSubsystemVersion);
  1916.             OUTPUT("\tWin32VersionValue: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.Win32VersionValue);
  1917.             OUTPUT("\tSizeOfImage: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.SizeOfImage);
  1918.             OUTPUT("\tSizeOfHeaders: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.SizeOfHeaders);
  1919.             OUTPUT("\tCheckSum: 0x%X\n", analyzer.pNtHeaders32->OptionalHeader.CheckSum);
  1920.             OUTPUT("\tSubsystem: 0x%X %s\n\n",
  1921.                 analyzer.pNtHeaders32->OptionalHeader.Subsystem,
  1922.                 PEHelpers::GetSubsystem(analyzer.pNtHeaders32->OptionalHeader.Subsystem).c_str());
  1923.             // ... [32-bit header output code]
  1924.         }
  1925.  
  1926.         ShowProgress(40);
  1927.  
  1928.         // Parse Data Directories
  1929.         OUTPUT("[+] DATA DIRECTORIES\n");
  1930.         const IMAGE_DATA_DIRECTORY* dataDirectories = analyzer.is64Bit ?
  1931.             analyzer.pNtHeaders64->OptionalHeader.DataDirectory :
  1932.             analyzer.pNtHeaders32->OptionalHeader.DataDirectory;
  1933.  
  1934.         for (int i = 0; i < IMAGE_NUMBEROF_DIRECTORY_ENTRIES; i++) {
  1935.             if (dataDirectories[i].VirtualAddress != 0) {
  1936.                 OUTPUT("\t%s:\n", PEHelpers::GetDataDirectoryName(i).c_str());
  1937.                 OUTPUT("\t\tVirtualAddress: 0x%X\n", dataDirectories[i].VirtualAddress);
  1938.                 OUTPUT("\t\tSize: 0x%X\n", dataDirectories[i].Size);
  1939.             }
  1940.         }
  1941.         OUTPUT("\n");
  1942.  
  1943.         ShowProgress(50);
  1944.  
  1945.         // Parse Sections
  1946.         PEParser::ParseSections(analyzer);
  1947.         ShowProgress(60);
  1948.  
  1949.         // Parse Import Directory
  1950.         PEParser::ParseImportDirectory(analyzer);
  1951.         ShowProgress(70);
  1952.  
  1953.         // Parse Export Directory
  1954.         PEParser::ParseExportDirectory(analyzer);
  1955.         ShowProgress(80);
  1956.  
  1957.         // Parse Resource Directory
  1958.         PEParser::ParseResourceDirectory(analyzer);
  1959.         ShowProgress(90);
  1960.  
  1961.         // Parse Debug Directory
  1962.         PEParser::ParseDebugDirectory(analyzer);
  1963.  
  1964.         ShowProgress(100);
  1965.         SetStatusText(L"Analysis complete");
  1966.         ShowWindow(g_hProgressBar, SW_HIDE);
  1967.     }
  1968.  
  1969.            
  1970.         //}
  1971.  
  1972.         //UpdateEditControl();
  1973.     //}
  1974.  
  1975.     // new code upto here ending here ^^
  1976.     //
  1977.     //######################################################################################
  1978.     //######################################################################################
  1979.     //        ##    endroughxfer - urldump #1#
  1980.     //        ##    <EOF><EOF>
  1981.     //######################################################################################
  1982.     //######################################################################################
  1983.         //end adding here
  1984.  
  1985.  
  1986.  
  1987.     //filePathW
  1988.     //lpFilePath
  1989.     HANDLE GetFileContent(const wchar_t* lpFilePath) {
  1990.         HANDLE hFile = CreateFileW(lpFilePath, GENERIC_READ, 0, nullptr, OPEN_EXISTING, 0, nullptr);
  1991.         if (hFile == INVALID_HANDLE_VALUE) return nullptr;
  1992.         DWORD fileSize = GetFileSize(hFile, nullptr);
  1993.         auto lpFileContent = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, fileSize);
  1994.         DWORD bytesRead;
  1995.         ReadFile(hFile, lpFileContent, fileSize, &bytesRead, nullptr);
  1996.         CloseHandle(hFile);
  1997.         return lpFileContent;
  1998.     }
  1999.  
  2000.     void UpdateEditControl() {
  2001.         SetWindowTextW(g_hEditControl, g_OutputText.str().c_str());
  2002.         SendMessage(g_hEditControl, EM_SETSEL, -1, -1);
  2003.         SendMessage(g_hEditControl, EM_SCROLLCARET, 0, 0);
  2004.         }
  2005.     }
Tags: #minor-typos
Add Comment
Please, Sign In to add comment