Hi.
Zuerst mal SORRY, das mir beim letzten Thread ein Fehler unterlaufen ist. OK Hier nun mein Problem:

Wie kann man den PE-Header einer Datei auslesen? Es gibt ja Tools, die einem die Sections, den möglichen Compiler bzw. Exe-Packer anzeigen. Meine Frage hierzu ist, wie kann man so etwas anstellen, um zum Beispiel herauszufinden, ob es sich um ein mit Delphi compiliertes Programm handelt?

Vielen Dank schon mal im voraus...

mit CreateFileA öffnen und dann auslesen

schau dir mal cvs.sourceforge.net/...phia/uallCollection/
an, da benutze ich das ziemlich oft (uallHook.InjectMe usw)

Stichworte:
TImageNtHEaders
TImageDosHeader
TImageSectionHeader usw.

Vielen Dank für den Link. Aber das Package kann ich nicht verwenden. Ich hab Delpi 4 C/S und es hagelt Fehlermeldungen ("Inkompatible Typen Cardinal und Pointer", etc.) ohne Ende. Ich hab zwar noch ältere Versionen von diesen Dateien, aber da ist genau das gleiche Problem.

In den Sourcen der DElphi IDE Erweiterung GExperts ist ein PE Viewer drin. Da das OSS ist kannst du da ja mal schauen...

Das Package dort im Repo ist ja auch (wie es der Dateiname verrät) für D7 gedacht. Für D5 und D6 läuft der Source auf jeden Fall, bzgl. D4 müsste man mal bei Gelegenheit schauen, woran es liegt, weil der Source eigentlich auch für D4 gedacht ist.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.