使用Python判断文件是否为PE文件

PE的全称是Portable Executable，指可移植的可执行文件，目前的最新版本是2013年2月6日发布的8.3版。PE文件包括exe文件、com文件、dll文件、ocx文件、sys文件、scr文件等Windows平台上所有可执行文件类型，可以说PE文件是Windows操作系统和Windows平台上所有软件和程序能够正常运行的重要基础。

# -*- coding:utf-8 -*-

import sys

import os

if len(sys.argv)!=2:

print('Usage: {0} anotherFile'.format(sys.argv[0]))

sys.exit()

filename = sys.argv[1] #获取要检测的文件名

if not os.path.isfile(filename): #判断是否为文件

print(filename + ' is not file.')

sys.exit()

with open(filename, 'rb') as fp:

flag1 = fp.read(2) #读取文件前两个字节

fp.seek(0x3c) #获取PE头偏移

offset = ord(fp.read(1))

fp.seek(offset)

flag2 = fp.read(4) #获取PE头签名

if flag1==b'MZ' and flag2==b'PE\x00\x00': #判断是否为PE文件的典型特征签名

print(filename + ' is a PE file.')

else:

print(filename + ' is not a PE file.')