PE文件简介(一)-数据结构

最新推荐文章于 2022-08-07 13:37:56 发布
最新推荐文章于 2022-08-07 13:37:56 发布
阅读量854 收藏
点赞数
分类专栏: VC&&C++ 文章标签: 数据结构 header image struct dos file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonnk/article/details/1505829
版权

PE文件主要涉及的数据结构:
MS-DOS头占据PE文件的头64(0x40)个字节。反映它的内容的一个结构如下所述:

WINNT.H

 typedef struct _IMAGE_DOS_HEADER {  // DOS下的.EXE文件头
     USHORT e_magic;         // 魔数
     USHORT e_cblp;          // 文件最后一页的字节数
     USHORT e_cp;            // 文件的页数
     USHORT e_crlc;          // 重定位
     USHORT e_cparhdr;       // 段中头的大小
     USHORT e_minalloc;      // 需要的最少额外段
     USHORT e_maxalloc;      // 需要的最多额外段
     USHORT e_ss;            // 初始的(相对的)SS寄存器值
     USHORT e_sp;            // 初始的SP寄存器值
     USHORT e_csum;          // 校验和
     USHORT e_ip;            // 初始的IP寄存器值
     USHORT e_cs;            // 初始的(相对的)CS寄存器值
     USHORT e_lfarlc;        // 重定位表在文件中的地址
     USHORT e_ovno;          // 交叠数
     USHORT e_res[4];        // 保留字
     USHORT e_oemid;         // OEM识别符(用于e_oeminfo成员)
     USHORT e_oeminfo;       // OEM信息; e_oemid中指定的
     USHORT e_res2[10];      // 保留字
     LONG   e_lfanew;        // 新exe头在文件中的地址
   } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
其中最后一个e_lfanew最为重要,它指出了IMAGE_NT_HEADER的文件内偏移,帮助我们读取IMAGE_NT_HEADER.

下来就是PE头了:
PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下:

IMAGE_NT_HEADERS STRUCT
   Signature dd ?
   FileHeader IMAGE_FILE_HEADER <>
   OptionalHeader IMAGE_OPTIONAL_HEADER32 <>
IMAGE_NT_HEADERS ENDS


 typedef struct _IMAGE_FILE_HEADER {
     USHORT  Machine;                 //机器
     USHORT  NumberOfSections;        //节数
     ULONG   TimeDateStamp;           //时间日期戳
     ULONG   PointerToSymbolTable;    //符号表指针
     ULONG   NumberOfSymbols;         //符号数
     USHORT  SizeOfOptionalHeader;    //可选头的大小
     USHORT  Characteristics;         //特性
 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 typedef struct _IMAGE_OPTIONAL_HEADER {
     //
     //标准域
     //
     USHORT  Magic;                   //魔数
     UCHAR   MajorLinkerVersion;      //链接器主版本号
     UCHAR   MinorLinkerVersion;      //链接器小版本号
     ULONG   SizeOfCode;              //代码大小
     ULONG   SizeOfInitializedData;   //已初始化数据大小
     ULONG   SizeOfUninitializedData; //未初始化数据大小
     ULONG   AddressOfEntryPoint;     //入口点地址
     ULONG   BaseOfCode;              //代码基址
     ULONG   BaseOfData;              //数据基址
     //
     //NT增加的域
     //
     ULONG   ImageBase;                  //映像文件基址
     ULONG   SectionAlignment;           //节对齐
     ULONG   FileAlignment;              //文件对齐
     USHORT  MajorOperatingSystemVersion;//操作系统主版本号
     USHORT  MinorOperatingSystemVersion;//操作系统小版本号
     USHORT  MajorImageVersion;          //映像文件主版本号
     USHORT  MinorImageVersion;          //映像文件小版本号
     USHORT  MajorSubsystemVersion;      //子系统主版本号
     USHORT  MinorSubsystemVersion;      //子系统小版本号
     ULONG   Reserved1;                  //保留项1
     ULONG   SizeOfImage;                //映像文件大小
     ULONG   SizeOfHeaders;              //所有头的大小
     ULONG   CheckSum;                   //校验和
     USHORT  Subsystem;                  //子系统
     USHORT  DllCharacteristics;         //DLL特性
     ULONG   SizeOfStackReserve;         //保留栈的大小
     ULONG   SizeOfStackCommit;          //指定栈的大小
     ULONG   SizeOfHeapReserve;          //保留堆的大小
     ULONG   SizeOfHeapCommit;           //指定堆的大小
     ULONG   LoaderFlags;                //加载器标志
     ULONG   NumberOfRvaAndSizes;        //RVA的数量和大小
     IMAGE_DATA_DIRECTORY DataDirectory  [IMAGE_NUMBEROF_DIRECTORY_ENTRIES];   //数据目录数组
 } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;


 每个节的数据结构:
  typedef struct _IMAGE_SECTION_HEADER {
     UCHAR   Name[IMAGE_SIZEOF_SHORT_NAME];           //名字数组
     union {                                          //共用体标志
             ULONG   PhysicalAddress;                 //物理地址
             ULONG   VirtualSize;                     //虚拟大小
     } Misc;
     ULONG   VirtualAddress;                          //虚拟地址
     ULONG   SizeOfRawData;                           //原始数据的大小
     ULONG   PointerToRawData;                        //原始数据指针
     ULONG   PointerToRelocations;                    //重定位指针
     ULONG   PointerToLinenumbers;                    //行数指针
     USHORT  NumberOfRelocations;                     //重定位数目
     USHORT  NumberOfLinenumbers;                     //行数数目
     ULONG   Characteristics;                         //特征
 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

 这样就可以读取PE文件的重要信息。为以后的操作奠定基础。

 
 
jasonnk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构 - 数据目录表学习
bcbobo21cn的专栏
03-20 1544
数据目录表,是一个结构体数组。数组里的每个元素对应一个数据表。通常有16个。 数组每个元素都是一个结构体,结构体如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 数据表的起始虚拟地址 DWORD Size;// 数据表大小 }IMAGE_DATA_DIRECTORY,*IMAGE_DATA_DIRECTORY 16个数据表依次如下: 导出表、导入表、资源表、异常处理表、安全表、...
WINDOWS+PE权威指南读书笔记(2)
沐一 · 林 的博客
09-27 194
PE文件结构 PE文件数据结构简单理解: 简单PE文件结构: 在 PE 格式中,每一个大的部分的对齐方式就是按照 200h 大小对齐的。 从文件开始到 0x03ff偏移处为 PE 的头部信息,其中记录了整个 PE 文件的头结构。 从偏移地址 0x0400 开始的 200h字节为指令字节码即代码段部分。 从偏移 0x0600 处开始的 200h 字节为程序中引入的函数描述部分,这些描述主要是为了让操作系统能在装载 PE 文件的同时,将相关的动态链接库也装入进程地址空间,实现代码的重用
PE结构详解(一)
本博客所有内容都是转的前辈们的
04-13 1241
本系列主要是参考英文原本ARTeam的PE File Format Tutorial并加以注解,以最简洁的语言来阐述PE格式,帮助大家快速入门。在开始之前,请确定您懂得C语言,至少是基本数据类型、数组和结构体,以及会WinHEX的基本使用方法。任何错误都欢迎指出,感激不尽! (一)介绍PE 格式     PE格式(Portable Executable,可移植可执行文件)是原生的Win32
PE结构详解
whl0071的专栏
02-20 2296
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头(PE文件签名的偏移地址就是大小) 3.2 NT头(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE结构学习(2)_PE结构的组成
xf555er的博客
08-07 294
由下图可得,PE文件主要分为四部分,分别有DOS部分、PE文件头、节表以及节数据
PE文件数据结构
02-09
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX...
PE文件结构详细图pdf
08-17
PE文件结构详细图pdf
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想...
Delphi开发的PE文件结构分析程序.rar
07-10
Delphi开发的PE文件结构分析程序,调试时请... 这个PE文件结构查看程序,名字为Delphi PEDump,可以查看PE结构、以16进制查看文件内容、查看PE信息(文件头、可选文件头、数据目录、块表信息)、引入、导出函数等。
PE文件
megaparsec
12-19 3087
PE文件
PE文件格式学习(二):总体结构
tutucoo
11-07 434
1.概述 PE文件分为几个部分,分别是: DOSDOS Stub NT头(PE头) 文件头 可选头 区段头(一个数组,每个元素都是一个结构体,称之为IMAGE_SECTION_HEADER) .text .rdata .data .rsrc .reloc … 本篇文章主要围绕整体结构做一个梳理,不会做太多细节的讲解。(比如说可选头里的数据目录表,它包含16种表,会在接下来的系列文章分...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 5803
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件详解(一)--数据结构字段
lj94093的专栏
01-12 1418
DOS MZ头IMAGE_DOS_HEADER STRUCTIMAGE_DOS_HEADER STRUCT { +0hWORDe_magic //Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4hWORD e_cp
PE文件数据结构汇总
bcbobo21cn的专栏
07-09 454
IMAGE_DOS_HEADER STRUCT 【M_DOS头部 共64字节】 { +00 h WORD e_magic // DOS可执行文件标记 MZ(4Dh 5Ah) +02 h WORD e_cblp ; Bytes on last page of file +04 h WORD e_cp ; Pages in file +06 h WORD e_crlc ; Relocat
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
PE中重要数据结构(winnt.h)
CHkylin的博客
08-24 1579
在winnt.h头文件中保存了PE中用到的所有结构体。 //DOS头 typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header     WORD   e_magic;                     // Magic number     WORD   e_cblp;                      // Byt
可执行文件结构:PE文件结构讲解
qq_46145027的博客
05-02 2316
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
写一段分析PE文件的基本结构的实验结论
最新发布
06-12
根据我的实验结论,PE文件是一种可执行文件格式,其基本结构由DOS头、NT头、节表和数据组成。DOS头是一个64字节的结构,其中包含了一些用于DOS模式下运行程序的信息。NT头是一个248字节的结构,其中包含了PE文件的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值