PE总结2---PE文件结构

原创 2015年11月24日 15:59:12

一、概念

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)


二、PE文件结构

PE文件总的来说是由DOS文件头,DOS加载块,PE文件头,区段表与区段5部分构成。

(该图来自网络)

为了便于后面理解PE结构,我自己也画了一张。




DOS头部分由两部分构成:

        1)DOS 文件头,确定是PE文件和还有指明NT头在文件中的位置。

        2)DOS块是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode。

NT文件头包含windows PE文件的主要信息,包括一个‘PE00’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32)。

节表:是PE文件后续节的描述,windows根据节表的描述加载每个节。

节数据:每个节实际上是一个容器,可以包含代码、数据等等,每个节可以有独立的内存权限,比如代码节默认有读/执行权限,节的名字和数量可以自己定义,未必是上图中的四个。

知道了PE文件结构后,我们就能够知道PE文件的写的内容是什么了。

PE文件结构详解(一)基本概念

PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Wi...
  • evileagle
  • evileagle
  • 2013年09月14日 23:01
  • 46847

PE总结12---PE文件结构之资源表 (IMAGE_RESOURCE_DIRECTORY)

资源在PE中是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构为头部的,并且后面跟着一个IMAGE_RESOURCE_DI...
  • oBuYiSeng
  • oBuYiSeng
  • 2015年12月11日 11:07
  • 1559

windows PE文件结构及其加载机制

1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(...
  • liuyez123
  • liuyez123
  • 2016年04月29日 15:00
  • 6298

《黑客免杀攻防学习笔记》——PE文件结构2

文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。 接上一篇,上一篇了解了PE头及可选头的基本结构,这一篇从区段表开始学习。 3.区段表       ...
  • wuyangbotianshi
  • wuyangbotianshi
  • 2013年12月17日 17:58
  • 1098

浅谈PE文件结构和进程内存空间结构(2)

#include "stdafx.h" #include "../TestDelayDll/TestDelayDll.h" char abc; int cba = 0x0000a0a0;...
  • tyhjtw
  • tyhjtw
  • 2014年04月18日 15:22
  • 608

0x01 PE文件结构学习总结

主要是自己学习PE结构时候的一些琐事事情,没有什么具体的详解,参考了许多文档查出来这些,自己记不住,稍微记录一下。...
  • Lirichx
  • Lirichx
  • 2016年04月13日 16:20
  • 290

PE文件结构处理经验总结

这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写...
  • sunyikuyu
  • sunyikuyu
  • 2013年04月21日 22:22
  • 780

PE文件结构处理经验总结

1. IMAGE_DOS_HEADER   Dos头需要注意的有两个字段:e_magic和e_lfanew。其它字段不用管它。这两个字段的意义大家都懂得~      2. IMAGE_NT_HE...
  • zhoujiaxq
  • zhoujiaxq
  • 2014年03月20日 13:59
  • 546

PE文件结构(五)基址重定位

参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 基址重定位 链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址004...
  • billvsme
  • billvsme
  • 2014年10月07日 01:55
  • 3208

OD教程(去除NAG窗口--PE文件结构)

nag本意是烦人的意思,nag窗口是软件设计者用来时不时提醒用户购买正版的警告窗口。 软件设计者可能认为当用户忍受不了试用版中的这些烦人的窗口时,就会考虑购买正式版本。   一、PE文件结构 ...
  • u012640985
  • u012640985
  • 2014年05月11日 22:48
  • 584
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:PE总结2---PE文件结构
举报原因:
原因补充:

(最多只允许输入30个字)