PE文件结构(2)

最新推荐文章于 2024-08-31 23:01:31 发布
最新推荐文章于 2024-08-31 23:01:31 发布
阅读量606 收藏 26
点赞数 9
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_81165358/article/details/140902038
版权

联合体

假设我们需要存储一个人的身份证和学号中的一个,如果用结构体定义两个变量,但是每次都只用到其中一个,那么另一个成员的空间永远是浪费的,为了节省内存,可以使用联合体。联合体有以下两种定义方式:

union Test
{
	int x;
	char y;
};

union
{
	int x;
	char y;
}Test;

联合体的特点:

1.联合体成员共享内存空间。       

2.联合体空间大小是联合体成员中最大成员的空间大小。     

3.联合体中最多有一个成员有效。

节表

#define IMAGE_SIZEOF_SHORT_NAME 8
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; // ASCII字符串(节名),可自定义,只截取8个字节,可以8个字节都是名字
    union { // Misc,2个字节,是该节在没有对齐前的真实尺寸,该值可以不准确
        DWORD   PhysicalAddress; // 真实宽度,这两个值是一个联合结构,可以使用其中的任何一个
        DWORD   VirtualSize; // 一般是取后一个
    } Misc;					
    DWORD   VirtualAddress; // 节在内存中的偏移地址,加上ImageBase才是在内存中的真正地址
    DWORD   SizeOfRawData; // 节在文件中对齐后的尺寸
    DWORD   PointerToRawData; // 节区在文件中的偏移
    DWORD   PointerToRelocations; // 调试相关
    DWORD   PointerToLinenumbers; // 调试相关 
    WORD    NumberOfRelocations; // 调试相关 
    WORD    NumberOfLinenumbers; // 调试相关 
    DWORD   Characteristics; // 节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

节表的起始位置为pe文件头末尾,计算方法为:

基址+DOS头里的e_lfanew(指向pe文件头开始)+signature(4字节)+IMAGE_FILE_HEADER大小(20字节)+SizeOfOptionalHeader(IMAGE_FILE_HEADER里的)

例如:

这里得知e_lfanew是E0,从E0往后找20个字节

说明SizeOfOptionalHeader是E0。则节表起始位置为:0 + 0xE0 + 4 + 20 + 0xE0 = 0x1D8

在IMAGE_FILE_HEADER里的NumberOfSections记录了节的数量,每一个节表占40个字节。

Misc表示当文件加载到内存后,该节的大小,而SizeOfRawData是节在文件中对齐后的尺寸,一般情况下SizeOfRawData会比Misc大,但也有特例。当有全局变量没有初始化赋值时,在文件中全局变量没有赋值就不占空间,但是在内存中必须要赋值,所以当文件加载到内存后的尺寸就有可能会比在文件中对齐的尺寸大。这种情况下,多出的空间在内存中会用0填充。

Characteristics代表的是节的属性,占4个字节32位,每一位代表有没有某种属性(实际上没用到32位)。对照表:

 比如里面的第一个是0x20换算为二进制是0010 0000,说明如果Characteristics存的值从右往左第6位如果是1的话说明该节包含代码。

RVA与FOA的转换

  • RVA是“Relative Virtual Address”(相对虚拟地址)的缩写。它是一个“相对”地址,或者说是数据在内存中的“偏移量”。
  • FOA是“File Offset Address”(文件偏移地址)的缩写。FOA可以理解为文件在磁盘上存放时相对于文件开头的偏移地址。

假如想修改位于内存中的某个节的数据,只知道内存中该数据的地址是无法直接更改的,因为PE文件在文件中的状态和在内存中的是不一样的,在文件中是静态的,在内存中是动态(运行)的。想要修改,就必须要将内存中的地址转化为文件中的地址,这就是RVA与FOA的转化。

在PE文件由文件状态转化为内存状态时,DOS、PE文件头、节表这几部分是看作一个整体的,这个整体复制过去后再对齐。然后循环将每个节都复制过去后分别对齐。所以,DOS、PE文件头、节表这几部分位置的数据的偏移地址是不会改变的,而在节里面的数据虽然偏移地址会改变,但是这个数据与节的开始位置的数据也是不会变的。因此,对于在节中的数据。只需要计算他在节开始位置的偏移,然后再文件上对应就可以算到他在文件中的地址。步骤如下;

计算RVA:

RVA = 内存地址 - ImageBase地址 

判断位置:

1.先判断是否在DOS、PE文件头、节表这几部分里。如果RVA<=SizeOfHeaders,那么说明在,否则说明不在。如果在,那么RVA = FOA。

2.判断在哪个节里。假如某个节满足:该节的VirtualAddress <= RVA <= VirtualAddress + Misc,那么在该节上。

计算:

假设在第x个节上,那么RVA 减该节的VirtualAddress得到的差值就是相对于节的偏移。该差值加上该节在文件中起始地址就是该数据的偏移,即FOA = PointerToRawData + 偏移。

神明亦是罪人
关注
pe文件结构
2303_81165358的博客
07-29 998
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
PE文件结构
2301_80096119的博客
07-22 635
可执行文件:可以由操作系统进行加载并执行的文件称为可执行文件格式:windows:采用 PE(Portable Executable)文件结构。Linux:采用 ELF(Executable and Linking Format)文件结构
PE文件(一)PE结构概述
2301_78838647的博客
04-18 1603
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件结构详解(非常详细)
zhaotianff的专栏
08-31 1432
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
PE文件结构及代码注入
qq_67812668的博客
08-11 822
PE即Portable Executable,是win32环境自身所带的可执行文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
PE文件结构解析
城南以南花亦开
09-02 1万+
PE(Portable Executable)文件,即可移植的可执行文件,是 Windows 操作系统上主流的可执行文件
2.2 PE结构文件头详细解析
热门推荐
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOS头是PE文件开头的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS头包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件头的位置,该文件头是由`IMAGE_NT_HEAD
PE文件结构详解之头信息解析
meis27461的博客
06-03 1038
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
PE文件及其结构
include的博客
04-05 1136
PE文件 1.什么叫PE文件 PE (Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目的是使连接生成的EXE文件能在不同的CPU指令下工作。 Windows中可执行程序有很多种,COM,PIF,SCR,EXE等,这些文件的格式大部分都继承于PE。其中EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件。 2.PE...
可执行文件结构PE文件结构讲解
qq_46145027的博客
05-02 2494
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
PE文件结构详解
08-25
PE文件结构详解 PE文件结构是Windows平台上可执行文件的标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOS头、PE头、节表和节体。 PE文件结构 PE文件结构可以...
PE文件结构详细图pdf
08-17
标题中的"PE文件结构详细图pdf"指的是一个关于Portable Executable (PE) 文件格式的详细图解文档。在Windows操作系统中,大多数可执行文件、动态链接库(DLLs)和其他可加载模块都采用PE文件格式。这个PDF文档很可能...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
PDF格式的PE文件结构图及工具源码是一个深入解析PE(Portable Executable)文件格式的资源,涵盖了C和C++编程语言的相关知识。PE文件格式是Windows操作系统中用于执行程序和动态链接库(DLLs)的主要文件格式。下面...
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构分析
11-27
**PE文件结构分析** PE(Portable Executable)文件格式是Windows操作系统中用于执行程序的标准文件格式,它包含了代码、数据、资源以及运行时所需的其他信息。深入理解PE文件结构对于软件开发、逆向工程和安全分析...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8499
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
python中paramiko插件
最新发布
10-13
这是pjython中最重要的一个插件,所以我们要先下载到csdn中
fastcache-1.1.0-cp38-cp38-win_amd64.whl
10-13
fastcache-1.1.0-cp38-cp38-win_amd64.whl
【图像检索】基于matlab颜色特征图像检索(含直方图距离)【含Matlab源码 4145期】.md
10-13
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 KNN图像检索、Hu不变矩图像检索、综合颜色和形状特征图像检索
Windows PE文件结构详析与关键数据结构解析
PE文件结构详解是一篇深入解析Windows NT引入的PE(Portable Executable)文件格式的文章。PE文件格式是在Windows NT 3.1中启用的一种新的可执行文件格式,它的设计灵感来源于UNIX的COFF规范,同时为了保持向后兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值