PE文件格式学习心得【1】

最新推荐文章于 2022-05-22 12:46:19 发布
最新推荐文章于 2022-05-22 12:46:19 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: Windows 文章标签: header microsoft windows image exe dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BetaBin/article/details/7393791
版权

PE文件是Protable Executable File Format(可移至的执行体),是目前Windows平台上的主流可执行文件格式。

PE可以简单理解为一个结构,这个结构用来告诉Windows加载器如何去加载这个文件。PE会告诉它其资源、导入表等信息。而这些信息对应在PE文件的不同成员变量。暂时理解PE文件,通过其几个主要的结构来学习。

先给张有总结性的网上大量流传的PE文件格式图:


我觉得,还有必要加深理解几个和地址有关的定义:基地址、相对虚拟地址、文件偏移地址。

基地址吧,PE文件被加载进入内存后,其映射文件的起始位置就是基地址,其实我们的模块句柄也是这个值。用VC的默认选项编译的EXE基地址为00400000h,DLL基地址为10000000h。

相对虚拟地址,其作用吧,简单点说,避免在PE文件中有确定的内存地址。既是相对于文件载入点的大小吧,目标地址 - 装入地址 = RVA。内存的虚拟地址 = 基地址  + RVA。

文件偏移地址,既是物理地址吧,从0开始计数,用UE等打开看到的地址就是这个。


然后开始学PE文件的格式了。差点忘了说,这些结构名有些许出入,大多是32位和64位的差异。可以到我们的系统盘(C:\Program Files\Microsoft SDKs\Windows\v6.0A\Include里面的winnt.h头文件)的里面找找看。

首先是被称为DOS头部的结构,这个,其实现在没太大价值的感觉。只用知道在3ch位置,记录着PE文件头的文件偏移地址(用4个Bytes)即可。由于Intel是小端规则,所以需要留意“B0000000”代表“000000B0”地址。

然后就是我们的PE文件头了,IMAGE_NT_HEADER由三部分组成,上面也看到了。

Signature字段记录着“PE00”。用UE打开可以很明显看到。

IMAGE_FILE_HEADER结构的话,成为映射文件头结构吧。需要留意的可能是文件属性字段吧,普通的EXE文件的话则为010fh,DLL文件的话则为0210h。

IMAGE_OPTIONAL_HEADER结构,是对上面的一个补充。具体结构也上图吧。


以此类推,可以看出,上图大概可以帮我们理解PE文件格式了。然后输入表、输出表、块、基地址重定位等,都需要在此基础上理解了才能学好。所以,先消化这些。


BetaBin
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式分析心得
11-07
PE文件格式分析心得PE文件格式最近好像炒得沸沸扬扬,由于我正在做一个这样的程序,索性将自己的心得写出来与大家同享。
PE 学习之总结1
脚踏实地的做自已
10-20 1048
每学习一门新的课程,我都会习惯性的问自已几个问题,为什么要学习它?学习它之后我能干什么? 什么是PE? 为什么要学习PE? 学习完PE我能干什么?
PE文件格式学习总结
china1000的专栏
02-08 693
PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXEDLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL),继承自unix的COFF文件格式.在微软的NT C编译器出来后微软就使用PE文件格式了。************首先定位到+0h处struct _IMAGE_DOS_HEADER_ST
自己学习PE文件结构后的一点心得,VB编写
04-06
自己学习PE文件结构后的一点心得,VB编写,不很成熟,很多功能尚未添加。
lm3s811使用心得
03-23
- PE1/PWM5 —— L8 (红色) - PD0/PWM0 —— L3 (蓝色) - PD1/PWM1 —— L4 (绿色) - PB0/PWM2 —— L5 (红色) 3. **代码分析**:以下是一段简单的流水灯控制代码示例: ```c #include "hw_ints.h" #include...
计算机组装实验的心得.pdf
最新发布
11-16
此外,我还学习了硬盘的分区和格式化,这是安装操作系统前的关键步骤。通过创建合适的分区,可以有效地管理文件和数据。同时,掌握了不同类型的硬盘(如HDD和SSD)的特性和选择方法,有助于提升计算机的性能。 操作...
计算机组装实验的心得.docx
11-16
通过实验,我学会了如何创建、删除分区,以及选择合适的文件系统(如FAT32、NTFS)进行格式化。此外,操作系统安装是计算机组装的关键步骤,无论是通过光盘还是U盘启动PE,都需要熟练掌握。 驱动程序是让硬件设备...
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
PE文件格式Windows操作系统中用于可执行程序、动态链接库(DLL)和其他类型模块的标准格式。 首先,我们要了解PE文件头。PE文件头包含了许多关于程序的重要信息,如入口点地址、节表、导出和导入函数等。在源码中...
PE文件格式学习(一):概述
tutucoo
11-07 664
1.PE文件简介 PE文件格式Windows系统中应用最广泛的文件格式之一,我们常见的可执行文件.exe、动态链接库.dll以及驱动文件.sys等都是PE文件格式的。 可以通过十六进制工具如010editor查看PE文件,可以看到PE文件都有一个共同的特点,就是它们的最开头都是4D5A,也就是ASCII字符MZ。见下图 在Windows系统“眼里”,其实只有PE文件,后缀名只是用于关联打开程序...
pe2bin一个将pe格式exe文件转换为bin的工具
03-05
自己写的一个将pe格式的exe文件转换为bin格式的工具,
从零开始的PE格式学习
bbszhenshuai的博客
05-15 526
导语 如果你想学习PE病毒的编写,那么你首先得知道PE的格式和他的工作原理。 PE的百度百科 PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件EXE文件DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。 PE文件的结构 一张简简单单的图送给各位 还有一个比较详细的pdf送给各位 链接:https://pan.baidu.com/s/1SGU2AUQvzoHU9Foxx1-UYQ 提取码:ckdi MS-DOS(DOS头)
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 729
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
PE 学习之总结2
脚踏实地的做自已
10-24 547
依旧温故一下之前学的内容,即几个重要结构体的之间的关系。因为听说它们很重要 IMAGE_DOS_HEADER Dos stub PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER32 ......IMAGE_NT_HEADERS IMAGE_DATA_DIRECTORY IMAGE_SECTION_HEADER //.....
PE格式系列_0x01:PE格式-Introduction
可乐松子的博客
05-22 347
0x01 PE格式-Introduction 可执行文件的格式是操作系统执行机制的一种反应,研究可执行文件的数据格式和运行机制,是研究逆向和脱壳的基础;windows中可执行文件的格式被称为PE格式 下面会将我学习PE格式的一些笔记进行整理(网上有很多类似的文章),汇总成几篇文章,方便自己以后查看;第一篇就先简单对PE有一个直观的印象吧 1.学习目的 为什么要学习PE文件格式?学习前要想一下学习的目的,不要盲目的瞎学习;因为PE文件格式细节很多,没有目的的学习过几个月基本就会忘记了 说一下我的目的,为了
0x01 PE文件结构学习总结
Lirichx的博客
04-13 560
主要是自己学习PE结构时候的一些琐事事情,没有什么具体的详解,参考了许多文档查出来这些,自己记不住,稍微记录一下。
PE文件格式分析
shitdbg的博客
11-09 8296
一、PE的基本概念     PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLLEXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
PE文件结构处理经验总结
点点灵犀
04-21 1257
这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的时候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该方面时间不长,免不了存在失误之处,敬请拍砖。      1. IMAGE_DOS_HEADER
PE文件结构解析
eli的博客
12-01 6538
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
深入解析PE文件格式
"这篇文章深入解析了PE文件格式,旨在帮助开发者理解并处理PE文件PE文件格式最初在Windows NT 3.1中引入,结合了UNIX的COFF规范和MS-DOS的MZ头部,以确保与旧版操作系统的兼容性。文章通过自顶向下的方式详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值