PE文件头结构

最新推荐文章于 2024-06-03 21:10:17 发布
最新推荐文章于 2024-06-03 21:10:17 发布
阅读量459 收藏
点赞数
分类专栏: 读书笔记 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BiCai2/article/details/52556476
版权 
    typedef struct _IMAGE_FILE_HEADER {  
        WORD    Machine;  运行平台
        WORD    NumberOfSections;  文件的节数目
        DWORD   TimeDateStamp;  文件创建日期和时间
        DWORD   PointerToSymbolTable;  指向符号表(用于调试)
        DWORD   NumberOfSymbols;  符号表中的符号数量(用于调试)
        WORD    SizeOfOptionalHeader;  可选头的长度
        WORD    Characteristics;  文件属性
    } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

1.Machine 每个CPU都有唯一的Machine码,用来指定文件的运行平台

    #define IMAGE_FILE_MACHINE_UNKNOWN           0  
    #define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.  
    #define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian  
    #define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian  
    #define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian  
    #define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2  
    #define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP  
    #define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian  
    #define IMAGE_FILE_MACHINE_SH3DSP            0x01a3  
    #define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian  
    #define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian  
    #define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5  
    #define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian  
    #define IMAGE_FILE_MACHINE_THUMB             0x01c2  
    #define IMAGE_FILE_MACHINE_AM33              0x01d3  
    #define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian  
    #define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1  
    #define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64  
    #define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS  
    #define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64  
    #define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS  
    #define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS  
    #define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64  
    #define IMAGE_FILE_MACHINE_TRICORE           0x0520  // Infineon  
    #define IMAGE_FILE_MACHINE_CEF               0x0CEF  
    #define IMAGE_FILE_MACHINE_EBC               0x0EBC  // EFI Byte Code  
    #define IMAGE_FILE_MACHINE_AMD64             0x8664  // AMD64 (K8)  
    #define IMAGE_FILE_MACHINE_M32R              0x9041  // M32R little-endian  
    #define IMAGE_FILE_MACHINE_CEE               0xC0EE

2.NumberOfSections 节区的数量 当定义的节区与实际节区不同时,将发生运行错误。
3.TimeDateStamp 编译器创建此文件的时间,它的数值是从1969年12月31日下午4:00开始到创建时间为止的总秒数
4. SizeOfOptionalHeader 可选头的长度 32位是 E0h 64位是F0h
5. 属性标志字段,不同数据位定义了不同的文件属性,不同的定义将影响系统对文件的装入方式,可以是下面这些值按位相或。

    #define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // Relocation info stripped from file. 文件中不存在重定位信息
    #define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // File is executable  (i.e. no unresolved externel references).  文件是可执行的  
    #define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // Line nunbers stripped from file.  不存在行信息
    #define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // Local symbols stripped from file.  不存在符号信息
    #define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set  调整工作集
    #define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // App can handle >2gb addresses  应用程序可处理大于2GB的地址
    #define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.  小尾方式
    #define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32 bit word machine.  只在32位平台上运行
    #define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // Debugging info stripped from file in .DBG file  不包含调试信息
    #define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // If Image is on removable media, copy and run from the swap file.  不能从可移动盘运行
    #define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // If Image is on Net, copy and run from the swap file.  不能从网络运行
    #define IMAGE_FILE_SYSTEM                    0x1000  // System File. 系统文件(如驱动程序),不能直接运行 
    #define IMAGE_FILE_DLL                       0x2000  // File is a DLL.  这是一个DLL文件
    #define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // File should only be run on a UP machine  文件不能在多处理器上计算机运行
    #define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.  大尾方式

可执行文件包含0002 DLL文件包含2000h
普通可执行PE文件 一般是010Fh,DLL文件210Eh

闭才
关注
专栏目录
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE文件结构
qq_45944873的博客
05-16 1208
PE文件是windows下可移植的可执行文件,常见的有exe、dll后缀文件都是PE文件PE文件是对整个PE文件数据存储的说明和文件信息的阐述,是一种数据组织方式。32位系统的PE包括以下结构:DOS MZ,DOS Stub,PEPE,节表和节内容。 DOS ...
PE文件详解之PE文件
知其所以然
09-01 1950
1, PE文件PE Header ) 紧挨着 DOS stub     2,  PE Header 是PE相关结构NT映像(IMAGE_NT_HEADER)的简称。里面包含着许多PE装载器用到的重要字段。     3,执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量,加上基地
PE文件结构详解之信息解析
最新发布
meis27461的博客
06-03 1041
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE的位置就是0x01+0xF0。
PE总结3---PE文件结构DOS文件
oBuYiSeng的博客
11-24 2234
PE文件结构DOS文件,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT头部文件中的偏移,新的exe文件
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构图破解PE文件
03-20
PE文件结构图破解PE文件 PE文件结构图 破解PE文件,分析PE文件组成,详细描述了PE文件定义,分析破解PE文件更加简单方面
PE文件结构详细图pdf
08-17
标题中的"PE文件结构详细图pdf"指的是一个关于Portable Executable (PE) 文件格式的详细图解文档。在Windows操作系统中,大多数可执行文件、动态链接库(DLLs)和其他可加载模块都采用PE文件格式。这个PDF文档很可能...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
PDF格式的PE文件结构图及工具源码是一个深入解析PE(Portable Executable)文件格式的资源,涵盖了C和C++编程语言的相关知识。PE文件格式是Windows操作系统中用于执行程序和动态链接库(DLLs)的主要文件格式。下面...
pe文件分析工具
11-23
使用VC6.0编写的一个分析PE文件格式的工具,输出选定PE文件的有关信息。 程序编写的重点:对PE中的各个struct定位,可以使用API函数,也可以使用ImageHlp提供的有关PE操作的函数编写。 基本思路:读入要分析的PE文件,得到内存映像文件,定位各个struct,显示各个struct中的数据。
PE文件解析-文件与整体介绍
热门推荐
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
pe文件结构 基础篇
weixin_50217210的博客
07-08 879
转自看雪学院
pe格式从入门到图形化显示(二)-文件
Mrack的博客
04-05 844
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE格式文件(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。Windows PE格式文件包含以下字段:Signature(签名):用于确定文件是否为PE格式文件,通常为"PE\0\0"或"PE\0\0\0\0"。
PE文件格式
yjh_fnu_ltn的博客
04-23 1290
DOS结构体如下: DOS最重要的成员有两个:第一个e_magic : 前两个字节指明了DOS签名4D5A(MZ),第二个:e_lfanew,指明了NT文件内的偏移。 2. 说明 .text节区 的RVA是 00001000,FOA是 00000400 ,之间相差了00000C00。 2. 说明 .data节区 的RVA是00003000,FOA是00002200. 之间相差了00000E00。
PE格式之PE头部
輚至消亡
10-02 258
【代码】PE格式之PE头部
PE文件(一)PE
qq_63329753的博客
02-13 3742
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1607
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbg、PE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6570
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件变形技术深度解析
作者详细介绍了如何通过修改PE文件来实现加密壳或病毒代码的隐藏,使得这些修改后的文件能够避开常规的PE读写工具的检测。 首先,书中引入了可执行文件变形的基本概念,说明了为什么以及如何对文件进行修改。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值