IMAGE_DOS_HEADER解析

最新推荐文章于 2021-10-24 16:33:55 发布
最新推荐文章于 2021-10-24 16:33:55 发布
阅读量951 收藏 4
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120809327
版权
本文介绍了PE文件的基础知识,包括C32Asm、PEiD、StudPE和LordPE等工具的使用,以及实验目的和环境。重点讲解了PE文件的IMAGE_DOS_HEADER结构,如e_magic和e_lfanew字段,强调e_magic字段识别PE文件的重要性,e_lfanew字段用于定位PE文件头。
摘要由CSDN通过智能技术生成

目录

预备知识

一、C32Asm

C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。
本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。

二、PEiD

PEiD是一款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信息。此外,PEiD还可以用于查看PE文件的基本结构信息。

三、StudPE

StudPE可以查看PE文件的基本信息,同时支持对PE文件结构中相关字段的定位,即通过字段的选择,可以自动在16进制数据窗口中选择相关的数据。

四、LordPE

LordPE除了可以查看PE文件的基本信息之外,还支持对PE文件的编辑操作,可以修改PE文件中各个字段或者结构的数据然后进行保存。

实验目的

1)掌握C32Asm、PEiD、StudPE、LordPE等工具的基本使用方法;
2)了解PE文件相关的帮助文档;
3)了解PE文件的IMAGE_DOS_HEADER结构。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、PEiD、StudPE、LordPE

实验步骤一

环境配置以及C32Asm工具的使用。
PE文件学习相关的工具主要有C32Asm、PEiD、StudPE以及LordPE,这些工具全部存放于实验机器的C:\Tools目录下,同时在桌面存放有快捷方式。同时,为了方便快速启动这几个工具,可以把他们的快捷方式放到右键菜单的“发送到”菜单项下,具体的操作方法为:
1.点击“开始”菜单,点击“运行”并输入SendTo后点击“确定”按钮,即可在资源管理器中打开SendTo文件夹;
2.将桌面上的C32Asm、PEiD、StudPE、LordPE这四个工具的快捷方式复制到SendTo文件夹之下;
3.现在选中任意一个文件,通过右键菜单的“发送到(N)”选项,即可选择使用C32Asm、PEiD、StudPE或者LordPE这几种工具中的一种打开文件了。
在学习PE文件的结构时,记事本将会是我们经常操作的一个对象,这里复制了一个副本到C:\PE\notepad.exe。在资源管理器中打开C:\PE目录,将notepad.exe通过右键菜单发送到C32Asm,即可在C32Asm中打开notepad.exe文件了,操作步骤如下:
1.打开C:\PE,使用鼠标选中notepad.exe,单击鼠标右键

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PECOFF规范v8和v8.1中文版
07-16
Microsoft PECOFF规范v8和v8.1中文版,研究PE文件的朋友必看
Stud_PE(PE查看和修改工具) v2.1.0.0 中文绿色版
05-24
很强大的PE工具,可以查看和修改 EXE、DLL等PE结构文件的PE结构。 PEid标识数据库存,插件等。 出色的文件比较功能。 可视化修改资源查看器。 可视化资源查看器,可修改、替换、导出文件;添加函数、修改区段、查看程序进程等等;Rva转换Raw
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 8787
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
乘风的专栏
07-21 1238
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h   WORD e_cblp  // Bytes on last page of file    +4h WORD e_cp  //
DOS头部IMAGE_DOS_HEADER
07-09 371
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS头和一个DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
IMAGE_DOS_HEADER STRUCT
namewangyue的专栏
09-26 356
IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic//Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h WORDe_cblp//Bytes on last page of file +4hWORDe_cp//Pages in file +6hWORDe_crlc//Relocations
DOSIMAGE_DOS_HEADER
dengjiatao9832的博客
09-21 126
1 IMAGE_DOS_HEADER STRUCT 2 { 3 +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 4 +2h WORD e_cblp // Bytes on last page of file 5 +4h WORD e_cp // Pages in ...
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2834
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
PEInfo.zip_peinfo_pe解析
09-23
我们还需要熟悉PE文件的头文件(如`winnt.h`),它们定义了PE文件的结构体,如IMAGE_DOS_HEADERIMAGE_NT_HEADERS、IMAGE_SECTION_HEADER等。 通过编写代码,我们可以逐个解析这些表,获取PE文件的详细信息。例如...
OEP.rar_OEP_Pe-file_infector
09-24
Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体,可以直接用来解析PE文件。 此外,"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域,某些...
pe.rar_pe
09-23
例如,在C++中,可以使用`IMAGE_DOS_HEADER`和`IMAGE_NT_HEADERS`结构体来访问PE文件的DOS和NT头,使用`IMAGE_SECTION_HEADER`来遍历节表。在Python中,有如`pefile`这样的库,方便地处理PE文件。 在Windows API中...
stud_PE
05-27
学习PE的绝好工具!!!
PEInfo_VC++源码_
09-30
- 开发者可能会使用`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`、`IMAGE_SECTION_HEADER`等结构体来表示PE文件的不同部分,并使用`CreateFileMapping`、`MapViewOfFile`等API进行操作。 4. **PE信息访问**: - 在...
基于C++实现32位PE解析工具
06-06
2. 结构体和联合体:定义一系列结构体来映射PE文件的各个部分,如IMAGE_DOS_HEADERIMAGE_NT_HEADERS、IMAGE_SECTION_HEADER等。 3. 数据对齐和偏移计算:理解PE文件中各种字段的对齐规则,正确计算数据在内存中的...
[PE格式分析] 2.IMAGE_DOS_HEADER
weixin_33895657的博客
05-14 196
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number 固定为"MZ" 即, 4Dh 5Ah WORD e_cblp; // Bytes on last pag...
PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
永不放弃_浪子文---------------黑客文化
02-12 605
在这里为大家做好了详细的注释,免得大家一头雾水,另外可以结合小甲鱼《加密系列》-系统篇-PE结构详解视频教程学习~若有纰漏之处还望大家不吝指正。 (注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h
IMAGE_DOS_HEADER STRUCT小记
weixin_33725722的博客
10-27 325
IMAGE_DOS_HEADER STRUCT{+00h WORD e_magic// Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+02hWORD e_cblp // Bytes on last page of file +04h WORD e_cp // Page...
image_section_header
最新发布
08-13
### 回答1: image_section_header是指PE文件中的一个数据结构,用于描述可执行文件中的一个节(section)的属性和位置信息。它包含了节的名称、大小、起始位置、属性等信息,是PE文件格式中非常重要的一个部分。 ### 回答2: image_section_headerPE文件中的一个数据结构,用于描述每个节区(Section)的属性和信息。它的作用是让操作系统、可执行文件加载器和调试器等工具能够正确地理解和处理PE文件中的各个节区。 image_section_header结构包含多个字段,其中一些重要的字段包括: 1. Name:节区的名称,一般是一个8字节的字符串,用于标识节区的含义,如代码段、数据段等。 2. VirtualSize:虚拟内存中的节区大小,即在内存中占用的空间大小。 3. VirtualAddress:节区在虚拟内存中的起始地址。 4. SizeOfRawData:节区在文件中的大小,即占用的磁盘空间大小。 5. PointerToRawData:节区在文件中的偏移量,指示该节区的数据在文件的什么位置。 6. Characteristics:节区的特征标志,用于描述该节区的属性,如是否可执行、可写、可读等。 通过image_section_header,操作系统可以根据文件中的各个节区的位置和大小来正确加载PE文件的内存布局,保证程序能够正确运行。可执行文件加载器可以根据节区的属性来设置对应的内存区域的访问权限,如只读、读写等。调试器可以根据节区的信息来正确解析可执行文件,定位和调试程序中的错误。 总之,image_section_headerPE文件中重要的数据结构之一,它提供了关于节区的各种属性和信息,让操作系统、可执行文件加载器和调试器能够正确地解析和处理PE文件,保证程序的正确运行和调试。 ### 回答3: image_section_header是一种数据结构,用于描述可执行文件或者DLL文件中的节(section)的属性和信息。 它通常包含以下字段: 1. 节名称(Name):指定该节的名称,如.text、.data等。 2. 节大小(VirtualSize):指定该节在内存中的大小。 3. 节的虚拟地址(VirtualAddress):指定该节在进程的虚拟地址空间中的起始地址。 4. 节的数据地址(PointerToRawData):指定该节在文件中的起始位置的偏移量。 5. 节的数据大小(SizeOfRawData):指定该节在文件中的大小。 6. 节的属性(Characteristics):通常是一个标志位的集合,用于描述该节的特性,如可执行代码、只读数据、已初始化数据等。 image_section_header的作用是让操作系统和加载器能够准确地定位和加载可执行文件或者DLL文件中的节。通过解析image_section_header中的字段,操作系统和加载器可以了解每个节的大小、位置以及属性等信息,从而正确地将节映射到进程的虚拟地址空间中。 在运行时,程序可以通过访问image_section_header中的字段来获取和修改节的属性和信息。例如,可以根据节的名称来定位和修改特定节的内容,也可以通过修改节的属性来改变节的行为,如修改代码节的属性为只读,从而防止恶意代码的注入。 总之,image_section_header是一种重要的数据结构,用于描述可执行文件或DLL文件中的节的属性和信息,为操作系统和加载器提供了必要的信息以正确地加载和执行可执行文件或者DLL文件中的各个节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值