IMAGE_DOS_HEADER解析

最新推荐文章于 2021-10-24 16:33:55 发布
最新推荐文章于 2021-10-24 16:33:55 发布
阅读量956 收藏 4
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120809327
版权
本文介绍了PE文件的基础知识,包括C32Asm、PEiD、StudPE和LordPE等工具的使用,以及实验目的和环境。重点讲解了PE文件的IMAGE_DOS_HEADER结构,如e_magic和e_lfanew字段,强调e_magic字段识别PE文件的重要性,e_lfanew字段用于定位PE文件头。
摘要由CSDN通过智能技术生成

目录

预备知识

一、C32Asm

C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。
本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。

二、PEiD

PEiD是一款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信息。此外,PEiD还可以用于查看PE文件的基本结构信息。

三、StudPE

StudPE可以查看PE文件的基本信息,同时支持对PE文件结构中相关字段的定位,即通过字段的选择,可以自动在16进制数据窗口中选择相关的数据。

四、LordPE

LordPE除了可以查看PE文件的基本信息之外,还支持对PE文件的编辑操作,可以修改PE文件中各个字段或者结构的数据然后进行保存。

实验目的

1)掌握C32Asm、PEiD、StudPE、LordPE等工具的基本使用方法;
2)了解PE文件相关的帮助文档;
3)了解PE文件的IMAGE_DOS_HEADER结构。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、PEiD、StudPE、LordPE

实验步骤一

环境配置以及C32Asm工具的使用。
PE文件学习相关的工具主要有C32Asm、PEiD、StudPE以及LordPE,这些工具全部存放于实验机器的C:\Tools目录下,同时在桌面存放有快捷方式。同时,为了方便快速启动这几个工具,可以把他们的快捷方式放到右键菜单的“发送到”菜单项下,具体的操作方法为:
1.点击“开始”菜单,点击“运行”并输入SendTo后点击“确定”按钮,即可在资源管理器中打开SendTo文件夹;
2.将桌面上的C32Asm、PEiD、StudPE、LordPE这四个工具的快捷方式复制到SendTo文件夹之下;
3.现在选中任意一个文件,通过右键菜单的“发送到(N)”选项,即可选择使用C32Asm、PEiD、StudPE或者LordPE这几种工具中的一种打开文件了。
在学习PE文件的结构时,记事本将会是我们经常操作的一个对象,这里复制了一个副本到C:\PE\notepad.exe。在资源管理器中打开C:\PE目录,将notepad.exe通过右键菜单发送到C32Asm,即可在C32Asm中打开notepad.exe文件了,操作步骤如下:
1.打开C:\PE,使用鼠标选中notepad.exe,单击鼠标右键

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PECOFF规范v8和v8.1中文版
07-16
Microsoft PECOFF规范v8和v8.1中文版,研究PE文件的朋友必看
Stud_PE(PE查看和修改工具) v2.1.0.0 中文绿色版
05-24
很强大的PE工具,可以查看和修改 EXE、DLL等PE结构文件的PE结构。 PEid标识数据库存,插件等。 出色的文件比较功能。 可视化修改资源查看器。 可视化资源查看器,可修改、替换、导出文件;添加函数、修改区段、查看程序进程等等;Rva转换Raw
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 8850
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
乘风的专栏
07-21 1243
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h   WORD e_cblp  // Bytes on last page of file    +4h WORD e_cp  //
DOS头部IMAGE_DOS_HEADER
07-09 377
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS头和一个DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
IMAGE_DOS_HEADER STRUCT
namewangyue的专栏
09-26 361
IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic//Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h WORDe_cblp//Bytes on last page of file +4hWORDe_cp//Pages in file +6hWORDe_crlc//Relocations
DOSIMAGE_DOS_HEADER
dengjiatao9832的博客
09-21 131
1 IMAGE_DOS_HEADER STRUCT 2 { 3 +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 4 +2h WORD e_cblp // Bytes on last page of file 5 +4h WORD e_cp // Pages in ...
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2840
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
PEInfo.zip_peinfo_pe解析
09-23
我们还需要熟悉PE文件的头文件(如`winnt.h`),它们定义了PE文件的结构体,如IMAGE_DOS_HEADERIMAGE_NT_HEADERS、IMAGE_SECTION_HEADER等。 通过编写代码,我们可以逐个解析这些表,获取PE文件的详细信息。例如...
OEP.rar_OEP_Pe-file_infector
09-24
Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体,可以直接用来解析PE文件。 此外,"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域,某些...
pe.rar_pe
09-23
例如,在C++中,可以使用`IMAGE_DOS_HEADER`和`IMAGE_NT_HEADERS`结构体来访问PE文件的DOS和NT头,使用`IMAGE_SECTION_HEADER`来遍历节表。在Python中,有如`pefile`这样的库,方便地处理PE文件。 在Windows API中...
stud_PE
05-27
学习PE的绝好工具!!!
PEInfo_VC++源码_
09-30
- 开发者可能会使用`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`、`IMAGE_SECTION_HEADER`等结构体来表示PE文件的不同部分,并使用`CreateFileMapping`、`MapViewOfFile`等API进行操作。 4. **PE信息访问**: - 在...
基于C++实现32位PE解析工具
最新发布
06-06
2. 结构体和联合体:定义一系列结构体来映射PE文件的各个部分,如IMAGE_DOS_HEADERIMAGE_NT_HEADERS、IMAGE_SECTION_HEADER等。 3. 数据对齐和偏移计算:理解PE文件中各种字段的对齐规则,正确计算数据在内存中的...
跨进程_API_Hook
08-09
IMAGE_DOS_HEADER* pidh = (IMAGE_DOS_HEADER*)hCurrent; IMAGE_NT_HEADERS* pinh = (IMAGE_NT_HEADERS*)((DWORD)hCurrent + pidh->e_lfanew); IMAGE_DATA_DIRECTORY* pSymbolTable = &pinh->OptionalHeader.Data...
[PE格式分析] 2.IMAGE_DOS_HEADER
weixin_33895657的博客
05-14 198
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number 固定为"MZ" 即, 4Dh 5Ah WORD e_cblp; // Bytes on last pag...
PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
永不放弃_浪子文---------------黑客文化
02-12 607
在这里为大家做好了详细的注释,免得大家一头雾水,另外可以结合小甲鱼《加密系列》-系统篇-PE结构详解视频教程学习~若有纰漏之处还望大家不吝指正。 (注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h
IMAGE_DOS_HEADER STRUCT小记
weixin_33725722的博客
10-27 332
IMAGE_DOS_HEADER STRUCT{+00h WORD e_magic// Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+02hWORD e_cblp // Bytes on last page of file +04h WORD e_cp // Page...
小甲鱼详解PE结构:DOS_HEADER关键部分与视频教程链接
课程详细讲解了IMAGE_DOS_HEADER这一关键部分,它位于PE文件的起始位置,对于理解整个PE文件结构至关重要。 IMAGE_DOS_HEADER是一个结构体,包含以下几个字段: 1. **`e_magic`** (Word): Magic值,通常为`MZ`(0x...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值