PE头之IMAGE_FILE_HEADER解析

最新推荐文章于 2021-12-18 16:43:52 发布
最新推荐文章于 2021-12-18 16:43:52 发布
阅读量892 收藏 1
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120809700
版权

目录

预备知识

一、相关实验

本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。

二、C32Asm

C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。
本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。

三、LordPE

LordPE除了可以查看PE文件的基本信息之外,还支持对PE文件的编辑操作,可以修改PE文件中各个字段或者结构的数据然后进行保存。

实验目的

1)了解PE文件结构中的DosStub部分;
2)学习PE文件结构中FileHeader部分;
3)掌握PE文件结构相关的几个重要概念。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、PEiD、StudPE、LordPE

实验步骤一

PE头结构的定位。
在上一个实验中,提到了PE头的位置由IMAGE_DOS_HEADER的最后一个字段e_lfanew来指定,现在在C32Asm中进行一次实践操作。打开C:\PE,选中notepad.exe后单击鼠标右键,在弹出的右键菜单中选择“发送到(N)”、C32Asm,即可使用C32Asm打开notepad.exe文件。
在C32Asm中,可以看到e_lfanew的值为0x000000E0(IMAGE_DOS_HEADER的大小为0x40,而e_lfanew位于IMAGE_DOS_HEADER的最后一个DWORD类型的值)。在C32Asm中按下Ctrl+G快捷键,在弹出的跳转对话框中选中“文件开始”以及“16进制”两个选项,随后在OFFSET中输入要跳转的地址E0,单击确定按钮即可跳转到PE头所在的位置了,如下图所示:
在这里插入图片描述
e_lfanew指向PE头的示意图的示意图如下图所示:
在这里插入图片描述
PE头在WinNt.h头文件中的结构体名称为IMAGE_NT_HEADERS,那么在IMAGE_DOS_HEADER与IMAGE_NT_HEADERS之间的数据是什么呢?为什么需要根据IMAGE_DOS_HEADER结构的e_lfanew成员来确定IMAGE_NT_HEADERS结构的位置呢?
在IMAGE_DOS_HEADER和IMAGE_NT_HEADERS之间存在一个叫做DosStub的数据块,DosStub实际上是一个DOS程序,当PE文件运行在DOS模式下时这个程序将被执行。DosStub通常由编译器自动生成,而且它的大小也并不固定,由此造成PE头的位置也不是固定的,需要动态进行解析。当PE文件运行在DOS模式下时,DosStub通常输出一句话“This program cannot be run in DOS mode.”然后退出。
对于PE文件

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE总结5---PE文件结构NT之文件--IMAGE_FILE_HEADER
oBuYiSeng的博客
12-09 1309
我们在上一篇中已经介绍了NT相关的结构,接下来分别具体的介绍里面的数据。 首先介绍IMAGE_FILE_HEADER 的结构,如下: typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 运行平台 WORD Numb
IMAGE_FILE_HEADER结构
weixin_33841722的博客
10-02 96
IMAGE_FILE_HEADER结构 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3845784.html
[PE格式分析] 4.IMAGE_FILE_HEADER
weixin_34342905的博客
08-14 169
源代码如下: typedef struct _IMAGE_FILE_HEADER { +04h WORD Machine; // 运行平台 +06h WORD NumberOfSections; // 文件的区块数目 +08h DWORD TimeDateStamp; // ...
PE文件之IMAGE_FILE_HEADER
jiangqin115的专栏
03-30 2216
IMAGE_NT_HEADERS的第一个成员是一个DWORD类型的PE签名,第二个成员就是IMAGE_FILE_HEADER了。IMAGE_FILE_HEADER的大小为20字节。第一个成员为WORD类型的Machine,这个通常为0x014C(intel 386系列CPU);第二个成员为WORD类型的NumberOfSections,即文件中节的数量,这个对应的文件具体的节区数量。第三个成员为D...
PE格式详细讲解【02】– IMAGE_FILE_HEADER 结构
u011513939的博客
06-20 2287
PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边将为大家详细讲解哈~ 首先是IMAGE_NT_HEADERS 结构的定义:(啥?结构不会,先看看小甲鱼童鞋的《零基础入门学习C语言》关于结构方面的章节吧~) IMAGE_NT_HEADERS STRUCT { +0h DWORD Signature
OEP.rar_OEP_Pe-file_infector
最新发布
09-24
Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体,可以直接用来解析PE文件。 此外,"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域,某些...
Pe_header.zip_The Information
09-23
这个“Pe_header.zip_The Information”压缩包显然包含了关于PE信息的详细资料,主要集中在“Pe_header.txt”文件中。PEPE文件结构的重要组成部分,它包含了运行时系统用来加载和执行程序所需的关键信息。 PE...
pe.rar_pe
09-23
例如,在C++中,可以使用`IMAGE_DOS_HEADER`和`IMAGE_NT_HEADERS`结构体来访问PE文件的DOS和NT,使用`IMAGE_SECTION_HEADER`来遍历节表。在Python中,有如`pefile`这样的库,方便地处理PE文件。 在Windows API中...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
这可以通过解析PE的`IMAGE_FILE_HEADER`结构和`IMAGE_OPTIONAL_HEADER`结构,以及节表的`IMAGE_SECTION_HEADER`结构来实现。 压缩包中的"PE文件格式的判断"源码很可能是实现这一过程的示例。它可能会包含以下几个...
PE文件导入表解析(C++)
05-01
其中,Image_NT_Headers又包含了Image_FILE_HEADERImage_OPTIONAL_HEADER,后者包含了导入表的起始地址。 导入表是PE文件中一个重要的部分,它记录了程序需要调用的其他DLL中的函数。导入表通常包含以下信息:DLL...
3.PE文件之标准PE(IMAGE_FILE_HEADER)
kernelhack
10-25 4892
标准PEIMAGE_FILE_HEADER紧跟在PE标记后,即IMAGE_NT_HEADERS.Signature + 4的位置.由此位置开始的20个字节为数据结构标准PEIMAGE_FILE_HEADER的内容. 该结构在微软的官方文档中被称为标准通用对象文件格式(Common Object File Format COFF).它记录了PE文件的全局属性,如该PE文件运行的平台、PE文件类型(EXE / DLL)、文件中存在的节的总数等. IMAGE_FILE_HEADER 结构及成员含义如下
C语言编程获取PE文件File_Header内容
一根火柴博客
02-02 2591
#include #include #include void viewImageFileCharacteristics(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNtHeaders; PIMAGE_FILE_HEAD
PE 中标准PEIMAGE_FILE_HEADER详(二)
想喝奶茶的胖大海
12-26 656
数据位 常量符号 为1的含义 0 IMAGE_ FILE_ RELOCS STRIPPED 文件中不存在重定位信息 1 IMAGE_ FILE_ EXECUTABLE_ IMAGE 文件是可执行的 2 IMAGE_ FILE_ LINE NUMS_STRIPPED 不存在行信息 3 IMAGE_ FILE_ LOCAL. SYMS_ STRIPPED 不存在符号信息 ...
lordPE转自http://blog.sina.com.cn/s/blog_6e8f83bc01014115.html
qq_20849045的博客
06-30 747
EntryPoint: 入口点,程序在执行时的第一行代码的地址应该就是这个值   ImageBase: 基地址,文件执行时将被映射到指定内存地址中,这个初始内存地址称为基址。基地址的值由PE文件本身设定的,按默认设置,Visual C++建立的exe文件基地址是00400000h,DLL文件的基地址是1000000h,但是在创建应用程序的exe文件的时候可以改变这个地址。方法是在链接应
PEIMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1800
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PEIMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
PE文件格式分析
Hsw1990的博客
07-24 670
PE文件格式分析 PE的意思是PortableExecutable(可移植的执行体)。它是Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(commonobjectfileformat)文件格式。“PortableExecutable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任...
PE文件解析_Dos
qq_50052051的博客
12-18 332
Dos部分主要为现代PE文件可以对早期的DOS文件进行良好兼容存在,其对应结构体为IMAGE_DOS_HEADER,所在文件为winnt.h typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值