PE头之IMAGE_OPTIONAL_HEADER解析

最新推荐文章于 2024-04-06 18:37:31 发布
最新推荐文章于 2024-04-06 18:37:31 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Reverse 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/120810592
版权

目录

预备知识

一、相关实验

本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。

二、C32Asm

C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。
本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。

三、LordPE

LordPE除了可以查看PE文件的基本信息之外,还支持对PE文件的编辑操作,可以修改PE文件中各个字段或者结构的数据然后进行保存。

实验目的

1)学习PE文件结构中OptionalHeader部分;
2)了解AddressOfEntryPoint以及ImageBase;
3)了解数据目录表的结构。

实验环境

在这里插入图片描述
服务器:Windows XP,IP地址:随机分配
辅助工具:C32Asm、PEiD、StudPE、LordPE

实验步骤一

OptionalHeader结构学习。
在上一个实验中我们介绍了IMAGE_NT_HEADERS结构体中的Signature字段以及FileHeader字段,本实验将介绍其最后一个字段OptionalHeader。OptionalHeader的中文译名叫做“可选头”,用于为加载器提供加载信息,注意OptionalHeader的大小并不固定,其大小由FileHeader中的SizeOfOptionalHeader字段来决定,其关系如下图所示:
在这里插入图片描述
OptionalHeader字段对应的结构体的名称为IMAGE_OPTIONAL_HEADER,该结构体在WinNt.h头文件中的完整定义如下:

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 578
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
iczelion pe tutcn4
jimgreen的专栏
08-29 789
 PE教程4: Optional Header我们已经学习了关于 DOS headerPE header 中部分成员的知识。这里是 PE header 中最后、最大或许也是最重要的成员,optional header。回顾一下,optional header 结构是 IMAGE_NT_HEADERS 中的最后成员。包含了PE文件的逻辑分布信息。该结构共有31个域,一些是很关键,另
PE格式详细讲解3 - 系统篇03|解密系列
weixin_34111790的博客
04-11 183
PE格式详细讲解3-系统篇03 让编程改变世界 Change the world by program 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE...
可选 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 226
//IMAGE_OPTIONAL_HEADER结构(可选映像) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
PE文件之IMAGE_OPTIONAL_HEADER
jiangqin115的专栏
03-30 693
可选位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选的大小由文件中倒数第二个成员指定。可选中重要的数据成员有:第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0x004000...
4.PE文件之扩展PE(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5542
可选/扩展PEIMAGE_OPTIONAL_HEADER,它有着比标准PE(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
OEP.rar_OEP_Pe-file_infector
09-24
在可选中,`IMAGE_OPTIONAL_HEADER::AddressOfEntryPoint`字段就标识了OEP。 在实际操作中,我们可以编写一个程序,读取PE文件的二进制数据,解析信息,定位到OEP。这需要对内存映射文件、文件流I/O以及PE文件...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
这可以通过解析PE的`IMAGE_FILE_HEADER`结构和`IMAGE_OPTIONAL_HEADER`结构,以及节表的`IMAGE_SECTION_HEADER`结构来实现。 压缩包中的"PE文件格式的判断"源码很可能是实现这一过程的示例。它可能会包含以下几个...
PE文件导入表解析(C++)
05-01
2. 解析Image_NT_Headers:获取`OptionalHeader`字段,从中读取`DataDirectory`数组,找到导入目录的虚拟地址和大小。 3. 跳转到导入目录:根据虚拟地址转换为文件偏移量,然后读取导入目录结构(IMAGE_IMPORT_...
PE解析器(C语言).zip
08-19
接着解析NTIMAGE_NT_HEADERS),包括FILE_HEADEROPTIONAL_HEADER。FILE_HEADER包含了文件类型、节的数量等信息;OPTIONAL_HEADER包含了加载配置、导出表、导入表等信息。 4. 节表解析:每个节都有一个IMAGE_...
PE文件解析器的原理(C语言代码)
01-16
NT则包含PE签名("PE\0\0"),以及两个重要的结构体:FileHeaderOptionalHeader。FileHeader提供了关于编译和链接的信息,如目标CPU类型、文件的节(section)信息等。OptionalHeader包含了可选的元数据,如子...
[PE结构分析] 5.IMAGE_OPTIONAL_HEADER
weixin_34387284的博客
08-14 104
结构体源代码如下: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // +18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) +1Ah BYTE MajorLin...
小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用
05-13 1282
<br />作者 : 小甲鱼是帅哥<br /> <br /> <br />咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!<br />(视频教程:http://fishc.com/a/shipin/jiemixilie/)<br />接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些
PE Header中的OptionalHeader
weixin_34239592的博客
06-28 286
typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // +18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) +1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号 +1Bh B...
PE格式详细讲解【03】– IMAGE_OPTIONAL_HEADER32 结构
m0_61601712的博客
03-26 287
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。 因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中进行定义。 因此这两个结构联合起来,才是一个完整的 “PE文件结构” 。 那么我们接着就应该顺理成章地来谈谈 IM...
小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
07-29 2483
上一讲:小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!(视频教程:http://fishc.com/a/shipin/jiemixilie/)接着我们来谈谈 IMAG
pe格式从入门到图形化显示(三)-可选
最新发布
Mrack的博客
04-06 1021
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
PE中可选PEIMAGE_OPTIONAL_HEADER32/64 简(三)
想喝奶茶的胖大海
12-26 1090
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE中的第三部分,可选(扩展)PE,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
PE总结5---PE文件结构NT之文件--IMAGE_FILE_HEADER
oBuYiSeng的博客
12-09 1308
我们在上一篇中已经介绍了NT相关的结构,接下来分别具体的介绍里面的数据。 首先介绍IMAGE_FILE_HEADER 的结构,如下: typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 运行平台 WORD Numb

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值