PE头字段说明-41

最新推荐文章于 2024-04-24 21:45:06 发布
最新推荐文章于 2024-04-24 21:45:06 发布
阅读量156 收藏
点赞数
分类专栏: 语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DXH9701/article/details/109163995
版权

文章目录

DOS头

WORD e_magic	 	MZ标记.判断是否是可执行文件
DWORD e_flanew		PE头相对于文件便宜,用于定位PE文件

标准PE头

WORD		Machine						程序运行CPU型号.
WORD		NumberOFSections			文件中存在的节的总数, 如果要修改或新增节,修改这个值
DWORD		TimeDateStamp				时间戳,文件创建时间.编译器填写这个数值
DWORD		PointerToSymbolTable	
DWORD		NumberOFSymbols		
WORD		SizeOFOptionalHeader		可选PE头大小. 32位PE文件默认E0h,64位PE文件默认F0h大小可自定义
WORD		Characteristics				每个位都有不同含义. 可执行文件值为10F. 即: 0 1 2 3 8位置1

TimeDateStamp 程序加壳需要 map文件.
map文件中描述了所有的函数信息. 每次加壳前需要校验 map文件生成时间和程序的生成之间一不一样
Characteristics 各个位的含义
在这里插入图片描述
将各个位上的值相加,等于 010F

可选PE头

WORD		MAIGC	说明文件类型10B:32位下PE文件.20B:64位下PE文件
DWORD	SizeOFCode	所有代码节的和.必须是 FileAlignment的整倍数.编译器填写的	没用
DWORD	ImageBase		内存镜像基址
DWORD	SectionAlignment	内存对齐
DWORD FIleALignment	文件对齐
DWORD SizeOFImage	内存中中个PE文件的映射尺寸.可以比实际值大.但必须是SectionAlignment的整倍数
DWORD	SizeOFHeaders	所有节和拖按照文件对齐后的大小.严格按照SectionAlignment对齐.否则加载会出错

程序断点

程序在OD中运行. 自动停的地方:
是 ImageBase 的数据 + AddressOFEntryPoint 相加的结果
在这里插入图片描述

Basexxx

代码和数据的基址
在这里插入图片描述

ImageBase

内存镜像地址.

PELoader

这个名字很low. 换个名字就是 内核重载.
用于 调式具有反调试功能的软件

FileBuffer

将exe 从 硬盘上 COPY 到内存中
在这里插入图片描述
之后在通过一定格式拉伸.

在这里插入图片描述
他们之间主要是 FileBuffer 没有拉伸. 画红框的是拉伸之后的
拉伸之后,在内存中程序的起始运行地址是 ImageBase.

ImageBase开始存储的是: DOS头,PE头,标准PE头.
而这个值是什么,是ImageBase 存储的值决定的

AddressOFEntryPoint

OEP:真实物理地址
这个值可能存储在任一一个段中的任一位置

在这里插入图片描述

SizeOFImageBase

整个exe程序装载到内存之后被拉长了的长度.
在这里插入图片描述

SizeOFHeaders

所有节和头按照文件对齐后的大小

路上^_^
关注
专栏目录
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE可选
BiCai2的博客
09-16 1317
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像 BYTE MajorLinkerVersion; 链接器版本号 BYTE MinorLinkerVersion; 链接器副版本号 DWORD
浅谈PE文件结构(三)
weixin_43137410的博客
06-23 336
这次主要讲PE可选,也是所有文件中字段最多的结构。 Magic:此字段描述了文件的状态,有以下值: Value Meaning IMAGE_NT_OPTIONAL_HDR_MAGIC 该文件是一个可执行文件。此值在32位应用程序中定义为IMAGE_NT_OPTIONAL_HDR32_MAGIC,在64位应用程序中定义为IMAGE_NT_OPTIONAL_HDR64_MAGIC。 0x10b 该文件是一个32位可执行文件。 0x20b 该文件是一个64...
PE文件(二)PE字段说明
2301_78838647的博客
04-24 1181
PE字段 = DOS + PE标记 + 标准PE + 可选PE我们今天分析一下PE字段中所有重要成员的含义。
PE解析-字段说明
qq_51600802的博客
10-27 2271
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 1074
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
PE字段说明
tell_me_404的博客
08-09 426
PE字段说明一、 PE格式结构图二、PE字段说明三、对应关系 一、 PE格式结构图 建议放大看 二、PE字段说明 未注释的代表是重点 1、DOC: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE相对于文件的偏移,用于定位PE文件 2、标准PE: WORD Machi
PE字段说明(滴水)
若面朝大海边竹妮春暖花开的博客
04-25 394
e_lfanew指向的是PEPE下面才是标准PE NumberOfSections指向文件中一共有多少个节 AddressOfEntryPoint也叫作OEP,AddressOfEntryPoint+ImageBase就是OD中程序开始断下来的地址 ImageBase指的是在内存中所有的数据是从哪里开始的 ...
[滴水逆向]03-12 pe字段说明课后作业,输出pe结构
fzucaicai的博客
09-21 1084
所以重点来了:用完ftell()这个函数,就会将文件内部指针的位置移动到最末尾(如果设置的是SEEK_END),所以需要重新使用一下fseek重新设置文件内部指针的一个位置。有个问题,因为我认为前面一个已经判断指针移动失败了,于是我把第二个注释了,发现少了第二个fseek就会输出错误的答案。如果执行成功 , 则返回 0 , 失败返回非 0 , 并设置 error 错误代码;偏移量参数 , 可以为正数 , 也可以为负数;设置的指针的位置是 起始位置 + 偏移量;
滴水逆向三期实践1:PE字段解析,附PE结构下载
Rivival_S 的博客
09-22 2195
视频资源详见网盘搜索 或 在线的B站滴水逆向三期 其课件也能在CSDN或百度搜索到,以下部分为课件内容摘要,部分为自己的理解 最后附上详细注释的自写代码 PE(Portable Executable)文件,是windows上的可移植的可执行文件,常见的 .exe .dll .sys 等都是PE文件。那么PE文件和计算机网络的各种包一样,都有自己独特的格式。 这里有张PE格式图的部分截图,完整版链接:https://pan.baidu.com/s/1ToG2wc_qOi0BfrLTe...
PE版本信息源码-易语言
06-12
例如,`GetFileVersionInfoSize` API用于获取文件版本信息的大小,`GetFileVersionInfo` API则用于获取实际的版本信息,再配合`VerQueryValue` API可以解析出特定的版本字段。下面是一个简单的源码示例: ```易语言...
OEP.rar_OEP_Pe-file_infector
09-24
可选中,`IMAGE_OPTIONAL_HEADER::AddressOfEntryPoint`字段就标识了OEP。 在实际操作中,我们可以编写一个程序,读取PE文件的二进制数据,解析信息,定位到OEP。这需要对内存映射文件、文件流I/O以及PE文件...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6596
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
计算机之xxx讲解汇编指令
DXH9701的博客
08-06 3670
网址 学习网址. 可以看到 计算机是怎么进行四则运算的. OD 四个区域: 左上: 反汇编区. 左下: 内存区 右上: 寄存器区. 右下: 堆栈区 作用 堆栈区 已经申请内存的地址. 该地址已经申请,我们可以使用.填充数据 mov 使用mov指令操作数据到各个部件中 立即数到内存 寄存器到内存 内存到寄存器 PT DS:[18FFFC], 汇编中地址的固定写法 DWORD,双字节宽度.8个bit WORD,单字节宽度. 4个bit 立即数到内存 MOV DWORD PTR DS:[18FFFC],12
001-进制
DXH9701的博客
09-19 411
游戏外挂逆向基础
汇编之之之之13-14
DXH9701的博客
07-30 367
裸函数 函数体内没有任何代码的函数 但是. 编译后的汇编代码还是会 进行压栈,填充数据,保护现场 恢复现场等操作 练习 需要熟悉堆栈结构,参数,局部变量的位置. 返回值的存储位置 调用约定 不同调用的 堆栈平衡,参数压栈 都是谁来做 win os 中使用的是 stdcal 的方式 对函数进行编译 ret 8 ret 8. 相当于 ret esp + 8. 在函数结束时,esp 出栈8个字节. 俩个内存单元. 程序入口 main 方法是 KERNEL.7c816d4f 进行调用. 调用了 ma
JCC-11
DXH9701的博客
10-07 365
JCC补录其他指令CMPTEST其他指令 其他指令 CMP 格式: CMP R/M,R/M/IMM. 主要根据 比较的结果 改变 ZF 标志位. 当 俩个数相等时,ZF == 1. 否则 ZF == 0. 如果是正向代码的话,就是IF 分支用来跳转,或者选择代码来执行 CMP相当于 执行 SUB 指令. 但是并不会将 比较结果存储到第一个操作数中 还会影响到 SF 标志位. 当第一个数比第二个数小,那么SF == 1.否则 SF== 0 CMP还可以寄存器和内存中的只进行比较 TEST 格式:
汇编之youyouyou内存图15
DXH9701的博客
08-02 353
里面有你想看的,请访问网址 www.xxx.com
Ruff-1-2
DXH9701的博客
03-28 313
前言 本来在公司使用到了 MQTT.想着找一下这方面的资料.但是却找到了 Ruff的学习视频. Ruff 特点 以JavaScript作为开发语言. 高度硬件抽象 比如说,在 开关灯的时候,里面的硬件非常负载. 哪根导线和哪根导线相连接. 哪根导线有发挥了什么作用. 传输什么命令等. 这些细节都被Ruff隐藏了起来. 代码跨平台 这点是因为 Ruff 屏蔽了底层的硬件细节. 学习社区 ...
如何通过PE文件的Characteristics字段区分EXE和DLL文件?请详细解析该字段的每个位的意义。
最新发布
10-28
在《PE文件Characteristics字段详解:鉴别exe/dll的关键》一书中,你可以找到关于这个字段的详尽解释,这对于理解和处理Windows系统中的可执行文件至关重要。下面将具体解析Characteristics字段的每个位,并说明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值