DOS头与NT头手动解析以及编写读取PE文件的函数

最新推荐文章于 2024-05-17 14:00:16 发布
最新推荐文章于 2024-05-17 14:00:16 发布
阅读量854 收藏 24
点赞数 18
文章标签: 服务器 数据库 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EVANGELION_01a/article/details/135911907
版权

PE头部分的解析可以由工具直接解析,但是新手初次接触PE文件时,可以尝试手动解析进行练习,加深印象。

查看PE头

可以使用PEview打开文件来查看PE文件的头部分,这里以使用PEview打开visio2003为例

在该界面可以看到文件中全部文件指针的数据,我们对照DOS头和NT头的结构,可以将该结构体的每一个成员与对应的数据对应起来。

需要注意的是,PEview是16进制编辑器,因此从左至右依次读取结构体成员对应的数据,但是读取的单个数据是以两个字节为一组,从右至左排列。

举个例子,根据PE头的结构,PE文件头部分的第一部分是DOS头,其第一个成员为e_magic,一共四个字节,则对应上图中的数据可知,e_magic的数据即为5A4D,同理,e_cdlp为0090,e_cp为0003......

将DOS头和NT头全部读取得:

DOS头:

pFileDataDescrption
WORD e_magic5A4DMagic number
WORD e_cblp0090Bytes on last page of file
WORD e_cp0003Pages in file
WORD e_crlc0000Relocations
WORD e_cparhdr0004Size of header in paragraphs
WORD e_minalloc0000Minimum extra paragraphs needed
WORD e_maxallocFFFFMaximum extra paragraphs needed
WORD e_ss0000Initial SS value
WORD e_sp00B8Initial SP value
WORD e_csum0000Checksum
WORD e_ip0000Initial IP value
WORD e_cs0000Initial CS value
WORD e_lfarlc0040File address of relocation table
WORD e_ovno0000Overlay number
WORD e_res[4]0000Reserved words
WORD e_oemid0000OEM identifier
WORD e_oeminfo0000OEM information
WORD e_res2[10]0000Reserved words
LONG e_lfanew000000F8File address of new exe header

标准PE头:

pFileData
WORD Machine014C
WORD NumberOfSections0005
DWORD TimeDateStamp472B98E3
DWORD PointerToSymbolTable00000000
DWORD NumberOfSymbols00000000
WORD SizeOfOptionalHeader00E0
WORD Characteristics010E

可选PE头:

pFileData
WORD Magic010B
BYTE MajorLinkerVersion07
BYTE MinorLinkerVersion0A
DWORD SizeOfCode00000600
DWORD SizeOfInitializedData0002B400
DWORD SizeOfUninitializedData00000000
DWORD AddressOfEntryPoint00001114
DWORD BaseOfCode00001000
DWORD BaseOfData00002000
DWORD ImageBase00400000
DWORD SectionAlignment00001000
DWORD FileAlignment00002000
WORD MajorOperatingSystemVersion0004
WORD MinorOperatingSystemVersion0000
WORD MajorImageVersion0000
WORD MinorImageVersion0000
WORD MajorSubsystemVersion0004
WORD MinorSubsystemVersion0000
DWORD Win32VersionValue00000000
DWORD SizeOfImage00030000
DWORD SizeOfHeaders00000400
DWORD CheckSum0003098D
WORD Subsystem0002
WORD DllCharacteristics0000
DWORD SizeOfStackReserve00100000
DWORD SizeOfStackCommit00001000
DWORD SizeOfHeapReserve00100000
DWORD SizeOfHeapCommit00001000
DWORD LoaderFlags00000000
DWORD NumberOfRvaAndSizes00000010

编写读取PE文件的函数

void* ReadPEfile(char* Filename)
{
//定义一个无类型的指针pfilebuffer
	void* pfilebuffer;
	FILE* pfile=NULL;
//以可读可写的方式打开文件
	pfile=fopen(Filename,"rb");
	if(pfile=NULL)
	{
		printf("Failed to open PEfile %s .",Filename);
		return 0;
	}
//读取文件大小(fseek将文件指针移到文件末尾,ftell返回文件首位之间的长度,再调用fseek将文件指针移动到文件开头)
	fseek(pfile,0,SEEK_END);
	Filesize=ftell(pfile);//预先定义Filesize为全局变量
	fseek(pfile,0,SEEK_SET);
//malloc函数申请内存空间
	pfilebuffer=malloc(Filesize);
	if(!pfilebuffer)
	{
		printf("Failed to apply for space .");
		fclose(pfile);
		return 0;
	}
//以一个字节为步长,从pfile所在的位置开始,将Filesize个数据读到pfilebuffer中
	int n=fread(pfilebuffer,Filesize,1,pfile);
	if(!n)
	{
		printf("Failed to read data");
		free(pfilebuffer);
		fclose(pfile);
	}
	fclose(pfile);
	return pfilebuffer;
};

网安小白001
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
深入解析windows Nt文件系统内幕等.zip
05-15
Windows NT File System Internals(中文 英文) 深入解析windows Nt文件系统内幕 中文只有1-6章,英文比较清楚,有源代码
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2484
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 4942
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查找导出函数地址 通过导出函数序号查找函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8046
系统安全绕不开PE文件PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析
杨秀璋的专栏
01-04 6430
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安
驱动中Dos路径转NT路径
12-20
里面是一个写好的代码,可以在windows内核dos路径转NT路径,值得拥有
NTR4170NT1G-VB-MOSFET产品应用与参数解析
11-13
N沟道,30V,6.5A,RDS(ON),30mΩ@10V,33mΩ@4.5V,20Vgs(±V);1.2~2.2Vth(V);SOT23
NIF5002NT1G-VB-MOSFET产品应用与参数解析
11-09
N沟道,60V,4A,RDS(ON),76mΩ@10V,85mΩ@4.5V,20Vgs(±V);1.53Vth(V);SOT223
NTR4501NT1G-VB-MOSFET产品应用与参数解析
10-18
N沟道,20V,6A,RDS(ON),24mΩ@4.5V,33mΩ@2.5V,8Vgs(±V);0.45~1Vth(V);SOT23
【问题实操】银河高级服务器操作系统实例分享,某信息系统服务器宕机处理
银河麒麟操作系统的博客
05-17 988
【问题实操】银河高级服务器操作系统实例分享,某信息系统服务器宕机处理。
【MySQL精通之路】MySQL 8.0中添加、弃用或删除的服务器和状态变量及选项
Anakki的博客
05-16 314
欢迎大家关注专栏或者关注收藏我1.Mysql精通之路专栏: http://t.csdnimg.cn/4Rqp72.大家可以从这篇博客开始读,他是所有博客的根节点:【MySQL精通之路】详读MySQL8.0官方文档-CSDN博客MySQL 8.0中添加了以下系统变量、状态变量和服务器选项。 MySQL 8.0中删除了以下系统变量、状态变量和选项。
第八十一章 将 Web 应用程序与远程 Web 服务器结合使用 - 如果从 Web 服务器提供静态文件
yaoxin521123的博客
05-15 447
上创建目录来表示您的应用程序路径。这些目录仅用于保存静态内容,例如图像文件。)并且您没有使用虚拟主机,则无需添加虚拟目录。页面中引用的静态组件的其他路径。存在,则使用应用程序路径配置。服务器以识别此新虚拟路径。如果您的所有应用程序都位于此虚拟目录下(例如。例如,要从 Web 服务器上定义的应用程序路径。前面步骤中的应用程序路径对应于对等效位置中的。通常,这些相同的设置也适用于。如果创建新路径(例如第一个示例中的。的应用程序路径,其属性类似于在。服务器提供静态文件,请在机器。服务器,并且的应用程序路径从。
使用EO和nginx之后,服务器如何获取客户端真实IP地址
draracle的巢穴
05-14 291
X-Forwarded-For 记录着从客户端发起请求后访问过的每一个 IP 地址,第一个是发起请求的客户端本身的地址,各 IP 地址间由“英文逗号+空格”(那么,只需要获取 X-Forwarded-For 这个,并且用逗号来拆分字符串,第一个子串就是客户端的 IP 地址。,如果是直接访问的请求,可能是客户端真实的 IP 地址,但是中间若经过了层层的代理,就是最后一层代理的 IP 地址。从字面看 X-Real-IP 代表的是客户端请求真实的 IP 地址,这个参数。
『 Linux 』重定向 Redirect(万字)
小侯宝的博客
05-14 375
重定向是计算机编程和操作系统重的一个概念;一般指的是改变数据流的方向或将程序的输出从一个位置转移到另一个方式;一般在shell当中的重定向有标准输出重定向标准错误重定向标准输入重定向在博客『 Linux 』进程替换( Process replacement ) 及 简单Shell的实现(万字)当中实现了一个简易的Shell;但总体来说,这个简易的Shell写的并不好;无论是从代码结构,可读性,拓展性等等;1024// 命令行缓冲区大小3233// 获取环境变量为标识符/**/
windows本地主机和ubuntu服务器创建ssh隧道
最新发布
阿拉丁的知识分享库
05-17 152
C:\Users\dyf\.ssh目录下id_rsa.pub里的值复制到ubuntu服务器的/root/.ssh/authorized_keys文件里。复制到windows的C:\Users\dyf\.ssh目录下。windows上的127.0.0.1:8083可以接收到666。在C:\Users\dyf\.ssh目录下执行cmd命令。windows上的端口8083。2、windows本地主机。4、windows本地主机。1、ubuntu服务器。3、ubuntu服务器。5、ubuntu服务器。
主从Reactor服务器
tiz
05-14 449
此时该连接有新的通信,(通过调用回调的方式,任意事件回调)那么我们就针对该连接的智能指针再创建一个智能指针,使得智能指针的计数器+1,并将对断开连接的操作放到时间轮的新位置,这样,当 时间轮走到旧的位置时,虽然仍然会释放连接,智能指针的计数-1,但由于计数未到0,不执行类的析构函数,达到刷新任务的目的,也就是我们说的非活跃连接销毁。调用对应的处理函数后,再将函数处理结果接入响应报文的正文之中,就可以按照响应报文的格式组织发送了,发送完毕后,重置该连接的上下文,并根据其长短连接属性决定是否断开连接。
银河麒麟服务器操作系统V10-SP1部署gitlab服务
weixin_43173670的博客
05-14 242
银河麒麟高级服务器操作系统 V10 SP1 部署GitHub
linux
weixin_44771551的博客
05-14 648
su用于用户之间的切换。示例:使用more查看/etc/sudo.conf文件,可以显示百分比,回车可以向下一行,空格可以向下一页,q可以退出查看。示例:将/usr/tmp目录下的aaa目录复制到 /usr目录下面 cp /usr/tmp/aaa /usr。示例:将/usr/tmp目录下的aaa目录剪切到 /usr目录下面 mv /usr/tmp/aaa /usr。示例:find /usr/tmp -name ‘a*’ 查找/usr/tmp目录下的所有以a开的目录或文件
pe文件中的引入函数表在什么位置
08-20
通过解析PE文件中的导入表,程序可以知道需要哪些外部函数库,以及这些外部函数库中的函数被调用的地址。这对于程序在运行时动态链接外部库非常重要,因为它需要知道哪些函数应该从哪个外部库加载。 总之,PE文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值