13.3 DOS头

最新推荐文章于 2024-04-05 20:58:48 发布
最新推荐文章于 2024-04-05 20:58:48 发布
阅读量371 收藏
点赞数
分类专栏: 逆向工程核心原理学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FZHXZHT/article/details/48164501
版权

13.3.1 dos 头

记忆结构体

typedef struct _IMAGE_DOS_HEADER{

WORD e_magic; //DOS signature : 4D5A("MZ")

WORD e_cblp;

WORD e_cp;

WORD e_crlc;

WORD e_cparhdr;

WORD e_minalloc;

WORD e_maxalloc;

WORD e_ss;

WORD e_sp;

WORD  e_csum;

WORD e_ip;

WORD e_cs;

WORD e_lfarlc;

WORD e_ovno;

WORD e_res[4];

WROD e_oemid;

WORD e_oeminfo;

WORD e_res2[10];

LONG e_lfanew;  //offset to NT header

}IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

dos头是为了让pe文件兼容dos

18个WORD 1个LONG ,共40个字节

必须掌握的是 e_magic :dos签名 

e_lfanew:指示NT头的偏移(根据不同文件拥有可变值)


13.3.2DOS存根

dos存根(stub)在dos头下方,是个可选项,且大小不固定(即使没有dos存根,文件也可以正常运行)。dos存根有代码和数据混合而成。


40~4D是16位的汇编指令,32位不会运行,在dos环境中运行,或者使用dos调试器(debug.exe)运行它,可使其执行该代码,

具体做法是 在windows xp环境下打开命令行窗口,输入如下命令debug C:\Windows\notepad.exe

出现的光标位置输入“u”指令(反汇编),就会出现16位的汇编指令



代码很简单,输出字符串“This program cannot be run in DOS mode”后退出,这样可以在exe文件中创建出另一个文件,在dos与Windows中都能运行

FZHXZHT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式总结 - DOS文件、PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件、PE文件、节表和表详解
MS-DOS
曾是土木人
04-27 1371
每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header之后的DOS stub(DOS块)。DOS stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,他将简单显示一个错误提示,类似于字符串“This program cannot be run in MS-DOS mode”。程序员也可以根据自己的意
DOS结构
aod83029的博客
10-04 311
DOS结构typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header +0h WORD e_magic; // *****DOS可执行文件标记***** +2h WORD e_cblp; // Byt...
PE文件-DOS
weixin_45012273的博客
11-06 404
概述 PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等.... PE文件整体的格式图: DOS IMAGE_DOS_HEADER格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ" .
PE总结3---PE文件结构DOS文件
oBuYiSeng的博客
11-24 2217
PE文件结构DOS文件,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT部在文件中的偏移,新的exe文件
Microsoft Library MSDN4DOS.zip
04-30
13.3 Differences From 80286 Chapter 14 80386 Real-Address Mode 14.1 Physical Address Formation 14.2 Registers and Instructions 14.3 Interrupt and Exception Handling 14.4 Entering and Leaving Real-...
重大发现:MSDN for DOS - Microsoft Library 1.03
04-30 1828
MSL 即 Microsoft Library 是 DOS 版的 "WinHelp",也就是现代版 Help Viewer 的始祖。 安装目录下有个 ini 文件,用来指定图书的路径,它即是目录。 文件来源自 http://wdl2.winworldpc.com/Abandonware%20SDKs/Microsoft Programmer's Library 1.3.7z     Micr
Microsoft Codeview and Utilities User's Guide
04-30
for MS(R) OS/2 and MS-DOS(R) Operating Systems MICROSOFT CORPORATION Information in this document is subject to change without notice and does not represent a commitment on the part of Microsoft ...
王爽 《汇编语言》 读书笔记 十三 int指令
sesiria的博客
09-17 599
第十三章 int指令 int引发的属于内中断 13.1 int指令 int n  , n为中断类型码。 1)取得中断类型码 2)标志寄存器入栈,IF=0, TF=0; 3)CS,IP 入栈 4)(IP)=(n*4)  (CS) = (n*4 + 2) 中断处理程序也称为中断例程 13.2 编写供应用程序调用的中断例程 问题,编写,安装中断7ch的中断例程。 功
PostgreSQL安装(zip解压方式)
小艾的未解之谜
11-12 2546
PostgreSQL安装(zip解压方式) 下载postgre包: 地址:PostgreSQL: Downloads 解压zip包,以下是解压在: D:\pgsql 在主目录下面创建data目录,作为数据存储目录 打开cmd切换到bin目录,进行dos窗口 初始化pgsql: initdb.exe -D D:pgsql\data 启动pgsql,启动完以后不要关闭窗口: pg_ctl.exe start -D D:pgsql\data 重新打开一个...
Snaglt13截图工具
11-15
一个非常好用的截图工具 制作说明文档 和操作视频非常方便
PE文件学习笔记(一):DOS与PE解析
热门推荐
Apollon_krj的博客
08-10 1万+
在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
pe格式从入门到图形化显示(一)-DOS
Mrack的博客
04-05 530
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式是Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:部、节区表、节区和数据目录。部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
【PE结构】1.PE文件结构、DOS
SMOne
06-22 1421
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表一、前言PE(PortableExecutable)文件,也就是Windows操作系统上的可执行文件,不仅仅是扩展名为EXE的文件,还包括DLL、SYS、COM、OCX等多种文件。Windows操作系统树大招风,运行在上面的各种应用程序(PE文件)自然成了很多...
PE格式之DOS+PE
Miibotree
04-06 5671
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。 所以写下代码来泄愤。。。。 首先给大家推广下小甲鱼的网站 http://fishc.com/  小甲鱼是个大帅锅(。。。。) 这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还
第一课 PE的介绍与手写DOS
xuenixiang.com
07-18 586
这个文件包含了所有PE相关的结构 首先创建一个小的可执行程序 选择一个小的应用程序 编译好之后,我们看一下他的区段(text是放代码的,rdata段是放导入表的,data用来放全局函数的) 把文件放到编译的目录下可以精简我们的程序 只要在源码中包含一下这个文件即可 右键查看文件 合并区段的部分被注释掉了 加上合并区段的代码 编译出来会发...
DOS和NT(PE)结构及移位(小白文详细篇)
Doub1's Blog
06-11 2339
DOS和NT(PE)结构及移位(x86 x64 小白文详细篇)DOSPEPE移位 DOS 一个PE文件起始的部分开始就是DOS,不要觉得难理解,这和GIT,BMP,JPG,RAR等等都一样,只是在文件起始部位标识这个文件属于什么文件类型。 下面是DOS在winnt.h中的定义: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic
【2021.01.11】DOS属性说明
oalken的博客
01-11 632
IMAGE_DOS_HEADER DOS DOS由两部分组成:DOS MZ文件DOS块。 DOS块不是结构体,而是由单个字节组成的数据,可以填写任何内容。 但是DOS MZ文件是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..
winform执行DOS命令
mimi00x的专栏
10-23 358
<br />        /// <summary><br />        /// 命令执行框<br />        /// </summary><br />        /// <param name="cmd">命令串</param><br />        private void ProcessCmd(string cmd)<br />        {<br />            Process proc = new Process();<br />            tr
sqlyog 13.3
最新发布
08-27
SQLyog是一款功能强大的MySQL数据库管理工具,版本13.3是一个针对MySQL数据库的图形化界面客户端软件。它允许用户执行SQL查询、数据导入导出、表结构操作、视图和存储过程管理等任务,同时提供了一个直观的导航面板和实时数据查看。该版本可能包含了新的特性优化、性能提升以及用户体验改进,例如更智能的数据编辑、更高效的查询执行、支持更多的MySQL 8.x特性等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值