PE文件详解之MS-DOS头

最新推荐文章于 2024-09-30 07:50:34 发布
最新推荐文章于 2024-09-30 07:50:34 发布
阅读量2.5k 收藏
点赞数 1
分类专栏: PE文件详解 文章标签: Windows系统篇 PE文件之MS-DOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HK_5788/article/details/48166375
版权

MS-DOS头

   1,每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。
   2,PE文件的第一个字节起始于一个传统的MS-DOS头部,被称作为IMAGE_DOS_HEADER。
   3,IMAGE_DOS_HEADER 结构如下: 
IMAGE_DOS_HEADER STRUCT
{
+0h WORDe_magic //Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记
+2h WORDe_cblp//Bytes on last page of file  
+4h WORDe_cp//Pages in file
+6h WORD e_crlc//Relocations
+8h WORDe_cparhdr   //Size of header in paragraphs
+0ah WORD e_minalloc  //Minimun extra paragraphs needs
+0ch WORDe_maxalloc  //Maximun extra paragraphs needs
+0eh WORDe_ss  //intial(relative)SS value    DOS代码的初始化堆栈SS
+10h WORDe_sp  //intial SP value               DOS代码的初始化堆栈指针SP
+12h WORDe_csum  //Checksum
+14h WORDe_ip  //    intial IP value                   DOS代码的初始化指令入口[指针IP]
+16h WORDe_cs  //intial(relative)CS value                    DOS代码的初始堆栈入口
+18h WORDe_lfarlc  //File Address of relocation table
+1ah WORDe_ovno        //    Overlay number
+1ch WORDe_res[4]  //Reserved words
+24h WORDe_oemid  //    OEM identifier(for e_oeminfo)
+26h WORD      e_oeminfo   //    OEM information;e_oemid specific 
+29h WORDe_res2[10]   //    Reserved words
+3ch DWORD   e_lfanew     //Offset to start of PE header             指向PE文件头
} IMAGE_DOS_HEADER ENDS
     其实这么多,主要记住:
WORD e_magic  //---DOS可执行文件标记.
DWORD e_lfanew   ///--- 指向PE文件头(这个是一个指针)。
      

PandaMohist
关注
专栏目录
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6626
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件结构详解
12-22
PE文件结构详解 PE 文件结构
深入剖析PE文件,PE文件详解
12-20
认识可执行文件的结构非常重要,在DOS下是这样,在Windows系统下更是如此。了解了这种结构后就可以对可执行程序进行加密、加壳和修改等,一些黑客也利用了这些技术。为了使读者对PE文件格式有进一步的认识,
Windows PE》3.2 PE结构-DOSDOS
最新发布
bcdaren的博客
09-30 1225
在VS中输入#include "winnt.h" ,点击右键,打开文档。然后搜索 IMAGE_DOS_HEADER 或者在程序里面输入IMAGE_DOS_HEADER 按F12转到定义。■。
收藏.PE文件详解
_CHRYTHON
10-08 1504
PE文件分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER(其中包含Data Direcotry) 文件后紧跟着为 Section Table (array of IMAGE_SECTION_HEADERs)
PE文件详解(六)
Masimaro的专栏
03-21 3084
文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
详解PE文件
Wolf_xujie的博客
04-06 623
笔者在某安全公司实习,第一天被要求了解PE结构,好吧,因为基础不扎实,经过一天的时间了解的啥都不是,,,受到了导师的特殊关照,推荐了我一本没推荐给别人的书--Windows32位汇编程序(罗云彬著)嘿嘿,匿名感谢导师,,,清明三天的PE之旅。 1.1PE文件的结构 pe就是在windows下最常用的可执行文件格式,在pe文件中代码,已经初始化的数据,资源和重定位信息等数据被按照属性分类放在不同...
PE文件详解
ithzhang
02-13 4222
参考数据书籍:《加密与解密(第三版)》  看雪论坛PE文件学习笔记整理:自己学习PE文件的一个总结,只是一个起步,对PE文件的概念的一个学习吧,属于比较菜的阶段,学习完这一部分之后就要先放下一段时间来做更正要的事情了。PE文件之后的应用之后再慢慢的学习吧。希望可以给我同时也给你们带来一些帮助。图是来自己截的图,有书上的,有自己实际操作的。如果需要的话可以Q我我发给你,包括这个word。
PE文件格式详解:从DOS到NT签名
每个PE文件都以一个MS-DOS可执行体开,确保文件DOS环境下也能运行。紧接着是一个32位的签名,即0x00004550,这是PE文件的标识,通常表示为"PE"。这个签名确认了文件PE格式。 三、文件结构 文件结构主要分为几...
PE文件格式详解:从DOS stub到NT Signature
接着是总览部分,指出每个PE文件的开是一个MS-DOS可执行体,确保PE文件能在MS-DOS环境下运行。然后是4字节的签名0x00004550,也称为IMAGE_NT_SIGNATURE或PE签名,标志着这是个PE文件。紧接着是按照COFF格式定义的...
PE文件详解
03-17
- DOSPE文件的起始部分,它是一个兼容MS-DOS的小程序,允许在没有Windows环境的DOS系统下运行。主要包含一个跳转指令,指向NT的地址。 2. **NT**: - NTPE文件的核心,包括两个结构:`IMAGE_NT_...
PE文件详解-附图,具体
11-30
PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了 --------------------- 作者:evileagle
PE文件详解(一)
hercs的博客
03-06 659
结构IMAGE_DOS_HEADER(MS-DOS)IMAGE_NT_HEADER(PE文件)Signature:PEIMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER32IMAGE_SECTION_HEADER(区段表)SECTIONS(区段) 各部分常用关键字段MAGE_DOS_HEADER(DOS)0x3C  e_lfanew PE    文件偏移IMAGE...
PE文件详解01
qq_33168924的博客
11-19 1145
PE文件详解之01 1.PE文件: ​ PE文件windows平台下的一种可执行的文件格式,包括可执行文件(后缀名exe),动态链接库(后缀名dll),驱动文件(sys文件)。在进程空间,通常由一个exe(主模块)和其他多个dll模块构成。 2.PE文件的大概组成: ​ PE文件主要由两个部分组成,头部和主体部分。头部DOS,NT,区段组成,主体由各个区段组成,还有一些调试信息。主体各个...
PE文件详解中(C++版)
wanglei2258的专栏
01-27 1256
PE文件段    PE文件规范由目前为止定义的那些头部以及一个名为“段”的一般对象组成。段包含了文件的内容,包括代码、数据、资源以及其它可执行信息,每个段都有一个头部和一个实体(原始数据)。我将在下面描述段头部的有关信息,但是段实体则缺少一个严格的文件结构。因此,它们几乎可以被链接器按任何的方法组织,只要它的头部填充了足够能够解释数据的信息。 段头部    PE文件格式中,所有的段
PE文件详解02
qq_33168924的博客
11-21 386
PE文件详解02 1.内容概要 PE文件详解01中我们已经解析了dos,nt,区块表中的数据,接下来本片文章主要讲数据目录表中索引的几种关键数据。这些关键数据包括导入表,导出表,资源表,重定位表,线程本地存储,延迟加载表。 2.数据目录表内容在nt的扩展中 ,数据目录表是对上面各种表的索引,方便我们从区块中快速检索到数据。 3.导出表 3.1:导出表的作用 导出表是PE文件自己给其他PE...
PE文件详解-----PE文件的简介
bobopeng
11-19 1698
一.PE文件的背景介绍  如今的编程绝大部分都是建立在操作系统上的程序设计,那么深入理解操作系统对于一个程序员来说是至关重要的。当我们运行一个程序,这个程序从编写到运行到第发生了一些什么呢?了解这些对于优化程序性能,深入理解编程,底层编程,安全编程都是需要熟练掌握的。其中涉及到的主题有虚拟内存管理、寻址方式、虚拟文件系统、多线程、进程通信、进程地址空间等等。那么这些跟PE文件有什么关系呢?实
pe文件详解(四)
liang5603的专栏
10-13 321
本文转自小甲鱼的PE文件详解系列原文传送门  到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。  越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释,大伙可以按需要看。  PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEA...
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 2132
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件的相对偏移(RVA),指向真正的PE文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值