pe解析

最新推荐文章于 2024-03-12 16:47:46 发布
最新推荐文章于 2024-03-12 16:47:46 发布
阅读量280 收藏 1
点赞数
分类专栏: c 文章标签: pe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Iamangle122/article/details/78695352
版权

doc头

word e_magic “MZ标记”用于判断是否为可执行文件
Dword e_lfanew pe头相对于文件的偏移,用于定位pe文件

标准pe头

word Machine 程序运行的cpu型号:0x0任何处理器/0x14c 386及后续处理器
word NumberOfSections 文件中存在的节的总数,如果要新增节或者合并节,就要修改这个值
dword TImeDateStamp 时间戳:文件的创建时间(和操作系统的创建时间无关),编译器填写的
dword PointerToSybolTable
dword NumberOfSymbols
word SizeOfOptionalHeader 可选pe头的大小,32位pe文件默认E0h,64位pe文件默认为F0h 大小可以自定义
word Characteristics 每个位都有不同的含义,可执行文件值为10F 即0 1 2 3 8 位置1

可选pe头

word Magic 说明文件类型:10b 32位下的pe文件 20b 64位下的pe文件
byte MajorLinkerVersion
byte MinorLinkerVersion
dword SizeOfCode 所有代码节的和,必须是FileAlignment的整数倍 编译器填的 没用
dword SizeOfInitializedData 已初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的 没用
dword SizeOfUninitializedData 未初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的 没用
dword AddressOfEntryPoint 程序入口
dword BaseOfCode 代码开始的基址,编译器填的 没用
dword BaseOfData 数据开始的基址,编译器填的 没用
dword ImageBase 内存镜像基址
dword SectionAlignment 内存对齐
dword FIleAlignment 内存对齐
word MajorOperatingSystemVersion
word MinorOperatingSystemVersion
word MajorImageVersion
。。。
参考http://blog.csdn.net/evileagle/article/details/11903197

望望2018
关注
专栏目录
PE解析
黑夜黎明
05-14 403
// PE解析1.cpp : 定义控制台应用程序的入口点。 //1·获取文件到内存 //2·判断是否是PE文件 //3·解析字段 // //f1·RVAtoFOA #include "stdafx.h" #include<windows.h> char* ReadFileToMem(char* pFilePath) { HANDLE hFile = CreateFileA(pF...
三个PE解析器代码学习
04-29
标题 "三个PE解析器代码学习" 涉及的核心知识点主要围绕着PE(Portable Executable)文件格式、PE解析、MFC(Microsoft Foundation Classes)框架以及C++编程语言在Windows环境下的应用。以下是对这些主题的详细阐述...
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
pe文件解析
&Ψ的博客
07-21 1152
文章目录pe文件解析1.pe文件总图2.大体的分类2.1 dos头部分2.2 pe头2.2.1 标准pe头2.2.2 扩展pe头2.3段表2.4 验证3.rva和foa3.1对齐的相关变量3.2什么是对齐3.3pe文件中的对齐3.4 rva和foa的转换算法3.5验证算法4 导出表4.1实验4.2 利用输出的foa地址找到函数5 导入表5.1 输出模块的名字和依赖模块的函数表5.2 在内存中输出OriginalFirstThunk 和 FirstThunk 指向的结构 pe文件解析 1.pe文件总图 所有成
PE文件解析
爱上了她的猫~
05-28 3366
标题:PE文件解析 作者:流浪的野指针 1 IMAGE_DOS_HEADER MS-DOS 头部存在于每个 PE 文件中,它的存在完全是出于兼容性的考虑,MS-DOS 头部紧接的是 DOS-STUB,这两部分构成了可执行文件的基本要素,当该程序运行在 MS-DOS 系统中,并不会出现不可预料的错误,因为它会执行 DOS-STUB 中的代码,如果不行它也仅仅是提示你 This program c...
PE解析器python脚本
03-17
标题中的“PE解析器python脚本”指的是一个使用Python编程语言编写的程序,它的主要功能是解析PE(Portable Executable)文件格式。PE文件格式是Windows操作系统中的可执行文件和动态链接库(DLL)的标准格式。这个...
基于C++实现32位PE解析工具
06-06
在C++中实现PE解析,我们需要关注以下核心知识点: 1. 文件I/O操作:使用C++标准库中的`fstream`类读取和处理PE文件的二进制数据。 2. 结构体和联合体:定义一系列结构体来映射PE文件的各个部分,如IMAGE_DOS_...
PEInfo.zip_peinfo_pe解析
09-23
标题中的"PEInfo.zip_peinfo_pe解析"指出我们要探讨的主题是关于PE文件的解析,这主要涉及Windows操作系统中的可执行文件格式。PE(Portable Executable)格式是Microsoft为32位和64位Windows系统设计的文件格式,...
PE解析器,纯手工制作,用于分析可执行文件,逆向破解必备工具
07-18
用于解析windows系统平台的可执行文件解析 运行平台:WIN7 64bit/32bit,WIN8 64bit/32bit,WIN10 64bit/32bit; 暂不支持64位PE文件。
PE解析器(C语言).zip
08-19
使用C语言完成PE解析器,对未加壳状态下的PE文件进行解析,查看其基本信息、导入表、导出表、资源表等
经典的pe工具
01-27
一个非常好用的pe查看器 非常详细,也特别的实用,希望大家能够喜欢
PE文件结构解析
eli的博客
12-01 6553
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5895
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
PE 经典解析
pl2597758的专栏
07-21 1138
PE文件格式经典知识详解摘要  Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs andStrategy, Specifications, Windows NT File FormatSpecifications),但是它非常之晦涩。   然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂
初次解析PE
赤坂龙之介的博客
05-01 477
知识点补充 ======================================================================================================= 1.LPVOID LPVOID,是一个没有类型的指针,也就是说你可以将LPVOID类型的变量赋值给任意类型的指针。 比如在参数传递时就可以把任意类型传递给一个LPVOID类
PE文件导出表解析代码实现
做一个快乐学习者
05-01 523
PE文件导出表结构 typedef struct _IMAGE_EXPORT_DIRECTORY { //保留。恒为0x00000000 DWORD Characteristics; //导出表的创建时间(GMT) DWORD TimeDateStamp; //导出表的主版本号 WORD MajorVersion; //导出表的子版本号 WORD Mi...
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
热门推荐
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件(PE,Portable...
跟着王哥学逆向——PE文件详解篇(第一篇)
最新发布
qq_52642385的博客
03-12 3618
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
深入解析PE文件格式
文档旨在为开发者提供清晰的PE文件结构解析,弥补MSDN文档的不足,并通过源码示例来辅助理解。 文档首先介绍了PE文件结构的基本概念,指出Windows NT的引入对开发环境和应用程序的重大影响,特别是PE文件格式的出现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值