用Winhex软件解析PE文件

最新推荐文章于 2024-05-27 09:51:20 发布
最新推荐文章于 2024-05-27 09:51:20 发布
阅读量5.8k 收藏 28
点赞数 4
分类专栏: 信息安全_计算机病毒原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KoalaZB/article/details/53144311
版权

一、概念

1. PE文件

PE(Portable Executable)文件,被称为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

2. 实验对象

本文对动态链接库文件.dll文件进行解析

二、Winhex解析DLL文件

1. 用Winhex打开user32.dll

User32.dll
3CH 处为PE头位置:0x F8

DOS头部分:
DOS头部分

2. 转到 F8处

这里写图片描述
PE文件标志(4H字节): 00 00 45 50

映像文件头(14H字节):

NumberOfSections : 00 06 --> 6
SizeOfOptionalHeader:00 E0 --> 224

3. 可选映像头(部分)

这里写图片描述

SizeOfCode(可执行代码长度): 00 08 30 00
AddressOfEntryPoint(代码入口RVA): 00 01 58 A0
ImageBase(相对PE头偏移 34): 6B A8 00 00
SectionAlignment: 00 00 10 00
FileAlignment: 00 00 02 00

SizeOfImage: 00 15 30 00
NumberOfRvaAndSizes: 00 00 00 10
DataDirectory : 00 00 24 E4

PS: 01 70起8字节为导出表描述部分前四个字节为 00 00 24 E4

4. SectionTable(节表)

从PE映像文件末尾 01 10偏移00 E0(SizeOfOptionalHeader) --> 01 F0
这里写图片描述

Name: .text
VirtualSize: 00 08 2E 9C
VirtualAddress(内存对齐后地址): 00 00 10 00
SizeOfRawData(文件对齐后尺寸): 00 08 30 00
PointerToRawData(文件对齐处位置): 00 00 04 00

Name: .data
VirtualSize: 00 00 10 3A
VirtualAddress(内存对齐后地址): 00 08 40 00
SizeOfRawData(文件对齐后尺寸): 00 00 10 00
PointerToRawData(文件对齐处位置): 00 08 34 00

Name: .idata
VirtualSize: 00 00 2D 72
VirtualAddress(内存对齐后地址): 00 08 60 00
SizeOfRawData(文件对齐后尺寸): 00 00 2E 00
PointerToRawData(文件对齐处位置): 00 08 44 00

Name: .didat
VirtualSize: 00 00 00 4C
VirtualAddress(内存对齐后地址): 00 08 90 00
SizeOfRawData(文件对齐后尺寸): 00 00 02 00
PointerToRawData(文件对齐处位置): 00 08 72 00

Name: .rsrc
VirtualSize: 00 0C 3E 18
VirtualAddress(内存对齐后地址): 00 08 A0 00
SizeOfRawData(文件对齐后尺寸): 00 0C 40 00
PointerToRawData(文件对齐处位置): 00 08 74 00

Name: .reloc
VirtualSize: 00 00 4D E8
VirtualAddress(内存对齐后地址): 00 14 E0 00
SizeOfRawData(文件对齐后尺寸): 00 00 4E 00
PointerToRawData(文件对齐处位置): 00 14 B4 00

5. Export(导出表)

RVA: 00 00 24 E4 (从之前可选头部分关于导出表描述部分读取)
Offset = 00 00 24 E4 - 00 00 10 00 + 00 00 04 00 = 00 00 18 E4

减数为第一个节表 .text的VirtualAddress( 00 00 10 00),之后加上的是PointerToRawData( 00 00 04 00)

Name: 00 00 4A 98 --> 3E 98
这里写图片描述

AddressOfFunction: 00 00 25 0C --> 19 0C
00 05 9A 90
00 03 61 60
00 03 61 80
00 02 44 D0
00 01 E4 50
.....

AddressofName: 00 00 35 A4 --> 29 A4
00 00 4A A3 --> 3E A4 --> “ActivateKeyboardLayout”
00 00 4A BA --> 3E BA–> “AddChipboardFormatListener”
00 00 4A D5 --> 3E D5 --> “AdjustWindowRect”
00 00 4A E6 --> 3E E6 --> “AdjustWindowRectEx”
00 00 4A F9 --> 3E F9 --> “AlignRects”
.....

AddressofOrdinals: 00 00 43 9C --> 37 9C
00 01
00 02
00 03
00 04
00 05
.....

更多实践参考C/C++编程解析PE文件结构

KoalaZB
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Winhex解读PE文件结构
06-22
利用winhex查看PE文件结构,了解PE文件结构,比较基础
WinHex1.64中文 PE文件16位编辑器
05-07
比较好的PE文件16位编辑器 ,1.64中文
Winhex制作PE
qq_42863961的博客
02-24 2229
能帮到你的话,就给个赞吧 ???? 文章目录# conda 显示/添加/删除 源 # conda 显示/添加/删除 源
WinHex软件 FAT32文件系统解析与提出
最新发布
weixin_51624616的博客
05-27 2289
通常DBR位于文件系统的“”,用于记录分区中文件系统数据区对应簇的使用状态及文件不连续状态下的前后链接关系。FAT32文件系统中,统一在数据区的根目录区为根目录创建目录项,并由FAT表为文件的内容分配簇来存放数据。用“(文件夹位置-根目录位置)*每簇扇区数”得出文件夹的实际位置。读取第四列“A”“B”处数据 ,读取到的数据为“1971”,读取第二行“C”"D""E""F"处数据,读取到的数据为“读取第二行“C”"D""E""F"处数据,读取到的数据为“数据区的起始位置为根目录的起始位置,根目录位置固定为。
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
weixin_33708432的博客
08-31 428
由于这次文章内容比较多 所以写成DOC文档 为了复习所学的知识,我在原本的软件里试者手动加入区段 ,并写给大家分享,还试试者用LordPE加区段发现竟然失败了, 还是自己动手比较实在,完美运行。 利用OD的汇编功能可以在新的区段为所欲为 哈哈 修改前的PE信息 修改后的PE信息  摘自:http://bbs.pediy.com/showthread.php?t=89693...
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 4767
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
PE文件结构解析 资料 程序 WinHex工具
05-27
PE文件结构解析中,WinHex可以用来查看和分析PE文件的内部细节,包括头信息、节内容、原始字节等。以下是一些WinHexPE分析中的应用: 1. **查看文件头**:WinHex可以清晰地显示DOS头和PE头的各个字段值,帮助...
winhex 查看文件的二进制十六进制
12-14
9. **脚本编程**:对于自动化任务,WinHex支持使用内置脚本语言编写宏,可以批量处理大量文件或进行复杂的十六进制操作。 10. **磁盘工具**:WinHex还包含了各种磁盘相关的工具,如磁盘克隆、分区管理、磁盘扇区...
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
此外,还可以掌握如何用C或C++编写程序来读取、修改或生成PE文件,以及如何使用WinHex这样的工具进行二进制级别的分析。这对于软件开发者、安全研究人员、逆向工程师来说都是非常有价值的知识。
16位文件编辑器winhex
01-29
9. **支持多种文件格式**:WinHex可以处理各种类型的文件,包括图片、文档、数据库、邮件、系统日志等,这得益于其强大的文件识别和解析能力。 10. **集成的计算器与比较工具**:内置的十六进制计算器和文件比较...
user32.dll中的所有函数
热门推荐
钟爱技术
02-26 1万+
user32.dll中的所有函数   using System;     using System.Collections.Generic;     using System.Linq;     using System.Text;     using System.Runtime.InteropServices;         namespace WindowsA
winhex15.9 16 进制编辑工具
01-09
ww15.9 ww15.9 16 进制编辑工具
PE文件结构(0x03)
u012173720的博客
09-07 278
PE文件的NT映像头  IMAGE_NT_HEADERS STRUCT{ +0H DWORD //Signature +4H IMAGE_FILE_HEADER //FileHeader +18H IMAGE_OPTIONAL_HEADER32 //OptionalHeader } IMAG...
《逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1604
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5718
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
PE文件——导入表&导出表&函数覆盖
Woolemon的博客
04-06 6123
PE文件的基本结构图 第一个字段4D 5A被定义成字符“MZ”作为识别标志,后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。 对于PE文件来说,有用的是最后的e_lfanew字段,这个字段指出了真正的PE文件头在文件中的位置,这个位置总是以8字节为单位对齐的。 判断是否是PE文件 1.使用Winhex工具,从文件头4D 5A(MZ)开始,跳转3C(即偏移3C); 2.跳转后可读取到数据为0000 00B0; 3.再跳转到地址0000 00B0; 4.若该地址数据为50 45(即PE)就为PE
WinHex分析PE格式(1)
weixin_30691871的博客
08-31 802
最近在一直努力学习破解,但是发现我的基础太差了,就想学习一下PE结构。可是PE结构里的结构关系太复杂,看这老罗的WiN32汇编最后一章 翻两页又合上了。。把自己的信心都搞没了。感觉自己的理解能力不行,实践一下也许会好一点,可是怎么实践,进看雪搜一下发现了不 少帖子的手写PE太牛了。。,心想咱们手写不行看总没问题吧。于是找了个MASM编写的5K小软(麻雀虽小五脏具全),丢 进...
初始手工分析helloworld.exe的PE文件
zhyjhacker的博客
12-28 405
图1用winhex打开helloworld.exe,如图2,3,4,5 是整个文件(其中填充完全是0的没有截图,关键位置的截图了)不要急,下面我们一步一步拆分图2,3,4,5部分图2图3图4图5在这里先做一个总的说明:查找PE资料,得到如图PE的结构,所有我们先看PE头部(从下面图2开始)查结构体IMAGE_DOS_HEADER得到PE头的结构下面我们从dos头开始dos头WORD e_cp;WORD e_ss;WORD e_sp;WORD e_ip;WORD e_cs;
winhex解析kernal32.dll文件
Study_2018的博客
11-23 1724
kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。 PE文件的基本格式 PE的意思就是Portable Executable(可移植、可执⾏),它是Win32 可执⾏文件的标准格式。...
winhex编写pe文件
01-28
winhex是一款十六进制编辑器和文件恢复工具,虽然它主要用于编辑和恢复文件,但也可以用来编写PE文件PE文件是一种Windows可执行文件格式,通常包括EXE和DLL文件。在winhex中编写PE文件需要对该文件格式有一定的了解。 首先,打开winhex并创建一个新的文件。然后,选择“编辑”菜单中的“插入”选项,以便插入PE文件的头部信息。在新的文件中,需要按照PE文件格式的规范依次填写文件头、可选头和节表等信息,确保文件的格式和结构是符合PE文件的标准。 接着,需要逐个添加节表,每个节表包括名称、虚拟大小、虚拟地址和物理地址等信息。这些信息在winhex中可以以十六进制的形式进行编辑和填写。同时,还需要在文件中添加导入表和导出表等PE文件所需的信息以确保文件的正常运行。 在编写PE文件的过程中,需要谨慎操作并确保每个部分的格式和信息都是正确的。一旦文件的结构和内容存在问题,那么文件可能无法被正确识别和执行。因此,在使用winhex编写PE文件时,需要对PE文件格式有一定的了解,并且要仔细检查每个部分的内容,以确保文件的正确性和可执行性。 总之,使用winhex可以编写PE文件,但需要对PE文件格式有一定的了解,并且需要仔细操作以确保文件的正确性。同时,也可以参考相关的文档和工具来辅助编写PE文件,以提高工作效率和准确性。 (300字)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值