0x01 PE文件结构学习总结

最新推荐文章于 2024-11-15 20:51:51 发布
最新推荐文章于 2024-11-15 20:51:51 发布
阅读量584 收藏
点赞数
分类专栏: PE结构 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lirichx/article/details/51144439
版权

Windows下有PE(Portable Executable):可执行文件

COFF(Common Object File Format):通用模板文件格式文件

其中,PE文件结构十分重要。典型结构如下:

Figure 1 illustrates the Microsoft PEexecutable format.


具体在看雪论坛有中文翻译版Microsoft PECOFF规范v8和v8.1中文版

一:MS—DOS占位程序

    只要关注0x3C处,这里存放PE文件签名的偏移地址(相对于该文件的初始地址)

二:PE文件头

   这里存放着该文件的重要信息

   1.签名

      存放四个字节的数据 PE\0\0 (一般从0x3c处就可以索引到)在F0处


  2.PE文件头
  3,PE可选头

    主要注意的是可选文件头中的DataDirectory,其中包含了各个表的信息。几个比较重要的如下

这里可以找到idata的RVA(就是虚拟偏移地址),是从PE文件头结束位置开始算起偏移了104  即(F4H) 244 + 20 +204 =  170(H)

可见,导入表地址为0001A1D8

三:节表

   这里存放节的十分详细的信息,需要十分关注

这里就是一个节表idata

查文档就可以知道 VirtualSize = 0001A00 H 明显导入表落在idata内 PointerToRawData: 7400

这样就可以算导入表的文件中地址了 0001A1D8 - 0001A000 + 7400 = 75D8H

idata节如下


四:各个节

   idata节:这里存放导入到文件里的函数的信息 每5x4个作为一个导入目录表,最后以5x4个空字节结束

    在上面的一个图中 可以知道Import Address Table RVA (Thunk Table) = 0001A098 经计算可以知道 实际的地址在 7498H处。

它的高位是0 所以直接表示RVA

最后得到 一个函数的地址 1A414-1A000+7400=7814H

(一个MessageBox)

导出表和资源目录表其实都类似,结构不同罢了。接下来准备用C++写一个PE分析,知道有python的pefile库十分方便,但是感觉自己对PE还是理解不够,所以自己写一个来深入了解PE。

具体参考 PE文件结构详解(一)基本概念

Lirichx
关注
专栏目录
PE文件结构详解
08-25
PE文件结构详解 PE文件结构Windows平台上可执行文件的标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOS头、PE头、节表和节体。 PE文件结构 PE文件结构可以...
0x06-PE文件制作1
08-08
实验旨在深入理解PE文件结构、设计原理和生成方法,并通过调试工具如debug和debug32进行实践操作。 实验内容主要分为三个部分: 1. 分析系统文件mscdexnt.exe的磁盘存储分布图:这一步骤要求我们了解PE文件在...
PE文件格式学习心得【1】
BetaBin
03-26 1924
PE文件是Protable Executable File Format(可移至的执行体),是目前Windows平台上的主流可执行文件格式。 PE可以简单理解为一个结构,这个结构用来告诉Windows加载器如何去加载这个文件PE会告诉它其资源、导入表等信息。而这些信息对应在PE文件的不同成员变量。暂时理解PE文件,通过其几个主要的结构学习。 先给张有总结性的网上大量流传的PE文件格式图:
PE文件结构处理经验总结
点点灵犀
04-21 1274
这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的时候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该方面时间不长,免不了存在失误之处,敬请拍砖。      1. IMAGE_DOS_HEADER
PE文件结构详解(非常详细)
zhaotianff的专栏
08-31 1540
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
PE文件结构及代码注入
qq_67812668的博客
08-11 869
PE即Portable Executable,是win32环境自身所带的可执行文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
PE文件(一)PE结构概述
2301_78838647的博客
04-18 1878
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
2.2 PE结构文件头详细解析
热门推荐
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOS头是PE文件开头的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS头包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件头的位置,该文件头是由`IMAGE_NT_HEAD
PEPE文件结构学习
dr0op's blog
03-31 1400
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件结构详解之头信息解析
meis27461的博客
06-03 1106
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
2.1 PE结构文件映射进内存
CSDN
09-04 4407
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,在任何一款操作系统中,可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的,在早期DOS操作系统中,是以COM文件的格式存储的,该文件格式限制了只能使用代码段,堆栈寻址也被限制在了64KB的段中,由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。
java8之Stream流
810cheng
11-12 513
stream流
数据结构-线性表-具有独立头节点的双向循环链表
最新发布
2301_76819732的博客
11-15 552
双向循环链表是一种在链表基础上拓展而来的数据结构。与普通链表不同的是,它的每个节点都有两个指针,一个指向前驱节点(prior),一个指向后继节点(next而且,它是循环的,即链表的尾节点的后继指针指向头节点,头节点的前驱指针指向尾节点,形成一个闭合的环。我们这里讨论的双向循环链表还有一个独立的头节点。这个独立头节点不存储数据,主要用于方便对链表的操作和维护。这种链表为空的条件是头节点的next和prior指针都指向NULL。在代码中,首先定义了链表节点的数据类型。} Node;这里,
华为三层交换机禁止VLAN间通讯(两种解决方案)
WXDCSDN的博客
11-15 659
华为三层交换机禁止VLAN间通讯(两种解决方案) ①访客不能访问内网任何终端及服务器 ②财务部门不能被其他部门访问
调用 Xinference OpenAI接口时报错 Model not found in the model list, uid
gs80140的专栏
11-15 480
这里面列出来了找不到model, uid, 在加载模型时, Model UlD, model name by default 可选字段一定要填, 不填的话可能会生成随机的一个ID, 导致调用时找不到模型。重新加载模型, 按如下图示设置名称即可, 使用时使用设置的MODEL UID即可。错误如下, 请不要被错误吓住或蒙蔽双眼, 自己看最下面的报错内容。
常用List工具类(取交集、并集等等)
honvin的博客
11-15 130
【代码】常用List工具类(取交集、并集等等)
stream学习
m0_62404686的博客
11-11 492
stream流的学习
Windows】CMD命令学习——系统命令
一个写了10年bug的程序员日常笔记。
11-07 1596
CMD(命令提示符)是Windows操作系统中的一个命令行解释器,允许用户通过输入命令来执行各种系统操作。
亲手构建PE文件:解析标准PE结构
本文档主要讲解如何构建一个基本的PE文件,适合对PE结构有一定了解或者希望深入学习PE文件构建的读者。 1. **DOS头** DOS头是PE文件的起点,它的存在是为了兼容MS-DOS系统。`IMAGE_DOS_HEADER` 结构包含了一些MS-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值