pe格式从入门到图形化显示(二)-文件头

已于 2024-04-06 21:38:40 修改
阅读量825 收藏 15
点赞数 12
分类专栏: pe格式从入门到图形化显示 文章标签: windows qt c++
于 2024-04-05 21:03:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrack/article/details/137409314
版权

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式文件头?

Windows PE格式文件头(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。

二、解析文件头并显示

1.数据结构

IMAGE_FILE_HEADER是一个结构体,它位于PE文件的IMAGE_NT_HEADERS结构中,用于描述PE文件的基本属性和结构。那么IMAGE_NT_HEADERS又是一个什么结构呢?

typedef struct _IMAGE_NT_HEADERS
{
    DWORD Signature;                            
    IMAGE_FILE_HEADER FileHeader;               
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

以下是_IMAGE_NT_HEADERS结构的主要字段及其含义:
Signature:用于标识文件的开头部分,通常为"PE"(即0x50 0x45)。
FileHeader:表示PE文件的文件头信息,这对于加载和执行PE文件非常重要。例如,FileHeader.Machine字段告诉操作系统PE文件的目标机器类型,以便正确地加载和执行该文件。
OptionalHeader:表示PE文件的可选头信息,这些信息对于加载和执行PE文件非常重要。例如,OptionalHeader.Magic字段告诉操作系统PE文件的目标机器类型,以便正确地加载和执行该文件。OptionalHeader.AddressOfEntryPoint字段表示PE文件的入口点地址,这有助于操作系统了解PE文件的入口点。OptionalHeader.Subsystem字段表示PE文件所需的子系统类型,如GUI、CUI等。

以下是IMAGE_FILE_HEADER结构的主要字段:
Machine:指定PE文件的目标机器类型,如I386、AMD64、ARM等。
NumberOfSections:表示PE文件中的节(Section)数量。
TimeDateStamp:表示PE文件的创建时间戳。
PointerToSymbolTable:指向符号表(Symbol Table)的指针。
NumberOfSymbols:表示符号表中的符号数量。
SizeOfOptionalHeader:表示PE文件的可选头(Optional Header)的大小。
Characteristics字段是一个位掩码(bitmask),用于表示PE文件的特性。以下是一些常见的Characteristics字段的值及其含义:
IMAGE_FILE_RELOCS_STRIPPED (0x0001):表示PE文件中的重定位表已被删除。
IMAGE_FILE_EXECUTABLE_IMAGE (0x0002):表示PE文件是一个可执行文件。
IMAGE_FILE_LINE_NUMS_STRIPPED (0x0004):表示PE文件中的行号信息已被删除。
IMAGE_FILE_LOCAL_SYMS_STRIPPED (0x0008):表示PE文件中的本地符号信息已被删除。
IMAGE_FILE_AGGRESIVE_WS_TRIM (0x0010):表示PE文件中的工作集大小已被优化。
IMAGE_FILE_LARGE_ADDRESS_AWARE (0x0020):表示PE文件支持大于2GB的地址空间。
IMAGE_FILE_BYTES_REVERSED_LO (0x0080):表示PE文件中的字节顺序已被反转(低位)。
IMAGE_FILE_32BIT_MACHINE (0x0100):表示PE文件是一个32位机器的可执行文件。
IMAGE_FILE_DEBUG_STRIPPED (0x0200):表示PE文件中的调试信息已被删除。
IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP (0x0400):表示PE文件可以从交换文件中运行。
IMAGE_FILE_NET_RUN_FROM_SWAP (0x0800):表示PE文件可以从网络交换文件中运行。
IMAGE_FILE_SYSTEM (0x1000):表示PE文件是一个系统文件。
IMAGE_FILE_DLL (0x2000):表示PE文件是一个动态链接库(DLL)文件。
IMAGE_FILE_UP_SYSTEM_ONLY (0x4000):表示PE文件只能在单处理器系统上运行。
IMAGE_FILE_BYTES_REVERSED_HI (0x8000):表示PE文件中的字节顺序已被反转(高位)。
Characteristics字段的值可以通过位运算(如按位与、按位或等)进行组合,以表示PE文件的多种特性。例如,如果Characteristics字段的值为0x0002(即IMAGE_FILE_EXECUTABLE_IMAGE),则表示PE文件是一个可执行文件。

struct IMAGE_FILE_HEADER
{
    enum FILECharacteristics
    {
        IMAGE_FILE_RELOCS_STRIPPED = 0x0001,
        IMAGE_FILE_EXECUTABLE_IMAGE = 0x0002,
        IMAGE_FILE_LINE_NUMS_STRIPPED = 0x0004,
        IMAGE_FILE_LOCAL_SYMS_STRIPPED = 0x0004,
        IMAGE_FILE_AGGRESIVE_WS_TRIM = 0x0010,
        IMAGE_FILE_LARGE_ADDRESS_AWARE = 0x0020,
        IMAGE_FILE_BYTES_REVERSED_LO = 0x0080,
        IMAGE_FILE_32BIT_MACHINE = 0x0100,
        IMAGE_FILE_DEBUG_STRIPPED = 0x0200,
        IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP = 0x0400,
        IMAGE_FILE_NET_RUN_FROM_SWAP = 0x0800,
        IMAGE_FILE_SYSTEM = 0x1000,
        IMAGE_FILE_DLL = 0x2000,
        IMAGE_FILE_UP_SYSTEM_ONLY = 0x4000,
        IMAGE_FILE_BYTES_REVERSED_HI = 0x8000
    };
    WORD Machine;
    WORD NumberOfSections;
    DWORD TimeDateStamp;
    DWORD PointerToSymbolTable;
    DWORD NumberOfSymbols;
    WORD SizeOfOptionalHeader;
    WORD Characteristics;
};

2.解析

bool PEParser::parserFileData(const QByteArray &fileData)
{
    //判断是否是MZ开头的文件
    if (fileData.left(2) != "MZ")
    {
        return false;
    }
    //解析DOS头
    parserDOSHeader(fileData.left(sizeof(IMAGE_DOS_HEADER)));
    //DOSStub数据
    m_dosStubData = fileData.mid(sizeof(IMAGE_DOS_HEADER), m_dosHeader.e_lfanew - sizeof(IMAGE_DOS_HEADER));
    long peAddress = m_dosHeader.e_lfanew;
    if (fileData.mid(peAddress, 2) != "PE")
    {
        return false;
    }
    m_fileData = fileData;
    //去除前4个字节的PE头标识
    long fileHeaderIndex = peAddress + 4;
    //记录文件头索引
    m_fileHeaderIndex = fileHeaderIndex;
    //解析标准PE文件头
    paserFileHeader(fileData.mid(fileHeaderIndex, sizeof(IMAGE_FILE_HEADER)));
    return true;
}

void PEParser::paserFileHeader(const QByteArray &peFileHeaderData)
{
    const IMAGE_FILE_HEADER *fileHeader = reinterpret_cast<const IMAGE_FILE_HEADER *>(peFileHeaderData.data());
    emit sendPEFileHeader(*fileHeader);
    m_fileHeader = *fileHeader;
}

3.显示

void MainWindow::showPEFileHeader(const IMAGE_FILE_HEADER &header)
{
    ui->lineEdit_optionalSize->setText(QString::asprintf("%08X", header.SizeOfOptionalHeader));
    ui->lineEdit_timeDateStamp->setText(QString::asprintf("%08lX", header.TimeDateStamp));
    ui->lineEdit_numberOfSections->setText(QString::asprintf("%08X", header.NumberOfSections));
    ui->lineEdit_characteristics->setText(QString::asprintf("%08X", header.Characteristics));
}
mrack
关注
  • 12
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
PE文件的结构
qq_45944873的博客
05-16 1168
PE文件windows下可移植的可执行文件,常见的有exe、dll后缀文件都是PE文件PE文件是对整个PE文件数据存储的说明和文件信息的阐述,是一种数据组织方式。32位系统的PE包括以下结构:DOS MZ,DOS Stub,PEPE,节表和节内容。 DOS ...
PE总结3---PE文件结构DOS文件
oBuYiSeng的博客
11-24 2214
PE文件结构DOS文件,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT部在文件中的偏移,新的exe文件
PE文件详解之PE文件
知其所以然
09-01 1926
1, PE文件PE Header ) 紧挨着 DOS stub     2,  PE Header 是PE相关结构NT映像(IMAGE_NT_HEADER)的简称。里面包含着许多PE装载器用到的重要字段。     3,执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量,加上基地
PE文件结构详解之信息解析
最新发布
meis27461的博客
06-03 926
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE的位置就是0x01+0xF0。
PE文件
weixin_34234823的博客
02-15 295
主要是PE文件部分。来再看雪 《加密与解密》 //PE文件格式小部分资料,摘自《加密与解密》-看雪 typedef struct _IMAGE_DOS_HEADER{ // DOS .EXE header +0h WORD e_magic; // Magic number +2h WOR...
Codesys的轨迹可视化------G代码文件的图形显示及运行轨迹
01-29
codesys软件的CNC程序使用文件读取功能,将ascii码格式的G代码文件读取到程序中,并通过可视化预览G代码文件的图形,并运行,通过可视化仿真验证,可通过切换功能将不同的G代码文件分别导入和查看图形,并分别运行,...
PE-文件格式详解(翻译版)
12-02
PE文件格式不仅适用于可执行文件(.exe),同时也被用于动态链接库(.dll)、静态库(.lib)以及设备驱动程序等各类进制文件PE文件格式的设计理念源自于COFF(Common Object File Format),即通用目标文件...
中文编程-从入门到精通例程源码
01-04
第一部分 易语言的基础知识 易语言的概述,编程环境与输入法的讲解,易语言数据类型的分类和使用,运算符和表达式的介绍,变量、常量的定义和使用, ...这是传说的《中文编程—从入门到精通》光盘
PE文件格式剖析——解剖PE格式文件
10-25
当在非Windows环境中运行PE文件时,DOS中的小程序将显示一条错误消息并终止程序执行。 ##### 2. NT (NT Headers) 紧跟在DOS之后的是NT,这是一个关键的结构,它包含了解析PE文件所需的重要信息。NT包括...
Echarts从入门到上手实战视频教程 70课(完整)
11-03
### ECharts从入门到上手实战视频教程知识点详解 #### 一、ECharts简介与应用场景 **ECharts**是一款由百度开发并维护的基于JavaScript的开源数据可视化图表库。它支持多种图表类型(如柱状图、折线图、饼图等)...
pe文件分析工具
11-23
使用VC6.0编写的一个分析PE文件格式的工具,输出选定PE文件的有关信息。 程序编写的重点:对PE中的各个struct定位,可以使用API函数,也可以使用ImageHlp提供的有关PE操作的函数编写。 基本思路:读入要分析的PE文件,得到内存映像文件,定位各个struct,显示各个struct中的数据。
PE文件-文件
weixin_45012273的博客
11-06 153
文件格式 文件是NT的第个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节表的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号表偏移 DWORD NumberOfSymbols; //5.
【1】PE文件
记录生命的轨迹
08-20 224
WindowPE文件
PE文件结构
BiCai2的博客
09-16 449
typedef struct _IMAGE_FILE_HEADER { WORD Machine; 运行平台 WORD NumberOfSections; 文件的节数目 DWORD TimeDateStamp; 文件创建日期和时间 DWORD PointerToSymbolTable; 指向符号表(用于调
PE文件(一)PE
qq_63329753的博客
02-13 3693
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE文件
megaparsec
12-19 3184
PE文件
PE学习(三)第三章:PE文件
零点起步
03-18 1200
第三章:PE文件 PE中涉及的地址有四类,它们分别为: 虚拟内存地址(VA) 相对虚拟内存地址(RVA) 文件偏移地址(FOA) 特殊地址  没有物理内存对应的页面被标记为dirty的页面,一般存储在一个名为“交换文件”的磁盘文件中。在WINDOWS XP系统中,交换文件为pagefile.sys  进程本身的VA被解释为:进程的基地址+相对虚拟内存地址  RVA是相对基地址的偏
PE文件结构(PE文件一)
Wang Shen
12-02 1026
3、 PE文件结构 ①     MS-DOS MS-DOS在winnt.h中定义成为IMAGE_DOS_HEADER,这个结构中,最需要关心的是成员e_lfanew,它给出了PE Header在文件中的偏移量。比如,e_lfanew的值是0xE0,则PE Header在文件距离开0xE0处。 ②     MS DOS 2.0 Stub Program 这是一段DOS程序,如果把w
Linux操作系统入门:从起源到现代
"Linux从入门到精通的学习笔记,涵盖了Linux的发展历史、安装过程及系统特点等基础知识。" 在深入探讨Linux之前,我们先了解Linux的发展历程。Linux起源于Unix,一个由MIT、Bell实验室和美国通用电气有限公司在1968...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值