PE笔记(基础)

最新推荐文章于 2022-10-27 14:14:14 发布
最新推荐文章于 2022-10-27 14:14:14 发布
阅读量227 收藏
点赞数
文章标签: 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NRTHWIND/article/details/105068461
版权

PE小笔记(基础)

注:结构体可在vs的WINNT.H中查看
此处经供参考:(C:\Program Files\Microsoft Visual Studio\VC98\Include)

Dos头:

结构体:(共64字节)(4行)

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number                           ----仍在使用⭐
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum						
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header		  ----仍在使用⭐
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

由于现在操作系统是32/64位,结构体中间数据无用,可修改且不影响程序运行

前个两字符:文件类型(作为标识,PE指纹)      例:4D 5A (MZ)可执行文件
最后的四个字节 : PE头位置(小端存储模式)  程序通过此寻找PE头位置


Dos块:位于Dos头于PE头中间 ,即如图所示部分编译器填充,可修改不影响程序运行 (如可添加病毒等)编译器填充,可修改不影

PE头:

结构体:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;							//PE标识
    IMAGE_FILE_HEADER FileHeader;				//标准PE头⭐
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;		//拓展PE头⭐
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

PE标识:(4字节)
不可破坏,系统运行时会检测此标识。
在这里插入图片描述

标准PE头:
结构体:(20字节)

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;				//可以运行在什么样的CPU上 (任意:0, intel 386及以后: 14C, x64 : 8664)
    WORD    NumberOfSections;		//表示节的数量
    DWORD   TimeDateStamp;			//编译器填写的时间戳,与文件属性中的(创建、修改时间)无关
    DWORD   PointerToSymbolTable;	//调试相关
    DWORD   NumberOfSymbols;		//调试相关
    WORD    SizeOfOptionalHeader;	//可选PE头的大小(32位PE文件:0xE0 ,64位PE文件: 0xF0)
    WORD    Characteristics;		//文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

举栗子:
在这里插入图片描述
对于这两行十六进制数:
64 86即(8664) —> 要求x64平台 ,12 00即(0012)表示共有12个节
81 35 72 5E即(5E723581)是一个秒的数字,自1970年00:00开始计算直到编译时截至过去的时间。(修改不影响程序运行)
F0 00即(0xF0)==>24字节
27 00即(0027)记录了文件属性,化为二进制后得:
0000 0000 0010 1110---------------对应下表得到文件属性信息
在这里插入图片描述

拓展PE头:

结构体(32位):

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;							//PE32:10B     PE32+:20B
    BYTE    MajorLinkerVersion;				
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;			//程序入口	
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    DWORD   ImageBase;						//内存镜像基址
    DWORD   SectionAlignment;				//内存对齐
    DWORD   FileAlignment;					//文件对齐
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;					//内存中整个PE文件的映射尺寸,可比实际的值大,必须是SectionALign ment的整数倍
    DWORD   SizeOfHeaders;					//所有头+节表按照文件对齐后的大小,否则加载会出错
    DWORD   CheckSum;						//校验和,一些系统文件有要求用来判断文件是否被修改
    WORD    Subsystem;						//子系统    驱动程序(1)图形界面(2)控制台、DLL(3)
    WORD    DllCharacteristics;				//文件特性 不是针对DLL文件的
    DWORD   SizeOfStackReserve;				//初始化时保留栈的大小
    DWORD   SizeOfStackCommit;				//初始化时实际提交的大小
    DWORD   SizeOfHeapReserve;				//初始化时保留的堆的大小
    DWORD   SizeOfHeapCommit;				//初始化时实际提交的大小
    DWORD   LoaderFlags;					//调试相关
    DWORD   NumberOfRvaAndSizes;			//目录项数量(各种表)
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];	//长度同目录项数量
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

结构体(64位):

typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;
    BYTE        MajorLinkerVersion;
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;
    DWORD       BaseOfCode;
    ULONGLONG   ImageBase;
    DWORD       SectionAlignment;
    DWORD       FileAlignment;
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;
    DWORD       SizeOfHeaders;
    DWORD       CheckSum;
    WORD        Subsystem;
    WORD        DllCharacteristics;
    ULONGLONG   SizeOfStackReserve;
    ULONGLONG   SizeOfStackCommit;
    ULONGLONG   SizeOfHeapReserve;
    ULONGLONG   SizeOfHeapCommit;
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;

程序真正执行的入口:内存镜像基质+程序入口在这里插入图片描述
例如图中所示程序入口地址即为400000+01F8D0=41F8D0
文件对齐/内存对齐:记录不同状态下的对齐参数,例如上图中内存对齐参数为1000,文件对齐参数为0200.

内存映射尺寸(SizeOfImage):一定为内存对齐参数的整数倍,例:文件大小为3001,则内存中占用大小为4000。
SizeOfHeaders:一定为文件对齐参数整数倍

校验和:
计算方法:以两个字节为单位相加(溢出不用管)最终的结果+文件的长度=得到的值
可以人为修改且算法公开(毫无意义有木有)

文件特性如表所示:
在这里插入图片描述

节表

结构体(40字节):

#define IMAGE_SIZEOF_SHORT_NAME              8

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];			//ASCII字符串 可自定义 只截取8个
    union {											//Misc 双字 是该节在没有对齐前的真实尺寸,该值可以不准确
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;							//在内存中的偏移地址,价上ImageBase才是在内存中真正的地址
    DWORD   SizeOfRawData;							//节在文件中对齐后的尺寸
    DWORD   PointerToRawData;						//节区在文件中的偏移
    DWORD   PointerToRelocations;					//调试相关
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;						//节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

对于节属性可参照下表:
在这里插入图片描述

Fer1g1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE结构学习笔记
weixin_44164182的博客
02-25 214
1.PE文件基本结构 (1)DOS头: DOS MZ头,IMAGE_DOS_HEADER结构体 DOS块 (2)PE文件头 PE文件头标志 PE文件表头,IMAGE_OPTIONAL_HEADER结构体 PE文件可选头,IMAGE_OPTIONAL_HEADER32结构体 (3)节表,IMAGE_SECTION_HEADER结构 (3)节数据 2.PE文件的两种存在形式 PE文件在磁盘文件...
pe结构第一节
H888001的博客
11-05 356
1.什么是可执行文件(executable file) 指的是由操作系统进行加载执行的文件。 windows平台 PE(protable Executable)文件结构 Linux平台 ELF(Executable Linking Format)文件结构 哪些领域用到PE文件格式: 1.病毒反病毒 2.外挂反外挂 3.加壳与脱壳(保护与破解) 2.如何识别PE文件?...
PE结构22.3.2
qinden的博客
03-02 4048
PE结构 https://blog.csdn.net/qq_39654127/article/details/97905901 1.可执行文件(executable file)指的是可以有操作系统进行加载执行的文件。 Windows平台:PE(Portable Executable)文件结构; Linux平台:ELF(Executable and Linking Format)文件结构; 比如Windows上的exe文件直接双击就能执行,但是txt文件则需要使用文本编辑软件才可以打开执行。 2.PE文件
最小PE文件
weixin_43345082的博客
01-18 4476
最小PE文件入门 因为做的比较仓促,有些部分尤其是标色部分可能不太完整具体结构内容请参照文中链接或其他文章。 工具用的是winhex 工具用的是IDApro6.6 汇编代码找的方法是在000000E8的位置有四个字节20020000表示汇编代码在00000220位置,或者直接在IDA中找 根据最开始的PE结构我们一步步分析 这里要提一点,在存每个结构的时候字节间按照低位在前高位在后,也就...
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7566
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include <stdio.h> #include <windows.h> IMAGE_DOS_HEADER DosHeader; PIMAGE_...
PE计算机语言,[造轮子系列]手动打造一个PE分析工具
weixin_35823048的博客
07-26 174
详细解释:这里的结构体代码详细描述了上述结构MS-DOS头://DOS头//typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header// WORD e_magic; // Magic number 0x5A4D// ...
滴水逆向培训基础教程_PE结构笔记
06-01
滴水逆向培训基础教程_PE结构笔记
笔记本电脑进入PE系统后认不到硬盘的解决办法.docx
09-27
硬盘识别是系统安装和数据存储的基础,如果硬盘无法被识别,可能会导致系统安装失败或数据丢失。因此,解决硬盘识别问题是非常重要的。 结论 解决笔记本电脑进入PE系统后认不到硬盘的方法是下载最新版的WIN PE系统...
华为数通HCIA HCIP学习笔记
06-26
HCIA HCIP是华为数通的认证考试,涵盖了网络基础知识、路由交换技术、网络安全、虚拟化技术等方面的知识。下面是根据提供的文件内容所生成的相关知识点: 1. 小米路由器的应用:小米路由器的IP地址为192.168.31.1,...
2023年软件设计师复习笔记重点总结.doc
10-26
2023年软件设计师复习笔记重点总结 计算机系统基础知识: * CPU 功能:程序控制、操作控制、时间控制、数据解决 * 组成:运算器(算术逻辑单元 ALU,累加寄存器 AC,数据缓冲寄存器 DR,状态条件寄存器 PSW),...
新版Android开发教程和笔记
07-14
新版Android开发教程+笔记十三(待续)--应用、pe 新版Android开发教程+笔记十二--文件存取、数据 ------------------------------------------------ * 大家的评论,我都会一个一个看的,也正是因为评论里面的支持...
PE文件学习笔记(一):DOS头与PE头解析
热门推荐
Apollon_krj的博客
08-10 1万+
在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
PE 结构 ——笔记整理
sxr__nc的博客
12-20 141
PE文件是Windows操作系统下的可执行文件,是微软在UNIX的COFF的基础上制作而成的,PE文件是指32位Windows操作系统的可执行文件(也称之为PE32) ,64位的Windows操作系统的可执行文件为 PE32+或者PE+,是PE32的一种扩展性形式. 一个PE文件的起始部分也就是PE头里边一般都存储着,这个PE文件在运行过程中所需要的资源以及空间的大小,当然还包括要加载那些DLL...
PE学习笔记(一)
rivershan的专栏
01-22 4153
PE学习笔记 PE 的意思就是 Portable Executable(可移植的执行体)。PE文件结构的总体层次分布图:  --------------|DOS MZ Header ||--------------||DOS Stub      ||--------------||PE Header     ||--------------||Section Table ||---------
PE学习笔记1
我还在的博客
10-14 396
文章目录与PE相关概念地址扩展虚拟内存VA相对虚拟内存地址RVA文件偏移FOA特殊地址数据目录节对齐PE文件结构 学习笔记来源《Windows.PE权威指南》这本书 与PE相关概念 地址 VA(Virtual Address):虚拟内存地址 RVA(Relative Virtual Address):相对虚拟内存地址 FOA(File Offset Address):文件偏移地址 特殊地址 扩展 ...
PE文件知识点笔记整理
能走多远呢的博客
06-10 361
PE文件地址和虚拟内存地址之间的映射关系(1)文件偏移地址(File Offset)  数据在PE 文件中的地址叫文件偏移地址,这是文件在磁盘上存放时相对于文件开头的偏移。(2)装载基址(Image Base)  PE 装入内存时的基地址。默认情况下,EXE 文件在内存中的基地址是0x00400000,DLL文件是0x10000000。这些位置可以通过修改编译选项更改。(3)虚拟内存地址(Virt...
PE学习笔记
04-27 2040
PE学习笔记 PE 的意思就是 Portable Executable(可移植的执行体)。PE文件结构的总体层次分布图:  --------------|DOS MZ Header ||--------------||DOS Stub      ||--------------||PE Header     ||--------------||Section Table ||---------
PE头解析-字段说明
qq_51600802的博客
10-27 2135
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
C语言——PE头读写
yan_star的博客
03-18 2082
最近学了PE,自己用C语言做了一个PE头读写小工具-----------------------------------#include "stdafx.h" #include<windows.h> IMAGE_DOS_HEADER myDosHeader; IMAGE_NT_HEADERS myNtHeader; IMAGE_FILE_HEADER myFileHeader; IM...
mysql黑马笔记基础
最新发布
05-23
以下是MySQL基础知识的笔记: 1. 数据库的创建和删除 - 创建数据库:CREATE DATABASE database_name; - 删除数据库:DROP DATABASE database_name; 2. 表的创建和删除 - 创建表:CREATE TABLE table_name ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值