笔记：PE结构(1) Dos头解析

最新推荐文章于 2024-10-31 12:01:55 发布

Q324411601

最新推荐文章于 2024-10-31 12:01:55 发布

阅读量107

点赞数

文章标签：服务器 java 数据库

本文链接：https://blog.csdn.net/Q324411601/article/details/126590091

版权

本文介绍了PE文件中的IMAGE_DOS_HEADER结构，重点分析了e_magic和e_lfanew成员的作用及意义。e_magic用于验证文件是否为PE格式，而e_lfanew则指向PE签名的位置。

摘要由CSDN通过智能技术生成

struct _IMAGE_DOS_HEADER {

0x00 WORD e_magic;

0x02 WORD e_cblp;

0x04 WORD e_cp;

0x06 WORD e_crlc;

0x08 WORD e_cparhdr;

0x0a WORD e_minalloc;

0x0c WORD e_maxalloc;

0x0e WORD e_ss;

0x10 WORD e_sp;

0x12 WORD e_csum;

0x14 WORD e_ip;

0x16 WORD e_cs;

0x18 WORD e_lfarlc;

0x1a WORD e_ovno;

0x1c WORD e_res[4];

0x24 WORD e_oemid;

0x26 WORD e_oeminfo;

0x28 WORD e_res2[10];

0x3c DWORD e_lfanew;

};

struct _IMAGE_DOS_HEADER {

只重点关注标红的结构成员：

e_magic 对应0x4D,0x5A word型为0x5A4D 通过判断这两个字节，确定是否为PE格式文件

e_lfanew 里面放的是指向"PE"这个字符串的地址，4字节。

"PE"地址= FileAddress/ImageBase/模块地址/模块句柄+*(e_lfanew)

*代表读出这个成员的4字节数据

/代表或者

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Q324411601

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

PE文件解析（1）：Dos头与NT头

ylh的博客

10-30

993

什么是PE文件？PE文件是在windows平台可执行的文件。包括：.exe（可执行程序），dll（动态链接库）.sys（驱动程序）

【2021.01.11】DOS头属性说明

oalken的博客

01-11

650

IMAGE_DOS_HEADER DOS头 DOS头由两部分组成：DOS MZ文件头和DOS块。 DOS块不是结构体，而是由单个字节组成的数据，可以填写任何内容。但是DOS MZ文件头是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..

参与评论您还未登录，请先登录后发表或查看评论

PE文件学习笔记（一）：DOS头与PE头解析

热门推荐

Apollon_krj的博客

08-10

1万+

在Windows下所谓PE文件即Portable Executable，意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点：前两个字节为4D 5A（MZ）。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为：0XD0 0XCF；打开一个“.pdf”其前两个字节为

PE文件自学笔记（一）：DOS头与PE头解析

qq_37835724的博客

11-13

904

Windows下所谓PE文件即Portable Executable，意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点：前两个字节为4D 5A（MZ）。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为：0XD0 0XCF；打开一个“.pdf”其前两个字节为：...

笔记:PE结构(3)可选头解析*

Q324411601的博客

08-30

225

笔记:PE结构(3)可选头解析*

笔记:PE结构(2)NT头与文件头解析

Q324411601的博客

08-29

207

笔记:PE结构(2)NT头与文件头解析

PE头结构说明及C语言解析

qq_35289660的博客

05-11

1820

PE头结构说明及C语言解析文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头（PE_FIEL_HEADER）PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件 0.说明看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解我这里只没有写数据项，因为还不怎么会0.0 有些数据也没写，因为现阶段还没用 DOS头 WORD e_magic *

PE结构笔记

sun000up的博客

07-27

538

（ Portable Execute）文件是Windows下可执行文件的总称，常见的有等。它是微软在 UNIX 平台的 COFF（通用对象文件格式）基础上制作而成。最初设计用来提高程序在不同操作系统上的移植性，但实际上这种文件格式仅用在 Windows 系列操作系统下。PE文件分为32位和64位,分别叫PE32,PE64.事实上，。那 Windows 是怎么区分可执行文件和非可执行文件的呢？我们调用 LoadLibrary 传递了一个文件名，系统是如何判断这个文件是一个合法的动态库呢？

PE文件自学笔记（二）：Section Table结构解析

qq_37835724的博客

11-13

555

1.Section Table结构解析 Section Table（节表）是记录PE文件中各个节的详细信息的集合，其每个成员是struct _IMAGE_SECTION_HEADER结构体，即节表是一个结构体数组来维护，属于线性结构。而节表的相对起始位置为：紧接着可选PE表。即：DOS头 + 中间空闲及垃圾数据 + NT头（三部分：4字节签名+标准PE头20字节+可选PE头）。 #defin...

随手笔记-PE概述-Object Pascal描述（连载）1

08-03

本篇文章将从Object Pascal的角度来深入理解PE文件结构，主要关注DOS_HEADER、NT_HEADER以及FILE_HEADER和OPTIONAL_HEADER这四个关键部分，同时也会涉及数据目录入口、节表项和导入表。 1. DOS_HEADER DOS_HEADER是...

[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三）

杨秀璋的专栏

03-25

1万+

本系列虽然叫“网络安全自学篇”，但由于系统安全、软件安全与网络安全息息相关，作者同样会分享一些系统安全案例及基础工具用法，也是记录自己的成长史，希望大家喜欢，一起进步。前文分享了数字签名，采用Signtool工具对EXE文件进行签名，接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式，熟悉各种PE编辑查看工具，针对目标EXE程序新增对话框等，这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~

【Linux】ClickHouse 部署

weixin_42364929的博客

10-29

1214

搭建Clickhouse集群时，需要使用Zookeeper去实现集群副本之间的同步，所以需要先搭建zookeeper集群 1、卸载 # 检查有哪些clickhouse依赖包： [root@localhost ~]# yum list installed | grep clickhouse # 移除依赖包： [root@localhost ~]# yum remove -y clickhouse-common-static [root@localhost ~]# yum remove -y clickhou

Atlas800昇腾服务器（型号：3000）—Docker容器部署【图像分类】（十）

weixin_45679938的博客

10-28

1017

（2）导出requirements.txt文件【这里剔除ais_bench相关】（4）构建镜像-名字images_classfication:0001.rc。：鲲鹏 CPU（ARM64）+A300I pro推理卡。（2）启动容器，直接运行脚本：【（1）启动容器，进入终端：【开发套件：版本7.0.1【（5）查看镜像是否存在。

多进程回声服务器

最新发布

asdzccfrew的博客

10-31

399

【代码】多进程回声服务器。

若依框架部署到服务器后头像资源访问404

Zwwxd666的博客

10-27

508

也就是说绕过了后端服务器将profile/xxxx/.jpg 转换为/home/xxx/.jpg的过程，直接访问了一个不存在的profile/xxxx/.jpg资源。转念一想，我在本地开发的时候，也就是用idea开发的时候是可以代理的，所以不是后端服务器的锅，问题锁定在nginx上。上面配置文件是宝塔生成的，如果你是自己手动配就不会出现问题，不过我感觉大部分都是用这个配的站点，自己手动太鸡肋了。这个配置将我们的profile/xxxx/.jpg 请求后端服务器 当成了静态资源的访问。

若依框架部署到服务器刷新或者是退出登录出现404

Zwwxd666的博客

10-27

617

原版是index，那玩意是针对路由的，而打包后的可没index这个文件，他是一个路由，要跳就得说全了用index.html。当然你也可以搞一个保底的nginx配置文件，在目录下找不到html文件时跳转到/index.html。改成/登出的时候重定向到根路径，让nginx匹配去找dist目录下的index.html文件。否则会跳转到一个不存在的html页面，因为打包后的dist文件里只有index html。不发请求，不跳转，类似于a标签的# ，仅让router检测内部跳转。个人推荐第一种，方便。

在元神操作系统启动时自动执行任务脚本

王德昌的博客

10-28

973

本文介绍了让元神操作系统开机自动执行脚本的方法，包括环境配置、任务脚本编写等。安装元神操作系统的工具“元神操作系统安装器”可去网站www.gnxxkj.com进行下载。安装账号可去网址http://www.gnxxkj.com/app/wuziqi/register.php进行注册。

Linux_04 Linux常用命令——tar

陌夏微秋的博客

10-29

308

Linux命令：tar

虚拟化全景图：服务器、存储、网络与桌面的虚拟化

weixin_43298211的博客

10-26

838

服务器虚拟化是通过虚拟化管理程序（Hypervisor）将物理服务器分割成多个虚拟服务器的技术。这些虚拟服务器被称为虚拟机（VM），它们可以运行各自的客操作系统，并且具有独立的计算资源。虚拟化管理程序充当了虚拟硬件与物理硬件之间的中介，确保每个虚拟机都能够有效地共享和使用底层物理资源。

数据结构复习笔记：逻辑结构与存储结构解析

"这份PDF文件包含了作者复习数据结构时所做的笔记，主要涵盖了数据结构和算法的基础概念、顺序表以及链表的相关知识。" 第一部分——数据结构和算法数据结构是计算机科学中处理数据的一种组织方式，它由两部分组成...