笔记:PE结构(3)可选头解析*

已于 2022-08-30 12:08:58 修改
阅读量235 收藏
点赞数
文章标签: windows
于 2022-08-30 00:28:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q324411601/article/details/126590852
版权
本文详细解析了PE文件结构中的可选头(_IMAGE_OPTIONAL_HEADER),包括Magic标记、SizeOfCode、SizeOfInitializedData、SizeOfUninitializedData等字段的作用,以及程序入口点AddressOfEntryPoint、内存映像基址ImageBase和对齐参数的意义。讨论了这些字段在文件和内存中的对齐规则,以及它们对程序运行的影响。
摘要由CSDN通过智能技术生成
struct _IMAGE_OPTIONAL_HEADER {
0x00 WORD Magic; 标记
0x02 BYTE MajorLinkerVersion;
0x03 BYTE MinorLinkerVersion;
0x04 DWORD SizeOfCode;*   所有代码节的和(代码可能有多个节),必须是 FileAlignment 整数倍 没什么用
0x08 DWORD SizeOfInitializedData;*已初始化数据大小的和,必须是 FileAlignment 整数倍 没什么用
0x0c DWORD SizeOfUninitializedData;*未初始化数据大小的和,(一般单词前面加Un都是反义词)
                                                                必须是 FileAlignment 整数倍(同上2个都是编译器填的)
0x10 DWORD AddressOfEntryPoint; 程序入口点 OEP
0x14 DWORD BaseOfCode;* 代码开始的基址,编译器填的 没用(代表被人修改后这个值没意义)
0x18 DWORD BaseOfData;* 数据开始的基址,编译器填的 没用(代表可以任意修改)
0x1c DWORD ImageBase; 内存映像基址/模块基址/模块句柄
最低0.47元/天 解锁文章
Q324411601
关注
PE可选头
BiCai2的博客
09-16 1322
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像 BYTE MajorLinkerVersion; 链接器版本号 BYTE MinorLinkerVersion; 链接器副版本号 DWORD
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件。
pe格式从入门到图形化显示(三)-可选头
Mrack的博客
04-06 1159
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选头(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选头结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
PE文件格式详解,第三讲,可选头文件格式,以及节表
weixin_30287169的博客
10-11 139
          PE文件格式详解,第三讲,可选头文件格式,以及节表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作用 typedefstruct_IMAGE_OPTIONAL_HEADER { WORD Magic;              ...
笔记:PE结构(7)重定位表解析
Q324411601的博客
09-03 232
笔记:PE解析(7)重定位表
pe结构分析-解析pe(一)
freshfox的博客
09-28 736
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
笔记:PE结构(6)导出表解析
Q324411601的博客
09-01 343
笔记:PE结构(6)导出表解析
PE文件自学笔记(一):DOSPE解析
qq_37835724的博客
11-13 917
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
PE解析
qq_41129854的博客
03-16 658
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS...
PE文件-文件
weixin_45012273的博客
11-06 176
文件格式 文件是NT的第二个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节表的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号表偏移 DWORD NumberOfSymbols; //5.
学习PE文件
peterchilly的博客
03-31 421
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 表示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
PE文件
满天星专栏
10-20 2343
大体上,PE文件由下面几个部分组成,DOSPE可选头,节表,以及各节的数据。这些数据结构在文件中的位置如下图所示。 PE文件的第一部分是一个DOS,一般我们称之为DOS STUB。 这个DOS实际上就是一个完整的DOS应用程序。这样当你在DOS下试图运行这个程序的时候,DOS将会把它识别成一个DOS可执行程序。一般这个DOS STUB会在屏幕上打印一条信息“该程序需要W
PE可选PEIMAGE_OPTIONAL_HEADER32/64 简(三)
想喝奶茶的胖大海
12-26 1154
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE中的第三部分,可选(扩展)PE,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
PE文件(二)PE字段说明
最新发布
2301_78838647的博客
04-24 1218
PE字段 = DOS + PE标记 + 标准PE + 可选PE我们今天分析一下PE字段中所有重要成员的含义。
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PE文件和COFF文件格式分析——签名、COFF文件可选文件1
方亮的专栏
07-19 6500
本文将讨论PE文件中非常重要的一部分信息。(转载请指明来源于breakSoftware的CSDN博客)         首先说一下VC中对应的数据结构。“签名、COFF文件可选文件”这三部分信息组合在一起是一个叫IMAGE_NT_HEADERS的结构体。 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMA
第三课 完善可选头(整个PE课程中最重要的一课)
xuenixiang.com
07-20 315
上一节课中我写好了_IMAGE_OPTIONAL_HEADER 的前10个成员,今天我接着来完善这个结构中最重要的两个成员,在学习第11个第12个成员之前我们先来认识一下PE磁盘文件与内存映像结构图。 做一个RVAtoRAW的转换练习(根据上节课讲的转换公式) RVA: (Relative Virtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地...
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 1102
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值