认识PE文件

最新推荐文章于 2022-08-07 11:38:14 发布
最新推荐文章于 2022-08-07 11:38:14 发布
阅读量1.1k 收藏
点赞数
分类专栏: PE文件格式 文章标签: header dos windows image exe table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SysProgram/article/details/5661299
版权

 

 Windows下的EXE可执行文件都是属于PE格式。PE是英文Portable Executable的缩写,它是一种针对于微软Windows NT、Windows 95和Win32系统,由微软公司设计的可执行的二进制文件格式,EXE、DLL都是属于PE格式的文件。

 

下面是一个PE文件结构的图

 

PE文件格式图

 

 

DOS MZ Header

    所有 PE文件(甚至32位的DLLs)必须以简单的DOS MZ header开始,它是一个IMAGE_DOS_HEADER结构。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ Header之后的DOS Stub。

 

    DOS Stub 

DOS Stub实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串“This program requires Windows”或者程序员可根据自己的意图实现完整的DOS代码。大多数情况下DOS Stub由汇编器/编译器自动生成。

 

PE Header

     紧接着DOS Stub的是PE Header。它是一个IMAGE_NT_HEADERS结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从DOS MZ header中找到PE header的起始偏移量。因而跳过DOS Stub直接定位到真正的文件头 PE header。

 

Section Table

    PE Header之后是数组结构Section Table(节表)。如果PE文件里有5个节,那么此Section Table结构数组内就有5个(IMAGE_SECTION_HEADER)成员,每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。排在节表中的最前面的第一个默认成员是text,即代码节头。通过遍历查找方法可以找到其他节表成员(节表头)。

 

Sections

    PE文件的真正内容划分成块,称为Sections(节)。每个标准节的名字均以圆点开头,但也可以不以圆点开头,节名的最大长度为8个字节。Sections是以其起始位址来排列,而不是以其字母次序来排列。通过节表提供的信息,可以找到这些节。程序的代码,资源等就放在这些节中。

    节的划分是基于各组数据的共同属性,而不是逻辑概念。每节是一块拥有共同属性的数据,比如代码/数据、读/写等。如果PE文件中的数据/代码拥有相同属性,它们就能被归入同一节中。节名称仅仅是个区别不同节的符号而已,类似“data”,“code”的命名只为了便于识别,唯有节的属性设置决定了节的特性和功能。

sysprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初步了解PE文件格式(上)
cuglzf的博客
07-03 4504
今天这篇博客只对PE文件进行大致的分析,使用一个例子并结合一个简单的PE文件格式图来说明PE文件格式
PE文件导入表解析(C++)
05-01
本文将深入探讨如何使用C++语言解析PE文件的导入表,帮助开发者理解并实现相关功能。 首先,我们来看一下PE文件的基本结构。PE文件由若干节区(Section)组成,每个节区包含代码、数据或资源等信息。在PE文件头部,有...
认识Import表-PE输入表说明
01-25 1447
认识Import表-PE输入表说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
认识PE文件之基地址
知其所以然
07-10 2533
什么是PE文件?摆个连接吧,人家比我专业呢 PE文件:http://baike.baidu.com/view/1087038.htm -----------------------------------------------------------------------------------------------------------------------------------
PE文件格式详解(一)――基础知识
lwglucky的专栏
03-13 1516
什么是PE文件格式:     我们知道所有文件都是一些连续(当然实际存储在磁盘上的时候不一定是连续的)的数据组织起来的,不同类型的文件肯定组织形式也各不相同;PE文件格式便是一种文件组织形式,它是32位Window系统中的可执行文件EXE以及动态连接库文件DLL的组织形式。为什么我们双击一个EXE文件之后它就会被Window运行,而我们双击一个DOC文件就会被Word打开并显示其中的内容;这说
PE结构学习(1)_认识PE文件
xf555er的博客
08-07 603
可执行文件在不同的操作系统平台有不同的结构常见的PE文件后缀名有EXE, DLL,SYS等。
PE文件格式粗浅认识
qq_45444695的博客
01-27 860
前言:最近开始学习PE文件格式,写点笔记做点记录,希望能够对和我一样正在学习PE文件的小伙伴有些启发,生出很棒的点子 ,当然,下面这些只是我这个初学者的一些简单的认识,针对和我一样的初学者,dalao可以绕道,另外,如果大家可以指出我的错误,我当感激不尽! 1.PE文件格式图总览 2.PE文件格式介绍 PE(Portable Execute)文件Windows下可执行文件的总称,常见的有EX...
PE文件格式分析
as14569852的博客
09-28 8194
最近需要对文件加壳,看到这篇文章挺好的转载一下,原文地址http://blog.csdn.net/shitdbg/article/details/49734495 一、PE的基本概念     PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名
PE文件详解02
qq_33168924的博客
11-21 368
PE文件详解02 1.内容概要 PE文件详解01中我们已经解析了dos头,nt头,区块头表中的数据,接下来本片文章主要讲数据目录表中索引的几种关键数据。这些关键数据包括导入表,导出表,资源表,重定位表,线程本地存储,延迟加载表。 2.数据目录表内容在nt头的扩展头中 ,数据目录表是对上面各种表的索引,方便我们从区块中快速检索到数据。 3.导出表 3.1:导出表的作用 导出表是PE文件自己给其他PE...
PE文件解析-文件头与整体介绍
热门推荐
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE可执行文件格式概述
06-01
PE 文件格式的了解可以使读者对可执行文件的结构有进一步的认识,可以对可执行程序进行加密、加壳和修改等。了解 PE 文件格式是静态分析安全人员必须掌握的内容,可以对可执行程序进行加密、加壳和修改等,黑客也...
易语言PE文件资源查看源码.zip易语言项目例子源码下载
03-23
1. PE文件结构:源码会涉及到PE文件头、节表、导出和导入表、资源目录等关键结构,这些都是PE文件解析的基础。 2. 资源解析:Windows程序中的资源如图标(.ico)、位图(.bmp)、字符串等都存储在特定的区域,源码...
深入剖析PE文件 new
11-17
对于PE文件结构的深入理解可以增强开发者对Windows平台下程序执行机制的认识,并且在安全、调试和逆向工程领域有着广泛的应用。通过对PE文件的分析,可以更好地理解程序的运行机制,甚至在安全领域进行病毒和恶意...
获取PE文件的区段表
十年磨一剑,霜刃未曾试!
05-08 4037
 //清空列表控件 m_ListCtrlSection.DeleteAllItems(); IMAGE_DOS_HEADER DosHeader = {0}; IMAGE_FILE_HEADER FileHeader = {0}; HANDLE  hFile = INVALID_HANDLE_VALUE; DWORD  dwReadLen = 0; WORD  NumOfSec = 0; //区段表个数 IMAGE_SECTION_HEADER *pSecHeader = NULL; //打开文件 hFil
MS-DOS头部
十年磨一剑,霜刃未曾试!
06-10 2874
<br />每个PE文件都是以一个Dos程序开始的,有了它,一旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,它将简单的显示一个错误提示,This program must be run under Win32。Dos stub一般都是由编译器自动生成的。Dos MZ头与Dos stub合称为Dos文件头。<br /> <br />MS-DOS头部占据了PE
判断是不是PE文件
十年磨一剑,霜刃未曾试!
06-10 2564
判断是不是一个PE文件有很多种方法,我们用的方法是:先读取Dos头,判断e_magic是否等于"MZ",然后再读取PE文件头的头字节,判断是不是 "PE00"。这样就能确定是不是一个有效的PE文件。代码如下://选择文件void CPEDlg::OnButton1() { // TODO: Add your control notification handler code here TCHAR tzFilter[] = _T("可执行文件(*.exe)|*.exe|所有文件(*.*)|*.*||"); C
PE文件
十年磨一剑,霜刃未曾试!
06-10 1064
<br />上次我们认识Dos头,这次我们来认识一下PE文件头<br /> <br />紧跟着Dos stub的是PE文件头(PE Header),PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起<br />始偏移量。该结构如下:<br /> <br />typedef struct  _IMAGE_NT_HEADERS {<br />    DWORD Signature;                           // PE文件头标志:"
PE文件结构详解:PE头组成和文件结构图
PE头组成-详细PE文件结构图 PE头是Win32程序的格式头部,主要包括三个构成部分:PE标志位、文件头和可选头。其中,PE标志位用于判断文件是否为PE文件的标识,固定为“PE..”;文件头记录该文件的一些调试信息;可选...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值