PE文件头

最新推荐文章于 2021-10-25 16:35:59 发布
最新推荐文章于 2021-10-25 16:35:59 发布
阅读量1k 收藏
点赞数 1
分类专栏: PE文件格式 文章标签: header image struct file dos byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SysProgram/article/details/5661645
版权

上次我们认识了Dos头,这次我们来认识一下PE文件头

 

紧跟着Dos stub的是PE文件头(PE Header),PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起

始偏移量。该结构如下:

 

typedef struct  _IMAGE_NT_HEADERS {

    DWORD Signature;                           // PE文件头标志:"PE/0/0"

    IMAGE_FILE_HEADER FileHeader;               // PE文件物理分布的信息

    IMAGE_OPTIONAL_HEADER32 OptionalHeader; // PE文件逻辑分布的信息

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32

 

IMAGE_NT_HEADERS是由三个字段组成。

 

1、Signature字段

 

    在一个有效的PE文件里,Signature字段被设置为00004550h,ASCII码字符是"PE00"

 

2、IMAGE_FILE_HEADER结构

 

   typedef struct _IMAGE_FILE_HEADER {
  WORD Machine;     //运行平台
  WORD NumberOfSections;  //区块的数目
  DWORD TimeDateStamp;    //文件创建日期和时间
  DWORD PointerToSymbolTable;  //指向符号表
  DWORD NumberOfSymbols;       //符号表中符号个数
  WORD SizeOfOptionalHeader;   //IMAGE_OPTIONAL_HEADER32结构大小
  WORD Characteristics;             //文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 

 

3、IMAGE_OPTIONAL_HEADER结构

 typedef struct _IMAGE_OPTIONAL_HEADER {

    //

    // 标准域

    //

    WORD    Magic;                    

    BYTE    MajorLinkerVersion;        

    BYTE    MinorLinkerVersion;        

    DWORD   SizeOfCode;                  

    DWORD   SizeOfInitializedData;      

    DWORD   SizeOfUninitializedData;        

    DWORD   AddressOfEntryPoint;        

    DWORD   BaseOfCode;                  

    DWORD   BaseOfData;                  

    //

    // NT附加域      

    //

    DWORD   ImageBase;                   

    DWORD   SectionAlignment;           

    DWORD   FileAlignment;          

    WORD    MajorOperatingSystemVersion;

    WORD    MinorOperatingSystemVersion;

    WORD    MajorImageVersion;       

    WORD    MinorImageVersion;       

    WORD    MajorSubsystemVersion;      

    WORD    MinorSubsystemVersion;      

    DWORD   Win32VersionValue;      

    DWORD   SizeOfImage;                

    DWORD   SizeOfHeaders;          

    DWORD   CheckSum;                

    WORD    Subsystem;                   

    WORD    DllCharacteristics;     

    DWORD   SizeOfStackReserve;     

    DWORD   SizeOfStackCommit;      

    DWORD   SizeOfHeapReserve;      

    DWORD   SizeOfHeapCommit;           

    DWORD   LoaderFlags;                

    DWORD   NumberOfRvaAndSizes;        

    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

 

sysprogram
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE header
跃然实验室
06-12 953
PE header 由三部分组成 字串 “PE\0\0”(Signature) 映像文件FileHeader) SizeOfImage字段(+50h) 内存中整个PE映像尺寸 按照“SectionAlignment”对齐的,它就是所有和节的长度的总和 可选映像(OptionalHeaderIMAGE_NT_HEADERS STRUC...
PE文件详解之PE文件
知其所以然
09-01 1914
1, PE文件PE Header ) 紧挨着 DOS stub     2,  PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称。里面包含着许多PE装载器用到的重要字段。     3,执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量,加上基地
PE格式详细讲解2 - 系统篇02|解密系列
weixin_34221773的博客
04-06 151
PE格式详细讲解2-系统篇02 让编程改变世界 Change the world by program PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~ 首先是IMAGE_NT_HEADERS 结构的定义:(啥?结构不会,先看看小甲鱼童鞋的《零基础入门学习C语言...
PE学习(三)第三章:PE文件
零点起步
03-18 1187
第三章:PE文件 PE中涉及的地址有四类,它们分别为: 虚拟内存地址(VA) 相对虚拟内存地址(RVA) 文件偏移地址(FOA) 特殊地址  没有物理内存对应的页面被标记为dirty的页面,一般存储在一个名为“交换文件”的磁盘文件中。在WINDOWS XP系统中,交换文件为pagefile.sys  进程本身的VA被解释为:进程的基地址+相对虚拟内存地址  RVA是相对基地址的偏
PE文件格式详解(三)――DOS Header & PE Header
lwglucky的专栏
03-13 1364
上一节中我们对PE文件的各个部分的作用有了一个总体的认识,从这节起我们会对PE文件的每个部分作更进一步的解释,当然别忘记了上一节中我提出的两个问题。 1.DOS MZ headerDOS Stub:         所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它,一旦程序在DOS下执行,DOS就能识别出这
PE文件详解
03-17
深入理解PE文件对于软件开发、逆向工程和安全分析至关重要。接下来,我们将详细探讨PE文件的关键组成部分。 1. **DOS**: - DOSPE文件的起始部分,它是一个兼容MS-DOS的小程序,允许在没有Windows环境的...
PeEdit PE文件修改工具
08-18
PeEdit:深入理解PE文件修改工具》 在Windows操作系统中,可执行文件(.exe、.dll等)遵循一种特定的文件格式,被称为Portable Executable(PE)。PE文件格式是微软为32位和64位Windows系统定义的标准,它包含...
PE文件结构图破解PE文件
03-20
PE文件结构图破解PE文件 PE文件结构图 破解PE文件,分析PE文件组成,详细描述了PE文件定义,分析破解PE文件更加简单方面
PE文件结构
洋葱汪的博客
08-09 3083
参考《加密与解密》《Windows PE权威指南》 目录 1、PE文件的结构 1、什么是可执行文件? 2、PE文件的特征 3、PE文件的整体结构 4、PE文件到内存的映射 5、DOS部分 6、PE文件PE Header) 7、块表 8、RVA与FOA的转换 2、输出表和输入表 1、输出表(导出表) 2、输入表(导入表) 3、重定位表 4、资源 1、PE文件的结构...
PE文件相关内容
apple12_12的博客
08-26 373
1.PE header: 如何加载到内存、从何处开始运行、运行中需要的DLL文件有哪些、需要多大的栈/堆内存等,大量信息以结构体形式存储在PE中。 PE文件格式如下: DOS+DOS存根+节区=PE 1.DOSPE最前面的是IMAGE_DOS_HEADER结构体,用来扩展已知的的DOS EXE,该结构体共40个字节,我们必须要知道其中两个重要成员,分别是: e_magic 代表DOS签名,其16进制值为4D5A(ASCII值为“MZ”) e_flanew 指示NT的偏移(根据不同的文
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件
3.PE文件之标准PE(IMAGE_FILE_HEADER)
kernelhack
10-25 4882
标准PEIMAGE_FILE_HEADER紧跟在PE标记后,即IMAGE_NT_HEADERS.Signature + 4的位置.由此位置开始的20个字节为数据结构标准PEIMAGE_FILE_HEADER的内容. 该结构在微软的官方文档中被称为标准通用对象文件格式(Common Object File Format COFF).它记录了PE文件的全局属性,如该PE文件运行的平台、PE文件类型(EXE / DLL)、文件中存在的节的总数等. IMAGE_FILE_HEADER 结构及成员含义如下
PE文件解析-文件与整体介绍
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5370
PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
软件加壳的原理及实现
woshigeshusheng的博客
03-30 3万+
加壳的实现我是个初学者,所知有限,难免会有错误,如果有人发现了错误,还请指正 先大致说一下加壳的原理,即在原PE文件(后面称之为宿主文件)上加一个新的区段(也就是壳),然后从这个新的区段上开始运行;也就算是成功的加上了壳;下面我们就说一下具体的实现。 这个工程有两个项目,一个用来生成壳的Win32项目(dll类型),另一个是实现加壳的MFC项目; 加壳的项目界面是用MFC实现的,除了原有的类外
PE Header中的FIleHeader(文件)
weixin_34007291的博客
06-28 573
IMAGE_FILE_HEADER STRUCT Machine WORD ? NumberOfSections WORD ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader WORD ? Characteristic...
Windows PE文件格式详解
"PE文件结构-PE文件格式" 在个人计算机系统中,特别是Windows操作系统上,可执行文件的格式至关重要。PE(Portable Executable)文件格式是微软为Win32平台设计的一种标准,用于存放应用程序的机器代码和数据。本文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值