PE文件结构学习

已于 2022-05-30 18:31:29 修改
阅读量447 收藏 1
点赞数
分类专栏: 学习笔记 软件安全 文章标签: 学习 安全
于 2022-05-19 16:28:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tracy_yi/article/details/124865908
版权

PE文件

Ⅰ PE文件的结构

1.概论

  • DOS系统中的COM文件:仅仅包含可执行代码,没有附加数据来指定文件入口,因此第一行执行指令必须在文件头部。没有重定位信息,因此代码中不能有跨段操作数据的指令。
  • EXE文件:在代码前加了一个文件头,包含各种说明数据,操作系统根据文件头中的信息将代码部分装入内存,根据重定位表修正代码,从文件头中指定的入口开始执行。
  • PE文件:代码、已初始化的数据、资源和重定位信息按照属性分类到不同的节中,每个节的属性和位置信息用一个IMAGE_SECTION_HEADER结构来描述,所有的ISH组成一个节表。

2.DOS文件头和DOS块

在这里插入图片描述

  • DOS_HEADER的部分比较重要的是signature为MZ表示其为PE文件在这里插入图片描述

  • 还有就是最后的e_lfanew字段,指出了真正的PE文件头在文件中的位置

在这里插入图片描述

  • DOS部分执行代码只是一个提示“this program cannot be run…”
    在这里插入图片描述

3.PE文件头

IMAGE_FILE_HEADER
  • Machine:指定文件的运行平台
  • NumberofSections:节的数量
  • TimeDateStamp:编译器创建此文件的时间
  • SizeofOptionalHeader:00e0h
  • Characteristics:属性标志字段
IMAGE_OPTIONAL_HEADER32

可以与上一个结构不加以区别

  • AddressOfEntryPoint:文件被执行时的入口地址

  • ImageBase:文件的优先装入地址,只有指定的地址被其他模块使用时才会被装入到其他地址。exe文件使用独立的虚拟地址空间,总是能够按这个地址装入。dll文件不能保证优先装入地址没有被其他的dll使用,因此必须包含重定位信息。exe默认:0040000h,dll默认:10000000h

  • SectionAlignment和FileAlignment:节被装入内存后的对齐单位和节存储在磁盘文件中的对齐单位

  • Subsystem:指定使用的界面子系统

  • DataDirectory:定义不同用途的数据块,存储着RVA和长度

在这里插入图片描述

4.节表和节

节表

也即IMAGE_SECTION_HEADER,其总数与NumberofSections相同
在这里插入图片描述

  • name:只是字符串

  • VirtualSize:节的大小,节的数据在没有进行对齐处理前的实际大小

  • VirtualAddress:节被装载到内存中后的偏移地址,是一个RVA,按照内存页对齐

  • PointerToRawData:节在磁盘文件中所处的位置,文件头开始算起的偏移量

  • SizeOfRawData:节在磁盘文件中所占的空间大小,等于VirtualSize按FileAlignment对齐后的大小

    依靠上面四个字段的值,装载器就可以从PE文件中找出某个节的数据并将其映射到内存中(映射到模块基地址开始偏移VirtualSize的地方,并占用以VirtualSize的值按照页的尺寸对齐后的空间大小)

  • Characteristics:属性标志字段

欢迎指正

岁余十二.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
根据PE文件信息获得文件大小
天道酬勤
05-11 3202
ULONG GetFileLen(LPVOID pBaseaddr,LPVOID pReadBuf) { LPBYTE pBase=(LPBYTE)pBaseaddr; PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)pReadBuf; ULONG uSize=PIMAGE_OPTIONAL_HEADER((pBase+pDosHeader->e_lfanew+4+20))->SizeOfHeaders
PE文件结构详解
神棍之路
07-20 9910
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构
南宫封清的博客
04-19 3724
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6352
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件结构详解--(完整版)
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
pe文件结构学习
06-15
这个资源太好了 顶啊 希望爱学习计算机技术的朋友加入 一定顶啊
PE文件结构详细图pdf
08-17
通过深入学习PE文件结构,开发者可以更好地理解程序的运行机制,进行逆向工程、调试、安全分析等工作。这个"PE文件结构详细图pdf"很可能包含各种图表和详细解释,帮助读者直观地了解每个组成部分的作用和相互关系。...
关于PE文件结构学习资料
05-12
关于PE文件结构学习资料. 如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要...
PE结构查看.rar
04-05
PE文件结构主要包括以下几个部分: 1. **DOS头**:虽然Windows系统是32位或64位,但PE文件仍保留了早期DOS时代的头,以便在DOS环境下识别并跳转到PE头。 2. **PE头**:在DOS头之后,有一个称为PE签名的字符串"PE\0...
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
PE结构详解
whl0071的专栏
02-20 2558
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头(PE文件签名的偏移地址就是大小) 3.2 NT头(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE文件结构解析
eli的博客
12-01 6538
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
windows PE文件结构及其加载机制
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE结构&整体叙述
寻梦&之璐
01-31 5477
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,节在内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的节在文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字节,十六进制是200h 处于节约资源考虑,操作系统允许节在内存和文件
PE文件架构学习(一)
最新发布
m0_75243362的博客
03-14 1201
PE文件是windows系统中遵循PE结构文件,比如以.exe .dll .ocx .sys .com为后缀名的文件以及系统驱动文件。(可能是间接被执行的,如DLL)​ 官方解释链接​ 顾名思义,世界上各种东西都有自己特定的结构,最简单和直观理解的例子就是我们自己身体的结构,由一个各个部位和器官关节来组成的,而同样的,PE文件也有着它自己所独特的结构。只有有了特定的结构之后,整个文件才能更加有序和规律地去处理代码以及数据,去执行操作等一系列的过程。
pe文件结构 基础篇
weixin_50217210的博客
07-08 796
转自看雪学院
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值