PE结构-Dos头部

最新推荐文章于 2022-06-17 08:29:42 发布
最新推荐文章于 2022-06-17 08:29:42 发布
阅读量399 收藏
点赞数
分类专栏: 文件格式 文章标签: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wang_1997/article/details/104251837
版权
本文介绍了PE文件结构中的Dos头部及其后续的Stub数据。内容涉及PE结构的基本概念,选项头的重要性和数据节区的描述。通过WinHex工具分析Dos结构,并探讨在32位环境下Stub数据的作用。此外,文章还提到了手动编译小型exe文件来简化学习过程,并建议修改Dos头的特定区域以测试程序运行的正确性。
摘要由CSDN通过智能技术生成

啥是PE结构?简单来说,就是将代码和数据按照一定的约定进行存放,为进程的创建做准备。

微软当初在设计PE结构时,目标是设计成多平台的,所以里面很多字段考虑了跨平台因数,当然现在来看,这个跨平台...en..就不用多说啥了。

先来了解一下PE结构的大概情况

IMAGE_DOS_HEADER //DOS头
IMAGE_NT_HEADERS //NT头
    DWORD Signature //PE 标志
    IMAGE_FILE_HEADER //文件头
    IMAGE_OPTIONAL_HEADER //选项头
IMAGE_SECTION_HEADER //数据节区描述 多个
...
IMAGE_SECTION_HEADER
SECTION_DATA //节数据
...
SECTION_DATA
user data //附加数据 不属于PE范畴

上面大致看看分布即可

先来说说选项头,有些视频或者书籍会翻译成可选头,只是需要注意的是这里的IMAGE_OPTION_HEADER是不能省略的,一个字段都不能,只是这个结构是有多种选项的

IMAGE_OPTIONAL_HEADER64 OptionalHeader; //32位
IMAGE_OPTIONAL_HEADER32 OptionalHeader; //64位
IMAGE_ROM_OPTIONAL_HEADER OptionalHeader; //嵌入式

然后再来说一说数据节区,位于NT头后,有几个节数据(理解为数据块即可),就会有对应多少个节区描述。那么描述数据块至少需要两个信息,数据块在哪里(地址),多大(size),

最低0.47元/天 解锁文章
嘻嘻兮
关注
专栏目录
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE结构】1.PE文件结构DOS
SMOne
06-22 1421
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表一、前言PE(PortableExecutable)文件,也就是Windows操作系统上的可执行文件,不仅仅是扩展名为EXE的文件,还包括DLL、SYS、COM、OCX等多种文件。Windows操作系统树大招风,运行在上面的各种应用程序(PE文件)自然成了很多...
DOS头部IMAGE_DOS_HEADER
07-09 386
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS和一个DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
PE结构学习01-DOS-NT
05-09 284
什么是PE结构PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,就是只要在Windos下的可执行程序的内部结构都是PE结构,就是一个程序代码的分布结构,什么位置放什么数据代码,是有一定格式的,不然就乱了,系统就找不到了。 为什么学习PE结构:逆向分析一个Windows程序,必须了解它的代码分布情况,知...
MS-DOS头部
十年磨一剑,霜刃未曾试!
06-10 2875
<br />每个PE文件都是以一个Dos程序开始的,有了它,一旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,它将简单的显示一个错误提示,This program must be run under Win32。Dos stub一般都是由编译器自动生成的。Dos MZDos stub合称为Dos文件。<br /> <br />MS-DOS头部占据了PE
DOS定义
yazi1297的专栏
07-26 1459
转自: http://ifdefine.blog.sohu.com/146956978.html DOS 头部结构定义//word 与 UNSHORT 等效typedef struct _IMAGE_DOS_HEADER { // DOS .EXE 结构定义开始 文件中的位置(偏移量) WORD e_magic; // 魔术数字 0x00000000-0x00000001 WORD e_cblp
PE结构-Nt头部
小喇叭儿滴滴的吹
02-11 439
首先,我们需要知道如何定位到Nt头部,这个在上篇博客中Dos头部的e_lfanew字段中,该字段可定位到Nt头部 先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件 IMA...
PE文件格式之MS-DOSPE文件,区块
The Road Of Sec
12-03 2423
PE文件格式之MS-DOSPE文件,RVA,VA,虚拟地址PE文件格式
PE文件学习--Dos头部
KOOKNUT的博客
03-23 506
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
PE文件结构DOS头部程序实例详解
qq_46145027的博客
05-02 590
​​​​​​可执行文件结构PE文件结构讲解<----关于PE文件结构可以看这个 下面我们结合程序实例来具体的看一看DOS头部的意义。 程序字段分析 我们用VC新建一个windows桌面应用程序: 程序中Winnt.h包含了PE文件的定义格式,我们找到这个文件打开并查看IMAGE_DOS_HEADER的定义代码: 有这么多个字段: 其中第一个和最后一个比较重要: e_magic字段: 是一个DOS可执行文件的标识符,占用2字节。保存的字符是 “MZ” 在Winnt...
PE总结3---PE文件结构DOS文件
oBuYiSeng的博客
11-24 2217
PE文件结构DOS文件,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT头部在文件中的偏移,新的exe文件
view pe header on winhex
谢绝(无视)留言与私信
07-19 594
前言在WinHex打开PE文件后, 总是忘记PE结构成员的含义, 直接看蒙了. 整理了一张带标记的图片, 做PE结构识别练习. 练习通过后, 再拿一个正常的没有标记的PE文件在WinHex中直接看.实验 DOS_HEADER共4行 DOS_HEADER + 0x0, WORD => DOS文件签名 DOS_HEADER + 0x3c, DWORD => NT偏移NT_HEADER +
PE文件格式分析-WinHex工具-文件-32位PE-部分64位PE
插件开发
06-17 4838
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT
1.PE文件之DOS(IMAGE_DOS_HEADER)
kernelhack
10-24 8968
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
PE文件学习笔记(一):DOSPE解析
热门推荐
Apollon_krj的博客
08-10 1万+
在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
winhex文件
Yale的博客
03-23 1万+
用winhex分析时,经常会碰上缺少头部的文件,因此特地整理了一下FFD8FFFE00, .JPEG;.JPE;.JPG, “JPG Graphic File” FFD8FFE000, .JPEG;.JPE;.JPG, “JPG Graphic File” 474946383961, .gif, “GIF 89A” 474946383761, .gif, “GIF 87A” 424D, .b
PE格式之DOS+PE
Miibotree
04-06 5671
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。 所以写下代码来泄愤。。。。 首先给大家推广下小甲鱼的网站 http://fishc.com/  小甲鱼是个大帅锅(。。。。) 这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还
PE文件结构详解:区块、地址DOS头部
- PE文件通常以DOS头部(IMAGE_DOS_HEADER)开始,这是为了兼容早期的MS-DOS环境。这个头部包含了标识符(e_magic)、文件大小、段信息、堆栈设置(e_ss 和 e_sp)以及初始化指令入口点(e_ip)等关键信息。 4. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值