PE结构-Nt头部

最新推荐文章于 2023-05-18 22:40:47 发布
最新推荐文章于 2023-05-18 22:40:47 发布
阅读量455 收藏
点赞数
分类专栏: 文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wang_1997/article/details/104253731
版权
本文详细介绍了PE文件结构中的Nt头部,包括PE标志、硬件环境、节的数量、时间戳、符号表信息、选项头大小、节表定位、入口点、装载地址、重定位问题以及对齐值等关键字段。通过理解这些字段,读者能够深入理解PE文件的内部工作机制,并了解如何进行结构改造和测试。
摘要由CSDN通过智能技术生成

首先,我们需要知道如何定位到Nt头部,这个在上篇博客中Dos头部的e_lfanew字段中,该字段可定位到Nt头部

先来看一下这个32位的Nt结构

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature; //50 45 00 00 PE标志
    IMAGE_FILE_HEADER FileHeader; //文件头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //选项头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

第一个4字节的PE标志,不可改,没啥好多说的了,看下面这个文件头结构

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine; //在什么硬件环境中运行
    WORD    NumberOfSections; //节的数量
    DWORD   TimeDateStamp; //时间
    DWORD   PointerToSymbolTable; //符号表位置
    DWORD   NumberOfSymbols; //符号个数
    WORD    SizeOfOptionalHeader; //选项头大小
    WORD    Characteristics; //可执行文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

首先,我们需要重点关注前两个和最后两个(也就是首四字节和尾四字节)

第一个Word,表示在什么硬件环境中执行,上面图片的二进制位为014C,表示Intel 386

#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64

第二个Word,表示节的数量,啥是节,在上一篇博客中有提及过,具体分析节在下一篇博客中,这里我们需要知道的是,当我们需要遍历循环节时,需要该字段用于条件判断&#

最低0.47元/天 解锁文章
嘻嘻兮
关注
专栏目录
PE文件学习--Nt头部
KOOKNUT的博客
03-24 478
当我们越过Dos Stub之后就来到了IMAGE_NT_HEADERS,这个结构在32位和64位下的大小是不一样的,这个结构体紧跟在Dos Stub之后,结构体看起来只有三个成员,接下来我们来一个一个细细解剖 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMAGE_FILE_HEADER FileHeader; ...
PE文件-NT
weixin_45012273的博客
11-06 344
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
2.PE文件之NT头(IMAGE_NT_HEADERS)
kernelhack
10-25 5028
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
PE文件结构 - NT头学习
bcbobo21cn的专栏
03-20 938
PE文件基本结构如下; 学习一下NT头; NT头,包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_HEADER(扩展头)。 NT头:Signature,文件头,扩展头; 其定义如下; 这个是微软定义的; typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_H...
PE笔记之NTPE文件头
aod83029的博客
10-09 180
typedef struct _IMAGE_FILE_HEADER { WORD Machine;   //014C-IMAGE_FILE_MACHINE_I386 WORD NumberOfSections;  //PE节数量-0007个节 D...
PE结构-Dos头部
小喇叭儿滴滴的吹
02-10 413
啥是PE结构?简单来说,就是将代码和数据按照一定的约定进行存放,为进程的创建做准备。 微软当初在设计PE结构时,目标是设计成多平台的,所以里面很多字段考虑了跨平台因数,当然现在来看,这个跨平台...en..就不用多说啥了。 先来了解一下PE结构的大概情况 IMAGE_DOS_HEADER //DOS头 IMAGE_NT_HEADERS //NT头 DWORD Signature /...
PE结构-节
小喇叭儿滴滴的吹
02-12 517
首先,节的话有两部分,一部分是节表,另外一部分就是节区了,节表是用于描述节区信息的,而节区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位节表,重点就是需要根据选项头的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos头 if (pDosHeader ==...
PE文件结构——NT Headers
最新发布
QXinHan的博客
05-18 508
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“头”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择头,它一共有31个成员而64位的可选择头有30个成员。7.SizeOfHaeders:所有头的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
PE格式解析-NT头与地址换算
走在成长的路上
12-20 1983
关于PE文件的解析,相关概念的理解与计算
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2990
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
PE头解析
qq_41129854的博客
03-16 657
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
UPack文件分析学习笔记
qq_45444695的博客
02-17 1568
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPack对PE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。 UPack压缩notepad 我们使用upack 0.39.exe对w...
《逆向工程核心原理》第13章——PE文件格式(1):PE
diamond_biu的博客
12-05 789
介绍 本章将详细讲解WIndows操作系统的PE(Portable Executable)文件格式相关知识。同时整理有关进程,内存,DLL等的内容。 PE是指32位可执行文件,也称PE32。64位可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。 PE文件格式 PE文件种类如下: 种类 主扩展名 可执行系列 exe scr 库系列 dll ocx cpl drv 驱动程序系列 sys vxd 对象文件系列 obj 严格来讲,obj文件之外的所有文件都是.
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1951
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1586
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
Option PE header
2514804004的博客
04-08 2942
可选PE头file header Characteristicsoption PE code file header Characteristics PE文件解析官方文档 option PE code pe文档 //可选PE头 IMAGE_OPTIONAL_HEADER32 STRUCT{ WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) 010B BYTE MajorLinkerVersion; /
PE格式分析
自然语言处理及大数据
01-30 838
<br />#include <stdio.h><br />#include <malloc.h><br />#include <string.h><br />#include <windows.h><br />#include <TlHelp32.h><br />#include <Psapi.h><br />int main() <br />{<br /> <br /> FILE *infile=NULL;<br /> IMAGE_DOS_HEADER dosheader;<br /> IMAGE_NT
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
Windows PE文件结构详析与关键数据结构解析
文中列举了一些关键的数据结构,如IMAGE_DOS_HEADER用于表示原始的MS-DOS头部,IMAGE_IMPORT_DESCRIPTOR负责导入模块的描述,IMAGE_NT_HEADERS封装了PE文件的基本信息,而IMAGE_SECTION_HEADER则定义了文件中的各个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值