我的PE了解

最新推荐文章于 2024-08-11 14:52:34 发布
最新推荐文章于 2024-08-11 14:52:34 发布
阅读量451 收藏
点赞数
分类专栏: 文件信息 PE 输出表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ye_The_World/article/details/45694533
版权
文件信息 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
PE
1 篇文章 0 订阅
订阅专栏
输出表
1 篇文章 0 订阅
订阅专栏

一、什么是PE文件。

        PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。

二、PE文件格式

        2.1RVA、VA和OFFSET转换和理解

        OFFSET 就是010Editor以[0x00]开始的文件中的位置       OFFSET  = RVA-所属区段的基址(VirtualAddress) + 所属区段的节基于文件的偏移量(PointerToRawData)

        VA         就是内存映像中的位置,即地址                           VA          = RVA - ImageBase

        RVA       就是内存映像中的位置与文件映射基址的差      RVA        = VA+ImageBase

        2.2PE文件的关键头

        DOS头:

        IMAGE_DOS_HEADER[0x40]:

                 [0x00]WORD   e_magic;  所有MS-DOS兼容的可执行文件都将此值设为0X5A4D(MZ).

                 [0x3c]DWORD e_lfanew;表示PE头起始的位置.

       PE头:文件信息都在其中

       struct _IMAGE_NT_HEADERS {
       0x00 DWORD Signature;                                               //PE头标识
       0x04 _IMAGE_FILE_HEADER FileHeader;             
       0x18 _IMAGE_OPTIONAL_HEADER OptionalHeader;
       };

       IMAGE_NT_HEADERS[0x78]:前面0x78个字段固定

      区段表:保存各个区段的信息,如名称、大小、VOffset、ROffset等

      IMAGE_SECTION_HEADER:

      区段:文件的信息全部在区段中

三、PE文件的数据资源信息——以user32.dll的输出表信息为例

(在文件中保存的位置均为RVA所以在文件中查找位置需要转换为OFFSET)

      输出表信息

      IMAGE_DIRECTORY_ENTRY_EXPORT
      struct _IMAGE_DATA_DIRECTORY {
      0x00 DWORD VirtualAddress;           //0x00010548——>Offset:0x00000948
      0x04 DWORD Size;                             //0x00005A7E
      };

      IMAGE_EXPORT_DIRECTORY[0x28]:0x00000948

      0x0c DWORD Name;文件名称0x00012860——>0x00002C60跳过去就能看见user32.dll

      0x10 DWORD Base;函数基序号0x000005DC

      0x14 DWORD NumberOfFunctions;        函数数量      3EB
      0x18 DWORD NumberOfNames;             函数名数量 336
      0x1c DWORD AddressOfFunctions;         函数地址     0x00010570——>0x00000970

      跳过去0x000789CB——>0x00068DCB过去后是函数的OPCODE
      0x20 DWORD AddressOfNames;             函数名地址 0x0001151C——>0x0000191C

      跳过去0x0001286B——>0x00002C6B后面就是一个一个的函数名了
      0x24 DWORD AddressOfNameOrdinals;序号地址     0x000121F4——>0x000025F4跳过去就是函数的序号


Ye_The_World
关注
专栏目录
PE文件格式详解
音视频图形编程学习乐园
09-01 1690
本文描述了Windows系统的PE文件格式。
PE结构分析表格,配合我博客里的PE结构分析
10-05
学习安全的路上,发现病毒也是一方面,也是通过病毒了解PE的,查阅了很多资料,质量实在是不敢恭维,于是找了一本书看看这方面的东西,东西很多,一时半会也记不住,所以写下来方便查阅,也希望大家能一起进步!
PE文件学习
qq_40569221的博客
07-04 1085
PE文件,即Portable Executable文件,是一种标准的文件格式,主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序(如.exe文件)、动态链接库(.DLL文件)、设备驱动(.SYS文件)、ActiveX(.OCX文件)以及其他类型的可执行模块。PE文件格式设计得非常灵活和强大,它允许程序在不同版本的Windows上运行,从而实现了一定程度的可移植性。
PE文件格式
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-27 6555
PE文件基本内容
PE文件(一)PE结构概述
2301_78838647的博客
04-18 1497
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
了解Windows系统下的PE文件
做一个快乐学习者
10-13 4749
可执行文件结构是操作系统的根基,Windows系统下面有很多类型不同的文件,例如*.ex,*.dll,*.sys,*.ocx等文件格式都遵从PE文件结构的约定。 PE文件实在win32位系统中诞生的,而且与win64位系统中的可执行文件格式基本相同。 在Windows系统中,可以以二进制形式被系统加载执行的文件都是PE文件。 PE文件就是Portable Executable(可移植执行体)...
PE文件详解
顺其自然~专栏
03-10 1458
PE文件详解(教程1-7) ========================================= PE教程1: PE文件格式一览 PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Int
PE文件及其结构
include的博客
04-05 1131
PE文件 1.什么叫PE文件 PE (Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目的是使连接生成的EXE文件能在不同的CPU指令下工作。 Windows中可执行程序有很多种,COM,PIF,SCR,EXE等,这些文件的格式大部分都继承于PE。其中EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件。 2.PE...
我的世界pe服务器文件,我的世界PE版后台server指令 新手福音
weixin_35347870的博客
08-13 796
我的世界PE版后台server指令 新手福音。寒假将近,如果你打算开一个PE版的服务器和小伙伴们在寒假期间愉快的玩耍,那么作为一个新手服主,PE版后台的server.properties文件你是一定要了解的,这个文件中有很多的指令,我们就来看看都有些什么。server.properties文件提醒:配置文件中不要出现中文。off是关,on是开#Properties Config file //自动...
PE头分析
zys_1997的博客
12-05 4067
PE头分析
PE文件结构及代码注入
qq_67812668的博客
08-11 804
PE即Portable Executable,是win32环境自身所带的可执行文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位的DLL)都使用PE文件格式,如EXE文件、DLL文件等,包括NT的内核模式驱动程序(Kernel Mode Driver)。
virtualBox 利用PE.iso 安装windows ghost镜像
06-30
首先,让我们了解一下PE(Preinstallation Environment)。PE通常基于Windows XP或Windows 7/8/10,提供了一个轻量级的操作环境,可以在计算机启动时加载,而无需预先安装任何操作系统。这使得用户能够执行各种系统...
pe导出表pe导出表pe导出表pe导出表pe导出表pe导出表pe导出表
08-21
2. **调试与分析**:逆向工程师在分析恶意软件或优化程序时,会深入研究PE导出表以了解其行为。 3. **插件开发**:某些软件允许开发者通过扩展导出表添加自定义功能,如游戏模组。 **学习PE导出表的重要性:** 理解...
PE查看器_PE查看器_
10-01
9. **逆向工程基础**:PE查看器是逆向工程工具的一种,通过它,用户可以了解程序的执行流程,发现潜在的漏洞或恶意行为。 通过分析和编译"PE查看器"的源码,开发者不仅可以学习到PE文件的底层细节,还能提升在...
PE 系统加载服务器阵列驱动.doc
05-18
"PE 系统加载服务器阵列驱动" PE 系统加载服务器阵列驱动是一种高级服务器阵列...通过本文,我们可以了解到服务器阵列驱动的安装、配置和使用方法,并了解到服务器阵列驱动在数据中心、大数据等领域的广泛应用前景。
南京工业大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单).zip
10-04
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单)
基于Java开发的智能文件管家设计源码
最新发布
10-04
该项目是一款基于Java的智能文件管家设计源码,涵盖102个文件,包括29个Java源文件、27个类文件、19个XML配置文件、10个YAML文件、8个列表文件、4个属性文件、4个JAR包文件以及1个Git忽略文件。该系统旨在提供高效便捷的文件管理解决方案。
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动).zip
10-04
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动)
深入解析PE文件格式
总结起来,"PE文件结构祥解.pdf" 是一个宝贵的资源,为想要深入了解Windows系统下程序执行机制和PE文件格式的读者提供了全面的指导。通过学习本书,读者不仅可以理解PE文件的内部工作原理,还能掌握实际操作PE文件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值