PE文件格式笔记

最新推荐文章于 2019-04-10 23:37:55 发布
最新推荐文章于 2019-04-10 23:37:55 发布
阅读量1.7k 收藏
点赞数
文章标签: image header windows dos module import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aero_boy/article/details/2037497
版权
 
PE 文件格式
 
 
结构名 (winnt.h 中定义 )
说明
IMAGE_DOS_HEADER
DOS 的.EXE头部, 占64字节
e_lfanew(0x3C); // 新exe头部的文件地址
实模式残余程序
 
SIZE_OF_NT_SIGNATURE
占4字节, 前两字节为PE标志, 起始地址 e_lfanew 的值, 该值在winnt.h中没有定义
IMAGE_FILE_HEADER
PE 文件头, 占20字节
IMAGE_OPTIONAL_HEADER
PE 可选头部,占224字节, 虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。
.AddressOfEntryPoint   表示应用程序入口点的位置
.BaseOfCode: 已载入映像的代码(“.text”段)的相对偏移量。
.BaseOfData: 已载入映像的未初始化数据(".bss"段)的相对偏移量。
.SizeOfHeaders: 表示文件中有多少空间用来保存所有的文件头部 , 文件中所有的段实体就开始于这个位置。
.DataDirectory: IMAGE_DATA_DIRECTORY 结构的数组 , 标识了 16 种数据目录的相对虚拟地址和大小 .( 导出目录 , 导入目录 , 资源目录 , 异常目录 , 安全目录 , 重定位基本表 , 调试目录 , 描述字串 ……).
. AddressOfEntryPoint: 表示应用程序入口点的位置 , 这个位置就是导入地址表( IAT )的末尾。
IMAGE_SECTION_HEADER
… …
IMAGE_OPTIONAL_HEADER
.DataDirectory
多个连续的段头部,占40字节,数量由IMAGE_OPTIONAL_HEADER.DataDirectory数组得到.
段没有特定的顺序,通过.Name取得段的名字.
.Characteristics: 定义了段的特征, PE 格式规范中找到。
定义
0x00000020
代码段
0x00000040
已初始化数据段
0x00000080
未初始化数据段
0x04000000
该段数据不能被缓存
0x08000000
该段不能被分页
0x10000000
共享段
0x20000000
可执行段
0x40000000
可读段
0x80000000
可写段
IMAGE_EXPORT_DIRECTORY
导出数据段,.edata;
AddressOfFunctions 域是一个到导出函数入口列表的偏移量。AddressOfNames域是到一个导出函数名称列表起始处偏移量的地址,这个列表是由null分隔的。AddressOfNameOrdinals是一个到相同导出函数顺序值(每个值2字节长)列表的偏移量。
IMAGE_IMPORT_MODULE_DIRECTORY
导入数据段,.idata;
IMAGE_DEBUG_DIRECTORY
调试信息段,.debug
 
 
PE 文件格式总结
Windows NT PE 文件格式向熟悉 Windows MS-DOS 环境的开发者引入了一种全新的结构。然而熟悉 UNIX 环境的开发者会发现 PE 文件格式与 COFF 规范很相像(如果它不是以 COFF 为基础的话)。
  整个格式的组成:一个 MS-DOS MZ 头部,之后是一个实模式的残余程序、 PE 文件标志、 PE 文件头部、 PE 可选头部、所有的段头部,最后是所有的段实体。
  可选头部的末尾是一个数据目录入口的数组,这些相对虚拟地址指向段实体之中的数据目录。每个数据目录都表示了一个特定的段实体数据是如何组织的。
   PE 文件格式有 11 个预定义段,这是对 Windows NT 应用程序所通用的,但是每个应用程序可以为它自己的代码以及数据定义它自己独特的段。
   .debug 预定义段也可以分离为一个单独的调试文件。如果这样的话,就会有一个特定的调试头部来用于解析这个调试文件, PE 文件中也会有一个标志来表示调试数据被分离了出去。
 
 
 
参考:
PE 文件格式详解  http://blog.csdn.net/titilima/archive/2003/12/25/21442.aspx 
aero_boy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.net core dll 套壳加密_[.Net]详解ConfuserEx的Anti Tamper与Anti Dump
weixin_27744023的博客
12-23 1569
请把优秀的文章分享出去,让更多人学习。关注本公众号,精彩多多!(点击上面“飘云阁”即可关注)详解ConfuserEx的Anti Tamper与Anti Dump许多人都知道利用dnSpy单步调试+Dump+CodeCracker的一系列工具可以脱去ConfuserEx壳,这些在网上都有教程,但是并没有文章说明过背后的原理。本文讲尽可能详细解说ConfuserEx的Anti Tamper与...
PE头字段说明(滴水)
若面朝大海边竹妮春暖花开的博客
04-25 348
e_lfanew指向的是PEPE下面才是标准PE头 NumberOfSections指向文件中一共有多少个节 AddressOfEntryPoint也叫作OEP,AddressOfEntryPoint+ImageBase就是OD中程序开始断下来的地址 ImageBase指的是在内存中所有的数据是从哪里开始的 ...
MS.Net CLR扩展PE结构分析 (1)
weixin_30855099的博客
01-15 286
1.概述 本文从系统底层角度,通过分析MS.Net CLR架构在Win32平台上对PE可执行文件 映像结构的扩展,解析CLR架构底层的部分运行机制,帮助读者从更深层次理解CLR架构 中某些重要概念。 本文读者应具备基本的Win32编程经验,了解CLR中常见概念意义,并对Win32平台 之PE可执行文件映像结构有一定了解,具体说明请参看Matt Pietrek于...
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件格式详解(7)
马说@CSDN
12-29 2615
调试信息段,.debug  调试信息位于.debug段之中,同时PE文件格式也支持单独的调试文件(通常由.DBG扩展名标识)作为一种将调试信息集中的方法。调试段包含了调试信息,但是调试目录却位于早先提到的.rdata段之中。这其中每个目录都涉及了.debug段之中的调试信息。调试目录的结构IMAGE_DEBUG_DIRECTORY被定义为:WINNT.Htypedef struct _IMAG
秦万强PE文件学习笔记.pdf
06-06
秦万强PE文件学习笔记.pdf
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
11代笔记PE系统不认硬盘.rar
10-17
标题“11代笔记PE系统不认硬盘”和描述中提到的问题主要涉及到计算机硬件与操作系统交互的一个常见问题,特别...通过分析和使用给定的文件,用户可以尝试更新驱动,调整BIOS设置,或者寻求更兼容的PE环境来解决问题。
滴水逆向培训基础教程_PE结构笔记
06-01
滴水逆向培训基础教程_PE结构笔记
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8449
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
.NET SDK中CorFlags.Exe的用法
张羿的CSDN专栏
10-07 9857
CorFlags是.NET Framework中一个用于查看.NET 可执行文件(PE)的运行参数的非常有用的工具,但是这个工具输出的结果不是特别直观,文档中并没有做出解释,本文将用实际例子解释CORFLAGS的用法。首先我们来看一个一般的情况,随便写一个A.CS文件,用CSC编译,并用CorFlags察看
PE文件格式学习(九):调试表(DebugDirectory)
tutucoo
11-07 1406
微软官方参考文档:https://docs.microsoft.com/en-us/windows/desktop/debug/pe-format#debug-type
Python 扫描PE文件头信息
zheng_ruiguo的专栏
04-10 489
''' Python 扫描PE文件头信息 by 郑瑞国 getPEinfo.py ''' import os import string import hashlib import pefile import datetime def gethash(file): m = hashlib.md5() s = hashlib.sha1() s256 = hashlib....
MemoryModule阅读与PE文件解析(五)----导出表
商少
04-06 849
上一篇我们介绍了TLS。 下面来看关于函数入口函数:   // get entry point of loaded library    if(result->headers->OptionalHeader.AddressOfEntryPoint != 0) {        if (result->isDLL) {             DllEntryProc DllEntry
PE文件结构-目录项结构
阿Q在行走
03-09 974
目录项结构 数据目录项位于可选PE头的最后一部分,向前四个字节说明了数据目录项的数量,而每个数据目录项的结构一致,分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项,它们的详细说明如下: 英文描述 中文描述 ...
PE文件格式详解(2)
zgqtxwd的专栏
04-28 396
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
PE结构取调试信息 代码
lif12345的专栏
03-04 1785
PE结构取调试信息 代码
秦万强PE文件系统详解与学习笔记概览
PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这份笔记分为多个部分,从PE文件的基本概念开始讲解: 1. **PE文件概述**:首先介绍PE文件的全称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值