从零开始的PE格式学习

最新推荐文章于 2024-08-13 07:58:53 发布
最新推荐文章于 2024-08-13 07:58:53 发布
阅读量554 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbszhenshuai/article/details/106145121
版权

导语

如果你想学习PE病毒的编写,那么你首先得知道PE的格式和他的工作原理。

PE的百度百科

PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。

PE文件的结构

一张简简单单的图送给各位

还有一个比较详细的pdf送给各位
链接:https://pan.baidu.com/s/1SGU2AUQvzoHU9Foxx1-UYQ 提取码:ckdi

MS-DOS(DOS头)=MZ文件头+DOS Stub

DOS头的作用是定位文件PE头的开始位置,也可用于PE文件的合法性检查。而在DOS下运行时则会提示用户本文件不能在DOS下运行。在C语言的Windows.h中有预定义的数据结构IMAGE_DOS_HEADER如下

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_ress2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

MZ文件头

MZ文件头是真正意义的DOS头,其中包含了以下文件信息

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages i
最低0.47元/天 解锁文章
π1l4r_
关注
从零开始大模型开发与微调:翻译模型
程序员光剑
05-26 468
从零开始大模型开发与微调:翻译模型 作者:禅与计算机程序设计艺术 1. 背景介绍 1.1 大语言模型的发展历程 1.1.1 早期的统计语言模型
从零开始编写Transformer模型的代码
程序员光剑
08-07 926
1.背景介绍 在深度学习领域,Transformer模型已经成为了一种非常重要的模型。它最早在"Attention is All You Need"这篇论文中被提出,用于解决机器翻译问题。现在,Transformer已经被广泛应用在各种NLP任务中,包括文本分类、命名实体识别、情感分析等。 Transformer模型的
Windows PE文件格式学习入门教程
12-09
Windows PE文件格式学习入门教程
PE文件格式学习(一):概述
tutucoo
11-07 698
1.PE文件简介 PE文件格式是Windows系统中应用最广泛的文件格式之一,我们常见的可执行文件.exe、动态链接库.dll以及驱动文件.sys等都是PE文件格式的。 可以通过十六进制工具如010editor查看PE文件,可以看到PE文件都有一个共同的特点,就是它们的最开头都是4D5A,也就是ASCII字符MZ。见下图 在Windows系统“眼里”,其实只有PE文件,后缀名只是用于关联打开程序...
《Windows PE》第一章 PE学习环境搭建
最新发布
bcdaren的博客
08-13 847
可以看出,当程序调试的时候,如果修改了 test1.asm,也就是说test1.obj的文件时间比test1.asm 要早,就需要重新执行步骤(1)和(4)。隐含规则不能有依赖文件,所以下面没有内容,例子中的第17、18行定义了从 asm文件建立obj文件的隐含规则,第19和20行定义了从rc文件建立res文件的隐含规则,隐含规则中无法指定确定的输入文件名,因为输入文件名是泛指的有相同扩展名的一整类文件,这时候就要用到几个特殊的内定宏来指定文件名,这些宏是$@,$*, $?为了能存放自己编写的汇编代码。
PE学习
weixin_30670965的博客
09-27 89
直接写一遍PE结构吧 看看记得住不? MS-DOS { MZ ````` e_lfanew } 64字节 dos-stub 112字节 不定 NT header { Signature 4 IMAGE_FILE_HEADER { machine NumberOfSections timedatastamp Pointe...
PE 学习 打印pe格式
h1028962069的专栏
08-26 961
// petool.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <stdlib.h> #include <windows.h> FILE *fp; IMAGE_DOS_HEADER myDosHeader; IMAGE_FILE_HEADER myFileHead
PE格式详解讲解1
Masimaro的专栏
03-13 679
这篇文章主要转载自小甲鱼的加密解密部分,然后补充加上我自己的少许内容,原文地址–>传送门 下面的内容主要是围绕这个图来进行 MS-DOS头部这个头部是为了兼容早期的DOS系统,PE文件的第一个字节起始于一个传统的MS-DOS头,被称为IMAGE_DOS_HEADER,这个结构体完整的定义如下:(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WO
从零开始手写一个Transformer
08-30 2451
本文将带你从零开始实现一个Transformer,并将其应用在NMT任务上。
从零开始大模型开发与微调:编码器的实现
程序员光剑
07-13 1955
随着人工智能在自然语言处理(NLP)领域的快速发展,对大规模预训练模型的需求日益增长。这些大型模型不仅需要具备广泛的语言理解能力,还需要能适应各种下游任务需求。传统上,针对特定任务训练的较小模型往往无法达到所需的泛化效果或性能上限。因此,近年来出现了大量用于大规模数据集上的预训练模型,如BERT、GPT、T5等系列,它们展示了惊人的性能,并且能够通过简单的微调快速适应新任务。
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
pe格式从入门到图形化显示(一)-DOS头
Mrack的博客
04-05 554
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式是Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:头部、节区表、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
PE文件学习(一)
SanSiro1的博客
08-24 1175
PE是Portable executable(可移植的可执行文件)的简写,在Windows系统中PE文件是一种重要的文件格式,其中COM、PIF、SCR、EXE、dll等都是PE文件。所以学习PE文件是了解操作系统工作方式的一种很好的方法。                  学习PE,首先要对PE有个大体的轮廓,所以本人在网上找到了两张PE文件结构图。基于这两张图更进一步的了解PE文件结构:
PEPE文件结构学习
dr0op's blog
03-31 1355
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件格式
Mi1k7ea
06-04 3236
PE即Portable Executable,是Windows OS下使用的可执行文件格式PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。PE文件种类如下表:PE文件基本结构:从DOS头至节区头是PE头部分,下面的节区合称PE体。文件的内容一般分为代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。VA&am...
PE学习笔记1
我还在的博客
10-14 609
文章目录与PE相关概念地址扩展虚拟内存VA相对虚拟内存地址RVA文件偏移FOA特殊地址数据目录节对齐PE文件结构 学习笔记来源《Windows.PE权威指南》这本书 与PE相关概念 地址 VA(Virtual Address):虚拟内存地址 RVA(Relative Virtual Address):相对虚拟内存地址 FOA(File Offset Address):文件偏移地址 特殊地址 扩展 ...
PE 学习之总结1
脚踏实地的做自已
10-20 1060
学习一门新的课程,我都会习惯性的问自已几个问题,为什么要学习它?学习它之后我能干什么? 什么是PE? 为什么要学习PE学习PE我能干什么?
手工构建PE文件:从零开始的实战指南
在着手构建PE文件时,通常从以下几个步骤开始: 1. 初始化DOS头:这是PE文件的起点,虽然在现代Windows系统中并不实际执行,但它仍然是PE文件的一部分,包含一个简短的可执行DOS程序,指向PE头的地址。 2. 创建PE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值