PE文件结构 - NT头学习

最新推荐文章于 2023-05-18 22:40:47 发布
最新推荐文章于 2023-05-18 22:40:47 发布
阅读量858 收藏
点赞数
分类专栏: 汇编语言 安全编程 文章标签: PE文件 Signature PE文件头 可选头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bcbobo21cn/article/details/115032841
版权

PE文件基本结构如下;

学习一下NT头;
NT头,包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_HEADER(扩展头)。

NT头:Signature,文件头,扩展头;

其定义如下; 这个是微软定义的;
typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;


Signature 字段被设置为 0x00004550H,ASCII 码字符是 PE00;

用winhex打开win自带的记事本看一下;

    当前NT头的Signature在偏移为000000F0的一行;

NT头不在一个固定位置;我还不是很清楚;其位置可能是由DOS头的e_lfanew字段指出;

PE文件头定义了PE文件的一些基本信息和属性,这些属性会在PE加载器加载时用到,如果加载器发现PE文件头中定义的一些属性不满足当前的运行环境,将会终止加载该PE;

可选头,它在不同的平台下是不一样的,例如32位下是IMAGE_OPTIONAL_HEADER32,而在64位下是IMAGE_OPTIONAL_HEADER64;

 

 

bcbobo21cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【概念类】pe系统 和 windows NT
ang_yi的博客
02-10 786
注:绿色自己理解 红色主要对象 黄色萤光笔主要作用或重点 计算机常识
PE文件结构学习
qq_43447375的博客
12-26 136
PE文件结构学习 PE(Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 Windows操作系统可执行程序有好多种,比如COM、PIF、SCR、EXE等,这些文件的格式大部分都继承自PE。其,EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件PE文件的基本结构如下: 一、DOS ME IMAGE_DOS_HEADER +00h WORD e_magic
PE文件
qq_41698398的博客
02-01 276
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) 32位可执行文件,称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式。 PE文件的执行顺序: 四个步骤 1、PE装载器首先检查DOS
PE 学习之路 —— DOS NT
weixin_30326515的博客
12-28 329
1. 前述 可执行文件的格式是操作系统本身执行机制的反映,理解它有助于对操作系统的深刻理解,掌握可执行文件的数据结构及其一些机理,是研究软件安全的必修课。`PE(Portable Executable File Format)`是目前 windows 平台上的主流可执行文件格式。PE 文件衍生于早期的 COFF 文件格式,描述 PE 格式及 COFF 文件的主要地方在 winnt.h 这个文件...
DOSNTPE结构及移位(小白文详细篇)
Doub1's Blog
06-11 2260
DOSNTPE结构及移位(x86 x64 小白文详细篇)DOSPEPE移位 DOS 一个PE文件起始的部分开始就是DOS,不要觉得难理解,这和GIT,BMP,JPG,RAR等等都一样,只是在文件起始部位标识这个文件属于什么文件类型。 下面是DOS在winnt.h的定义: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic
PE文件解析(1):DosNT
ylh的博客
10-30 912
什么是PE文件PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
2.PE文件NT(IMAGE_NT_HEADERS)
kernelhack
10-25 4818
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
PE文件结构详解
08-25
PE文件结构是Windows平台上可执行文件的标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOSPE、节表和节体。 PE文件结构 PE文件结构可以分为两个主要部分:...
PE文件结构分析
11-27
**PE文件结构分析** PE(Portable Executable)文件格式是Windows操作系统用于执行程序的标准文件格式,它包含了代码、数据、资源以及运行时所需的其他信息。深入理解PE文件结构对于软件开发、逆向工程和安全分析...
PE结构图文.rar
05-06
"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件结构,以及微软官方的PE文件结构手册,这对于理解PE文件的内部工作机制非常有帮助。 首先,我们来看PE文件的基本结构PE文件由两大部分...
易语言-PE文件比较小工具
06-25
1. **PE文件结构**:在Windows系统,所有可执行文件都遵循PE文件格式。它由多个部分组成,如DOSPENT)、节表、导出/导入表等。该工具关注的是PE,其包含关于文件的基本信息,如文件类型、入口点地址...
PE文件结构所有结构体图
08-31
**PE文件结构所有结构体图** PE(Portable Executable)文件格式是Windows操作系统的可执行文件格式,用于存储编译后的代码、数据和元数据。它由Microsoft在1990年代初为Windows NT家族引入,并沿用至今。了解PE...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1443
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
PE文件结构——NT Headers
最新发布
QXinHan的博客
05-18 415
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择,它一共有31个成员而64位的可选择有30个成员。7.SizeOfHaeders:所有的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
pe结构之初体验(二)
菜瓜的博客
12-08 165
pe结构之初体验(一)我已经讲了dos及NTSignature字段和IMAGE_FILE_HEADER结构。 在pe结构之初体验(二)我将接着讲IMAGE_OPTIONAL_HEADER32结构 struct _IMAGE_OPTIONAL_HEADER { 18h:WORD Magic; //01 0B...
PE结构-Nt
小喇叭儿滴滴的吹
02-11 374
首先,我们需要知道如何定位到Nt部,这个在上篇博客Dos部的e_lfanew字段,该字段可定位到Nt部 先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件 IMA...
PE文件-NT
weixin_45012273的博客
11-06 325
DOSNT之间 存储着一些被DOS使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS的最后一个成员指向了新PE的位置 NT格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件 IMAGE_OPTIONAL_HEADER32.
PE部IMAGE_NT_HEADERS
夜空中最亮的星
10-19 4479
PE部是真正用来装载Win32程序的部,PE的定义为IMAGE_NT_HEAD
图解冰河木马一次使用过程
热门推荐
bcbobo21cn的专栏
07-10 3万+
首先搜索 冰河木马 ,然后下载;一下载好,360即报木马; 因为目前是我们准备尝试一下干坏事,恢复之;信任之; 解压之后又报病毒; 恢复; 看下,一个客户端;一个服务端; 先走客户端;360发现 Trojan.Generic; 信任之;防火墙阻止,允许在专用网络上运行; 一跑起来报了个访问违例;启动画面还不错;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值