windows系统平台下的PE文件格式和数据定义详解(附带详细高清大图)

最新推荐文章于 2024-01-22 21:25:06 发布
最新推荐文章于 2024-01-22 21:25:06 发布
阅读量5.4k 收藏 5
点赞数
分类专栏: 技术文章 资源共享 网络安全与恶意代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/microzone/article/details/14225403
版权

PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。

PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式。Portable 是指对于不同的

Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CPU指令的二进制编码是不一样的。

只是文件中各种东西的布局是一样的。


PE文件使用的是一个平面地址空间,所有代码和数据都合并在一起,组成一个很大的结构。


                                                                                               PE File Format

  


#define IMAGE_SIZEOF_SIGNATURE               4
#define IMAGE_SIZEOF_FILE_HEADER             20
#define IMAGE_SIZEOF_NT_OPTIONAL32_HEADER    224


#define IMAGE_NT_OPTIONAL_HDR32_MAGIC      0x10b
#define IMAGE_NT_OPTIONAL_HDR64_MAGIC      0x20b
#define IMAGE_ROM_OPTIONAL_HDR_MAGIC       0x107
#define IMAGE_SIZEOF_NT_OPTIONAL_HEADER     IMAGE_SIZEOF_NT_OPTIONAL32_HEADER
#define IMAGE_NT_OPTIONAL_HDR_MAGIC         IMAGE_NT_OPTIONAL_HDR32_MAGIC


char szDataDirectory[ 16] [ 64] = 
{ 
    "Export Directory" , 
    "Import Directory" , 
    "Resource Directory" , 
    "Exception Directory" , 
    "Security Directory" , 
    "Base Relocation Table" , 
    "Debug Directory" , 
    "Architecture Specific Data" , 
    "RVA of GP" , 
    "TLS Directory" , 
    "Load Configuration Directory" , 
    "Bound Import Directory in headers" , 
    "Import Address Table" , 
    "Delay Load Import Descriptors" , 
    "COM Runtime descriptor" 
} ; 


typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;


 typedef struct _IMAGE_NT_HEADERS 
{
         DWORD Signature;                         **PE文件标识 "PE",0,0
         IMAGE_FILE_HEADER FileHeader;            **映像文件头 (其中的NumberOfSections成员指定了Sections的个数)
         IMAGE_OPTIONAL_HEADER32 OptionalHeader;  **映像可选头
 } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;




typedef struct _IMAGE_FILE_HEADER 
{
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;


typedef struct _IMAGE_OPTIONAL_HEADER 
{
    // Standard fields.
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    //
    // NT additional fields.
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;



 typedef struct _IMAGE_DATA_DIRECTORY 
  {
      DWORD   VirtualAddress;
      DWORD   Size;
  } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;




typedef struct _IMAGE_SECTION_HEADER
 {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; 8 bytes
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc; 4 bytes 
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;  40 bytes


#define IMAGE_SIZEOF_SECTION_HEADER          40




#define IMAGE_SCN_LNK_NRELOC_OVFL            0x01000000  // Section contains extended relocations.
#define IMAGE_SCN_MEM_DISCARDABLE            0x02000000  // Section can be discarded.
#define IMAGE_SCN_MEM_NOT_CACHED             0x04000000  // Section is not cachable.
#define IMAGE_SCN_MEM_NOT_PAGED              0x08000000  // Section is not pageable.
#define IMAGE_SCN_MEM_SHARED                 0x10000000  // Section is shareable.
#define IMAGE_SCN_MEM_EXECUTE                0x20000000  // Section is executable.
#define IMAGE_SCN_MEM_READ                   0x40000000  // Section is readable.
#define IMAGE_SCN_MEM_WRITE                  0x80000000  // Section is writeable.


typedef struct _IMAGE_IMPORT_DESCRIPTOR 
{
    union 
    {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    };
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)
    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;




// Export Format


typedef struct _IMAGE_EXPORT_DIRECTORY 
{
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;


//
// Import Format


typedef struct _IMAGE_IMPORT_BY_NAME 
{
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;


typedef struct _IMAGE_THUNK_DATA32 
{
    union {
        PBYTE  ForwarderString;
        PDWORD Function;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME  AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;


下图附带详细结构图,放大即可看到清楚结构图



5t4rk
关注
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
PE文件结构-清晰
01-10
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
windows PE 文件格式
07-04
windows PE 文件格式.版本V8.2
WINDOWS PE文件结构详细介绍(一)
关注linux内核、c/c++的逆向工程
05-12 1919
<br />因为我们现在的c++是在WIN32平台下面运行的,为了以后的学习,有必要先了解一下WINDOWS PE文件结构,这些相关资料来于<Delphi深入Windows编程>这本书。<br />PE的意思就是Portable Executable (可移值的执行体),是Win32环境自身所带的执行体文件格式PE的一些特殊性继承自UNIX的COFF(Common Object File Format)文件格式。“Portable Executable”(可移值的执行体)意味着此文件格式是跨Win32平台
PE文件格式
ljmwork的专栏
07-06 1665
PE文件格式示:
PE文件格式完整
wangcg123的专栏
11-19 758
详细PE结构(带中文解释)
09-03
PE文件格式在32位和64位的Windows系统中广泛使用,包括.exe和.dll文件。本篇将深入解析PE结构,并附带中文解释,以帮助理解其各个组成部分。 1. **文件头(File Header)** - **MZ魔数**:PE文件的起始标志,由"MZ...
NLP之Transformer:六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)、统计各模块可训练参数、全流程各子模块原理详解(IE+PE→Encoder【MHSA+Add&Norm+P
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
02-28 4395
​ NLP之Transformer:Transformer算法的六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)、全流程各子模块原理详解——输入Embedding+位置编码、Encoder(MHA→PwFFNN)、Decoder(MaskeMHA→MHA→PwFFNN)、Linear+Softmax之详细攻略 目录 相关文章 一、Transformer算法拆解:吊炸天的序列模型 二、Transformer的六大核心技术点(ED/SA/MHA/PE/FNN/RC-LN)
【产品】 产品设计:ID设计和MD设计详解
产品线负责人
12-19 2万+
1、ID(Industry Design)工业设计 包含外观、材质、手感、颜色配搭,主要界面的实现与及色彩等方面的设计。 2、MD(Mechanical Design)结构设计 以手机为例: 前壳、后壳、手机的摄像镜头位置的选择、固定的方式、电池如何连接和手机的厚薄程度等。 如果是滑盖手机,如何让手机滑上去,怎样实现自动往上弹,SIM卡怎样插和拔的安排,这些都是手机结构设计的范畴。 繁...
PE文件结构格式pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解片格式,比如BMP片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
PE文件格式高清结构
08-23
希望对你学习有帮助.. 含最新 windows 10 系统下的 pe 结构..
PE文件结构详细pdf
08-17
PE文件结构详细pdf
PE 文件
weixin_33693070的博客
04-16 106
转载于:https://blog.51cto.com/haidragon/2104124
再探.NET的PE文件结构(安全篇)
weixin_30678821的博客
11-10 268
一、开篇   首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为毕竟是有些破解类的东西。但是我觉得从这篇文章相反的是能够带来一些启发。大家应该都...
PE文件结构
樱*夜精灵
03-07 861
PE文件格式示意 PE文件磁盘与内存映射结构
详细PE文件格式讲解!!!!!
最新发布
SXXYNHHXX的博客
01-22 1827
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件结构详解 --(完整版)
热门推荐
freeking101的博客
11-02 3万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
PE 文件格式详解0 片示意
白话机器学习
05-01 2373
由于片太大,不能完整查看,可以另存为后再查看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值