(加密解密技术内幕)File Header (文件头)

最新推荐文章于 2023-11-17 16:37:23 发布
最新推荐文章于 2023-11-17 16:37:23 发布
阅读量2.6k 收藏 2
点赞数

我们将要研究PE header的file header(文件头)部分。

至此,我们已经学到了哪些东东,先简要回顾一下:

DOS MZ header又命名为IMAGE_DOS_HEADER.。其中只有两个域比较重要:e_magic包含字符串"MZ",e_lfanew包含PE 
header在文件中的偏移量。

比较e_magic是否为IMAGE_DOS_SIGNATURE以验证是否是有效的DOS header。比对符合则认为文件拥有一个有效的DOS 
header。

为了定位PE 
header,移动文件指针到e_lfanew所指向的偏移。

PE header的第一个双字包含字符串"PE\0\0"。该双字与IMAGE_NT_SIGNATURE比对,符合则认为PE header有效。

本课我们继续探讨关于PE header的知识。PE header的正式命名是IMAGE_NT_HEADERS。再来回忆一下这个结构。

IMAGE_NT_HEADERS STRUCT    Signature dd ?    FileHeader IMAGE_FILE_HEADER <>    
OptionalHeader IMAGE_OPTIONAL_HEADER32 <>IMAGE_NT_HEADERS ENDS

SignaturePE标记,值为50h, 45h, 00h, 00h(PE\0\0)。FileHeader该结构域包含了关于PE文件物理分布的一般信息。OptionalHeader该结构域包含了关于PE文件逻辑分布的信息。

最有趣的东东在OptionalHeader里。不过,FileHeader里的一些域也很重要。本课我们将学习FileHeader,下一课研究OptionalHeader。

IMAGE_FILE_HEADER STRUCT    Machine WORD ?    NumberOfSections WORD ?    TimeDateStamp dd 
?    PointerToSymbolTable dd ?    NumberOfSymbols dd ?    
SizeOfOptionalHeader WORD ?    Characteristics WORD ?IMAGE_FILE_HEADER 
ENDS

Field 
name

Meanings

Machine    该文件运行所要求的CPU。对于Intel平台,该值是IMAGE_FILE_MACHINE_I386(14Ch)。我们尝试了LUEVELSMEYER的pe.txt声明的14Dh和14Eh,但Windows不能正确执行。看起来,除了禁止程序执行之外,本域对我们来说用处不大。    

NumberOfSections    文件的节数目。如果我们要在文件中增加或删除一个节,就需要修改这个值。    

TimeDateStamp    文件创建日期和时间。我们不感兴趣。    

PointerToSymbolTable    用于调试。    

NumberOfSymbols    用于调试。    

SizeOfOptionalHeader    指示紧随本结构之后的OptionalHeader结构大小,必须为有效值。    

Characteristics    关于文件信息的标记,比如文件是exe还是dll。    

简言之,只有三个域对我们有一些用:Machine,NumberOfSections和Characteristics。通常不会改变Machine和Characteristics的值,但如果要遍历节表就得使用NumberOfSections。为了更好阐述NumberOfSections的用处,这里简要介绍一下节表。

节表是一个结构数组,每个结构包含一个节的信息。因此若有3个节,数组就有3个成员。我们需要NumberOfSections值来了解该数组中到底有几个成员。也许您会想检测结构中的全0成员起到同样效果。Windows确实采用了这种方法。为了证明这一点,可以增加NumberOfSections的值,Windows仍然可以正常执行文件。据我们的观察,Windows读取NumberOfSections的值然后检查节表里的每个结构,如果找到一个全0结构就结束搜索,否则一直处理完NumberOfSections指定数目的结构。为什么我们不能忽略NumberOfSections的值?有几个原因。PE说明中没有指定节表必须以全0结构结束。Thus there may be a situation where the last array member 
is contiguous to the first section, without empty space at all. Another reason 
has to do with bound imports. The new-style binding puts the information 
immediately following the section table's last structure array member.因此您仍然需要NumberOfSections。

BruceEditCode
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【软件加密_技术内幕
04-24
[Trial version] 加密解密技术内幕.htm [Trial version] 目录.htm [Trial version] 第1章 PE文件格式深入研究 [Trial version] 1.1 PE文件格式格式纵览 [Trial version] PE文件格式一览.html [Trial version] 1.2 PE文件结构 [Trial version] 1. 检验PE文件的有效性.html [Trial version] 2. File Header文件).html [Trial version] 3. Optional Header.html [Trial version] 4. Section Table(节表).html [Trial version] 5. Import Table(引入表).html [Trial version] 6. Export Table(引出表).html [Trial version] 7.Debug信息节.htm [Trial version] DocNet 学习笔记之Anti ILDASM 研究.htm [Trial version] PE 档的基底重定位(Base Relocations).htm [Trial version] PE 格式学习总结(一)-- PE文件概述.htm [Trial version] PE 格式学习总结(二)-- PE文件中的输出函数.htm [Trial version] PE 格式学习总结(三)-- PE文件中的输入函数.htm [Trial version] PE 格式学习总结(四)-- PE文件中的资源.htm [Trial version] TLS.htm [Trial version] 基址从定位.htm [Trial version] 异常处理.htm [Trial version] 第2章 PE分析工具编写 [Trial version] 关于PE可执行文件的修改.htm [Trial version] 手工构造一个超微型的 PE 文件.htm [Trial version] 第3章 Win32 调试API [Trial version] 病毒是如何抗动态测试.htm [Trial version] 3.1 Win32调试API原理 [Trial version] Win32调试API第一部分.htm [Trial version] Win32调试API第二部分.htm [Trial version] Win32调试API第三部分.htm [Trial version] Win32调试API学习心得(一).htm [Trial version] Win32调试API学习心得(二).htm [Trial version] win32调试API学习心得(三).htm [Trial version] 用调试函数跟踪API.htm [Trial version] 3.2 利用调试API编写脱壳机 [Trial version] DEF分析与打造其脱壳软件----我的一篇析文.htm [Trial version] 用调试函数跟踪API.htm [Trial version] 3.3 利用调试API制作内存补丁 [Trial version] 利用DebugAPI做一些原先手工完成的动作,我用这种方法做过内存补丁,内存注册机等,完全VC编译.htm [Trial version] 第4章 Windows下的异常处理 [Trial version] 4.1 基本概念 [Trial version] SEH基本概念.htm [Trial version] 什么是异常.htm [Trial version] 4.2 结构化异常处理(SEH) [Trial version] 初步实战演习.htm [Trial version] 4.3 异常处理程序设计 [Trial version] 传递给异常处理例程的参数.htm [Trial version] 异常处理的堆栈展开.htm [Trial version] 4.4 SEH的简单应用 [Trial version] Win9x下利用SEH进ring0.htm [Trial version] 利用SEH实现对自身的单步自跟踪.htm [Trial version] 异常死亡进程的自动复活.htm [Trial version] 用 SEH 技术实现 API Hook.htm [Trial version] 4.6 VC是如何封装系统提供的SEH机制的 [Trial version] VC++编译器怎么实现异常处理.htm [Trial version] 4.7 Windows XP下的向量化异常处理(VEH [Trial version] windows XP下的向量化异常处理.htm [Trial version] 第5章 软件加密技术 [Trial version] 5.1 反调试技术(Anti-Debug) [Trial version] 5.1.1 句柄检测.htm [Trial version] 5.1.4 ICECream子类型.htm [Trial version] 5.1.5 判断NTICE服务是否运行.htm [Trial version] anti-debug技术探讨.htm [Trial version] AntiSoftICE.htm [Trial version] VB中实现检测ICE.htm [Trial version] 测试ICE是否在运行.htm [Trial version] 检测debugger的方法补遗.htm [Trial version] 另外一种检测SOFTICE的方法.htm [Trial version] 通过PEB实现AntiDebug.htm [Trial version] 5.2 反跟踪技术(Anti-Trace) [Trial version] tELock中的SEH反跟踪代码.htm [Trial version] 利用SEH改变程序流程以达到反跟踪的目的.htm [Trial version] 5.2.3 SMC技术实现 [Trial version] 浅析SMC技术.htm [Trial version] 5.3 反加载技术(Anti-Loader) [Trial version] VB anti-loader 2种常用方法介绍.htm [Trial version] 5.3.1 利用TEB检测 [Trial version] 浅谈利用 TEB 实现的反跟踪.htm [Trial version] 5.4 反DUMP技术(Anti-Dump) [Trial version] 理论知识.htm [Trial version] 5.5 文件完整性检验 [Trial version] PE 部校验和(checksum)的计算.htm [Trial version] 5.5.1 CRC校验实现 [Trial version] 矛与盾的较量(1)——CRC原理篇.htm [Trial version] 矛与盾的较量(2)——CRC实践篇.htm [Trial version] 5.7 反静态分析技术 [Trial version] Fooling Disassemblers.htm [Trial version] 5.7.2 花指令 [Trial version] 矛与盾的较量(1)——花指令.htm [Trial version] 5.8 代码与数据结合技术 [Trial version] 与破解过招,保护你的共享软件.htm [Trial version] 5.9 软件保护的若干忠告 [Trial version] WIN下动态注册码实现方法.htm [Trial version] 安全程序设计.htm [Trial version] 如何用简单方法防止破解.htm [Trial version] 第6章 加壳软件编写 [Trial version] 6.1 外壳编写基础 [Trial version] 加壳软件实现.htm [Trial version] 6.2 加壳程序综合运用的实例 [Trial version] 浅谈壳的加载步骤及手动脱壳。.htm [Trial version] 第7章 如何让壳与程序融为一体 [Trial version] 7.2 欺骗检查壳的工具 [Trial version] 让侦测工具把壳识别为VC++.htm [Trial version] 7.4 使用sdk把程序和壳溶为一体 [Trial version] 实现调用加壳的外壳中的子程序的一点见解.htm [Trial version] 7.5 后记关于壳和程序的思考 [Trial version] 加壳技术探讨-加壳时处理IAT.htm [Trial version] 第8章 Visual Basic 6 逆向工程 [Trial version] VB的Native Code的传奇.htm [Trial version] VB网址大全.htm [Trial version] Visual Basic 6 逆向工程与反逆向工程 (1).htm [Trial version] Visual Basic 6 逆向工程与反逆向工程 (2).htm [Trial version] 《真是想不到系列》.htm [Trial version] 关于VB P-CODE的一些总结.htm [Trial version] 关于在VB中进行COM组件的开发(一、了解COM).htm [Trial version] 未公开API函数揭秘--通用对话框.htm [Trial version] VB与COM [Trial version] 如何用VB6写COM组件(一).htm [Trial version] 如何用VB6写COM组件(二).htm [Trial version] 附录A 在Visual C++中使用内联汇编 [Trial version] Visual C++ 内嵌汇编.htm [Trial version] Visual C++ 内嵌汇编二.htm [Trial version] 附录B 在Visual Basic中使用汇编 [Trial version] 完全用VB进行ASM编程的示例.htm [Trial version] 附录C COM技术 [Trial version] 《COM 原理与应用》学习笔记 - 第一部分 COM原理.htm [Trial version] 附录D 通过崩溃地址找出出错的代码行 [Trial version] 如何通过崩溃地址找到出错的代码行.htm [Trial version] 附录E 堆栈修正 [Trial version] 堆栈修正.htm
File Header文件,通过检查文件来判断文件类型
billhu专栏
12-21 3240
由这些文件即使文件后缀被乱改也可以通过查看二进制文件查出文件的匹配格式,当然这就是一些播放器识别文件的方法1、从Ultra-edit-32中提取出来的JPEG (jpg),文件:FFD8FF PNG (png),文件:89504E47 GIF (gif),文件:47494638 TIFF (tif),文件:49492A00 Windows Bitmap (
InnoDB简明教程(六)
bigwood99的博客
06-12 254
InnoDB数据页结构 InnoDB数据页由一下7部分组成。 1.File Header文件) 2.Page Header(页) 3,Infimun和supermum Records 4.User Records(用户记录,即行记录) 5.Free Space(空闲空间) 6.Page Directory(页目录) 7.File Trailer(文件结尾信息) ...
使用idea设置文件File Header,使每次新建类都会自动生成一些信息
leyili_s的博客
03-28 1万+
使用idea时,看见别人每次新建类都会自动生成一些个人信息,捣鼓半天,并附上以前见过的佛主镇楼图:这是我个人的配置效果/** * Created by *** * Date 2018/3/28 0:53 * Description */本人使用的是idea2017 2.4版本 其余版本配置大体相同   路径为 setting--&gt;editor--&gt;File and Code ...
IntelliJ IDEA File Header
热门推荐
学而不厌 诲人不倦
09-01 1万+
介绍 利用IntelliJ IDEA构造Java文件信息(File Header),如作者,时间,版本,Class的描述信息等。 步骤 找到配置File Header的位置,依据 File -&gt; Settings -&gt; Editor -&gt; File and Code Templates 如下图所示 对应Includes中的File Header 构造...
如何在idea中设置 File Header 文件
y1069034831的博客
04-23 1712
文件样式: 设置步骤:
IDEA 中设置 File Header 以及自定义类、方法注释模板的方法
TangMonk的博客
11-17 1297
File -> Settings -> Live Templates -> 编辑。
idea 设置注释File Header
yuell102的博客
09-09 1423
文章目录 /** * @description <功能描述> * @author: <user> 工号 * @Date: ${DATE} */
软件加密技术内幕 chm
10-04
软件加密技术内幕 要花时间看 第1章 PE文件格式深入研究 1.1 PE文件格式格式纵览 1.1.1 区块(Section) 1.1.2 相对虚拟地址(Relative Virtual Addresses) 1.1.3 数据目录 1.1.4 输入函数(Importing ...
part01_软件加解密技术-软件加密》配套光盘 Delphi 7.0
02-17
对于希望自己软件加密的,绝对值得你研究,我自己就从书中代码获益颇多,给自己的商业软件加密了。共分为五个文件,希望对你有帮助。本人缺分,也希望多些人下载,(*^__^*) 嘻嘻…… 光盘目录说明 {第1章 基础知识...
设置注释File Header的模板
dl674756321的博客
04-27 4127
/** * ClassName:${NAME} * Package:${PACKAGE_NAME} * Description: * @date:${DATE} ${TIME} * @author:[email protected] */
zipimport.ZipImportError: bad local file header错误的解决办法
Scape1989的专栏
01-18 7672
在debian/ubuntu系中比较常见。(更新不勤快的发行版不是好发行版) 这个是setuptools老版本(0.6)中已被查明的BUG,在新版本中已经得到解决,使用老版本的可以用以下命令升级setuptools(1.0)进行修复: wget https://bitbucket.org/pypa/setuptools/raw/bootstrap/ez_setup.py -O - | pyt
VS在运行中出现  %TSD-Header-###%bq??C??|lK??4? €        解决办法
谱繁华的博客
03-13 9170
VS在运行中出现 %TSD-Header-###%bq??C??|lK??4? € @ R?? Incompatible annotation and detection files. See output specifications 表示文件加密,VS无法运行 解决办法: 1.找到加密文件 2.在文件名后面加 .ini 3.用Notepad+...
Linux中unzip解压乱码,mismatching “local“ filename ..., continuing with “central“ filename version
走在搬砖的路上!
01-12 1172
unzip -qO UTF-8 front.zip # 指定为utf-8格式,也可以指定为其他格式,就不会出现乱码了。原因是中文乱码问题,压缩文件中有中文命名的文件,解压出来就出现了乱码,
判断文件是否加密
奔跑的猪皮
09-23 3364
private static final String ENCRYPT_HEADER = "%TSD-Header-###%"; private static final int BUFFER_SIZE = 20; /** * 校验加密文件 * * @param bytes * @return * @author lc */ private static void checkedFile(byte[] bytes)...
Zip文件格式
06-27 603
官方文档 https://pkware.cachefly.net/webdocs/APPNOTE/APPNOTE-6.2.0.txt 格式说明 在官方文档中给出的ZIP格式如下: Overall .ZIP file format: [local file header 1] [file data 1] [data descriptor 1] ...
easyexcel 加密解密文件
最新发布
12-04
因此,可以使用EasyExcel来加密/解密Excel文件。 以下是使用EasyExcel加密/解密Excel文件的步骤: 1. 导入EasyExcel依赖 ```xml <groupId>com.alibaba</groupId> <artifactId>easyexcel <version>2.2.10 ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值