一个奇怪的PE文件

最新推荐文章于 2024-07-26 17:32:42 发布
最新推荐文章于 2024-07-26 17:32:42 发布
阅读量1k 收藏
点赞数
分类专栏: PE文件结构学习 文章标签: image header c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bagboy_taobao_com/article/details/7676669
版权

TestSwitch.rar里的PE文件很奇怪(这个文件是我自己代码编译出来的)

看图1

IMAGE_SECTION_HEADER (Count: 3) (Size: 0x0028H<40B>)(ROF: 0x000001C0)
       Name       VSize               VAddress     SOfRawData   PToRawData 
00  .text           0x00004E3C   0x00001000  0x00005000   0x00001000 
01  .rdata        0x000008A8     0x00006000  0x00001000   0x00006000 
02  .data         0x00003E24    0x00007000  0x00003000  0x00007000 

看02 .data段
IMAGE_SECTION_HEADER.Misc.PhysicalAddress 是 0x00003E24
文件对齐是0x1000, 那么
IMAGE_SECTION_HEADER.SizeOfRawData 不应该是0x00004000吗?
为什么会是0x00003000


IMAGE_SECTION_HEADER..PointerToRawData 是 0x00007000
MAGE_SECTION_HEADER.SizeOfRawData 是0x00003000
文件大小是0x00007000 + 0x00003000 = 0x0000A000 = 40K 这个是正确的.


IMAGE_OPTIONAL_HEADER32.SizeOfImage是 0x0000B000;
使用OD加载该PE文件, .data段在内存中的大小是 0x00004000 (0x00007000--0x0000B000)
当然, 0x0000A000---0x0000B000这一段全是00的.

结论:
IMAGE_SECTION_HEADER.Misc.PhysicalAddress 应该是在内存中的没对齐时的大小(而不是文件中没对齐时的大小).
MAGE_SECTION_HEADER.SizeOfRawData 是在文件中对齐后的大小.
IMAGE_OPTIONAL_HEADER32.SizeOfImage 是PE文件加载到内存需要的内存大小.
这样理解, 这个PE文件不奇怪.

 

 

TestSwitch.rar:
 http://download.csdn.net/detail/cay22/4381945 
   

小大小丑
关注
专栏目录
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3690
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
PE文件入门,一篇就够了
jmm18363027827的博客
05-24 1078
在108处占4个字节,我们插入的程序起始位置是000003A0.然后,然后就没然后了,程序运行不起,ida和od看到的东西都很奇怪,延误了两天,这里我直接说一下踩的坑,我随意找了一个空白处填充机器码,但后来发现不是所有的位置都能发生跳转,然后就将指令插入在了text段的末尾,然后发现跳转的有些差异,不会跳转在我设置的地方,后知后觉的发现,视频里的老哥演示的的时候拿的是一个文件对齐和内存对齐相同大小的程序,我用的程序是一个不同的,所以就要计算一下 用我们前面学习到的知识。功能呢就是弹出一个这样的错误窗口。
PE文件格式复习
break_cat的博客
02-23 322
前言 前两天遇到了和PE文件格式有些关系的问题,有点儿蒙,发现以前看的有点些忘了,于是就拿出书又看了一遍,简单的写了点笔记。 PE文件简述 PE文件是指Windows系统下32位的可执行文件,又叫PE32。Windows系统下64位的可执行文件称为PE+或PE32+。 PE文件是由UNIX平台的COFF为基础制作的。 PE文件的种类(后缀)有: 可执行文件 .exe .scr 驱动文件 .sys .vxd 库文件 .dll .ocx .cpl .drv 对象文件 .obj(PE
PE文件格式解析
xiaobai_2511的博客
03-11 1896
最近工作需要用到PE特征,就了解了这方面的东西,搜了很多东西,发现这篇帖子很全面,再对照上PE文件格式的图片,这个帖子 我看了一个小时 ,算是对PE有了一定的了解。发现,PE文件好多东西都存在着里面。接下来是正贴   在这里很感谢  这篇帖子:http://www.cnblogs.com/Bachelor/archive/2013/07/24/3210748.html PE
PE文件结构分析及应用三
d3582077的专栏
01-19 469
VirtualSize的值是节的真实大小,即不经过对齐的节大小,VirtualAddress是节在内存的位置(按照内存中对齐方式),是SectionAlignment的整数倍,SizeofRawData是节在文件中对齐后的节大小,如果一个节位置在1000,它的大小为234,那么经过对齐后节大小就是536(假设对齐值为512)PointerRawToData是节在文件中的位置。如果位28 IMAGE_SCN_MEM_SHARED(内存共享节)被置1,表示节中的数据在映象文件的所有正在运行的实例中共享。
《逆向工程核心原理》读书笔记——第13章 PE文件格式
Onlyone_1314的博客
09-29 2071
第13章 PE文件格式13.1 介绍13.2、PE文件格式13.2.1基本结构13.2.2 VA&RVA13.3 PE头13.3.1 DOS头13.3.2 DOS存根13.3.3 NT头13.3.4 NT头中的文件头1.Machine2.NumberOfSections3.SizeOfOptionalHeader4.Characteristics13.3.5 NT头中的可选头1.Magic2.AddressOfEntryPoint3.ImageBase4.SectionAlignment, File
PE文件格式详解(上)
lj94093的专栏
01-12 490
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。     然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个
(转载)PE文件结构
dgvfx80822的专栏
04-03 100
PE可选头部 转载注明出处: http://blog.163.com/yl32940@126/blog/static/50356084201301454044891/   PE可执行文件中接下来的224个字节组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的...
UPack PE文件分析与调试
Tokameine的博客
03-06 354
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
Linux下ELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2164
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 2991
下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
使用API Monitor探测C++程序在调用HtmlHelp接口打开.chm文件时传入了哪些参数
最新发布
dvlinker的技术专栏
07-26 3257
使用API Monitor探测C++程序在调用HtmlHelp接口打开.chm文件时传入了哪些参数。
bin文件用cad打开_bin文件 打开方法_win7如何打开bin 格式的文件图文步骤
weixin_39932762的博客
12-19 7431
2018-11-27 14:28:18windows7系统下载某个资源的时候,发现居然有一个bin文件,.bin文件是什么?bin文件它可以是任何内容,并不是您多见到的doc、jpg、mp3等具有特定程序可以打开的文件...2016-11-18 17:25:05使用番茄花园XP系统电脑过程中,遇到了一个后缀为.bin的文件,不懂得是什么文件,更不知道bin文件如何打开。事实上,后缀为.bin的文件...
Python解析PE文件
cay22的专栏
11-05 5485
一. 下载安装pefile库 https://code.google.com/p/pefile/downloads/list 解压后, 把pefile.py和peutils.py拷贝到你的工程中即可.(你也可以安装到Python中, 就是双击Setup.py后把pefile.pyc拷贝到X:\PythonXX\Lib\site-packages) https://code.googl
PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)
cay22的专栏
06-23 4517
PE文件格式分析系列(文章2) 一个PE文件rdata段的分析(Win32工程Release版)(一) 在分析MFC工程调试版的PE文件时, 导入表在idata段 而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段. IMAGE_DIRECTORY_ENT
PE文件格式分析系列(文章3)----一个PE文件rdata段的分析(Win32工程Release版)(二)
cay22的专栏
06-23 3421
PE文件格式分析系列(文章3) 一个PE文件rdata段的分析(Win32工程Release版)(二) 下面分析这个PE文件rdata段的常量数据(000050A4---0000543D) 000050A0 |                         00 00 00 00 |     .... | 000050A8 | FF FF FF FF 27 11 40 00 |
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明
cay22的专栏
02-24 2298
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明 这个字段是在文件对齐时使用的. 例如FileAlignment = 0x1000, 有一个节真正有用的数据大小为0x400, 但是因为FileAlignment是0x1000, 所以连接器生成文件时, 该节的大小就是0x1000了. 这就是文件对齐. 看下面数据: IMAGE_DOS_HEA
深入解析PE文件格式
除了PEFILE.DLL,随文提供的示例程序还包括一个名为EXEVIEW的Win32应用程序,这个程序演示了如何使用PEFILE.DLL中的函数来解析和显示PE文件的详细信息。这对于理解PE文件的内部工作原理以及如何在实际项目中使用这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值