PE文件(一)

最新推荐文章于 2024-02-01 11:43:47 发布
最新推荐文章于 2024-02-01 11:43:47 发布
阅读量533 收藏
点赞数 2
分类专栏: windows核心 文章标签: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charge_release/article/details/52224272
版权

PE文件是指某一种格式的文件,exe,dll,sys等等 ,都是PE格式的文件。
PE文件大体可以分为两部分,头和主体,两个部分都会在内部进行细分,头由几个结构体组成,含这个文件一些描述信息,主体由多个段组成,包含文件的可执行代码和一些执行时要使用的资源,数据等等。
下面这张网上找的图作为参考
网上找的
首先我们来看DOS头,DOS头是用来兼容DOS系统的,定义如下

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

其中这个好几个成员 只需要记住第一个和最后一个就行,其他的大多已经没什么用了,其内容常年以0居多。

第一个成员 e_magic ,是一个标记,DOS头标志位,其值恒为4D5A ,在系统中用宏定义为 :

#define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ

这个成员的作用是可以作为判断一个文件是否为PE文件,下面我们来看代码

#include "stdafx.h"
#include <windows.h>
bool IsPeFile(TCHAR Path[])
{
    HANDLE hFile =CreateFile(
        Path,
        GENERIC_READ | GENERIC_WRITE,
        NULL,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL);
    BOOL bSuccess = TRUE;
    DWORD dwFileSize = GetFileSize(hFile, 0);
    DWORD dwReadSize = 0;
    PBYTE buf = new BYTE[dwFileSize];
    memset(buf, 0, dwFileSize);
    ReadFile(hFile, buf, dwFileSize, &dwReadSize, NULL);

    PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)buf;
    if (pDos->e_magic !=IMAGE_DOS_SIGNATURE)
    {
        bSuccess = FALSE;
    }
    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + buf);//找到NT头
    if (pNt->Signature != IMAGE_NT_SIGNATURE)
    {
        bSuccess = FALSE;
    }
    CloseHandle(hFile);
    delete buf;
    buf = nullptr;
    return bSuccess;
}

int _tmain(int argc, _TCHAR* argv[])
{

    bool bpe = IsPeFile(_T("E:\\FileCleaner2.0.exe"));//需要判断文件的路径
    if (bpe)
    {
        printf("是");
    }
    else
    {
        printf("不是");
    }
    return 0;
}

有了以上的代码就可以判断一个文件是否为PE文件。
最后一个成员 e_lfanew 标识NT头部在文件中的偏移,有了它就可以找到后面NT头在文件中的位置,在上面的代码中其实已经用过了这个成员
在这里:
PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + buf);

上面的代码不但判定了DOS头的标记,还判断了NT头的一个成员Signature,这个成员也是判断PE文件的标记。
下篇文章会讲到。

听风说旧人
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE文件结构详解
08-25
识别一个文件是否为PE文件,可以通过查看文件的头两个字节是否为“MZ”,并检查0x3C位置是否保存着“PE”字符串。这些信息即为PE指纹,验证文件是否为PE文件PE文件的整体结构 PE文件的整体结构可以分为四个主要...
最近在写一个PE工具
aapow22288的专栏
07-22 154
这东西很多人都已经写的不想写了,对于我来说,才是第一次啊 现在已经完成了 IsPeFile(判断一个文件是否为PE文件) ,ShowPeInfo(显示出IMAGE_DOS_HEADE\IMAGE_FILE_HEADER\IMAGE_OPTIONAL_HEADER的各个成员的值), RVA2Offset(相对虚拟地址转化为文件偏移),PrintfImportTable(打印处输入表的...
pe文件结构 基础篇
weixin_50217210的博客
07-08 790
转自看雪学院
PE文件简介
热门推荐
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1433
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
PEChecksum计算PE文件校验和的工具
10-31
PE文件结构是微软在Windows操作系统中引入的一种二进制文件格式,它包含了程序的代码、数据以及运行时所需的元数据。PE文件由多个部分组成,包括DOS头、PE头、节区表和节区等。每个部分都有其特定的用途,例如PE头...
TPE.rar_pe文件
09-24
描述中提到的"PE文件格式分析程序VC++"表明这是一个使用C++编程语言编写的程序,用于分析PE文件的结构和内容。这个程序可能包含对PE头、节区、导入和导出表等关键元素的解析功能。 PE文件格式是Microsoft为32位和64...
PE文件解析器
12-01
PE文件解析器是一种工具,它能够解析这些文件的内部结构,揭示其组成元素,这对于软件开发、逆向工程、安全分析等领域至关重要。本文将深入探讨PE文件的结构及其解析原理。 1. **PE文件的基本结构** - **DOS头**: ...
C++判断pe文件实例
09-04
本文将详细介绍如何使用C++来判断一个文件是否为PE文件,以及涉及到的相关知识。 首先,我们需要了解PE文件的基本结构。PE文件由两部分组成:DOS头(IMAGE_DOS_HEADER)和NT头(IMAGE_NT_HEADERS)。DOS头通常包含...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6310
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件解析
qq_38933606的博客
08-10 593
PE文件磁盘分布和解析
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 1422
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件结构 安全分析与恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析
最新发布
chenhao0568的专栏
02-01 1626
对于软件开发、安全分析、逆向工程等领域的专业人士来说尤其重要。PE文件格式是Windows操作系统中用于可执行文件、动态链接库(DLLs)、以及其他文件类型(如FON字体文件等)的标准格式。:开发者可以更好地理解自己的应用程序如何被操作系统加载和执行,以及如何与操作系统的其他部分交互。这对于性能优化、故障排查和高级功能实现(如动态加载模块)来说至关重要。:安全研究人员和恶意软件分析师需要了解PE文件结构,以便他们可以识别和分析潜在的恶意代码。
PE文件详解
qq_40591440的博客
11-18 1629
什么是PE文件 指某一种格式的文件,可执行文件 exe 动态链接库(dll)驱动文件(sys) 都是PE文件格式 DOS头部 为了兼容DOS程序设计 NT头部 存储PE文件的全部属性,初始信息化等 区段头表 对于PE文件主体属性的分段描述,个数不定 各个区段 PE文件的主题,分段存储着可执行代码,各个数据资源等 DOS头 在DOS头中 有用的只有 e_mageic来比对此文件是否位 PE文件 而 e_lfanew用来指向NT头的偏移 在使用 010Edit 查看PE文件 4.
PE解释器之PE文件结构(二)
SXXYNHHXX的博客
01-19 1033
接下来的内容是对IMAGE_OPTIONAL_HEADER32中的最后一个成员DataDirectory,虽然他只是一个结构体数组,每个结构体的大小也不过是个字节,但是它却是PE文件中最重要的成员。PE装载器通过查看它才能准确的找到某个函数或某个资源。 此数据目录表结构中有俩个成员VirtualAddress和Size,这俩成员的含义比较简单,前者指定了数据块的相对虚拟地址(RVA)Size则指定了该数据块的大小,有时并不是该类型数据的总大小,可能只是该数据类型一个数据项的大小。这俩成员成为定位各种表的
PE文件格式(一)
周星星的博客
10-18 8059
PE文件是Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件结构
南宫封清的博客
04-19 3697
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值