【PE结构】3.区段头

最新推荐文章于 2022-10-25 20:35:11 发布
最新推荐文章于 2022-10-25 20:35:11 发布
阅读量2k 收藏 5
点赞数
分类专栏: PE文件 文章标签: PE结构 区段头
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy_chenyang/article/details/80780371
版权
本文详细介绍了PE文件中的区段头,包括其在PE结构中的位置、作用和重要属性。区段头存储了PE文件主体的属性,如代码段(.text)、数据段(.data)、未初始化数据段(.bss)、只读数据段(.rdata)等。文章还列举了不同编译器生成的PE文件中常见的区段配置。
摘要由CSDN通过智能技术生成
一、前言
二、PE整体结构
三、DOS头
四、NT头
    4.1.文件头
    4.2.扩展头
五、区段头
六、导出表
最低0.47元/天 解锁文章
SMOne_Z
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE格式区段表学习
字节跳动
12-12 526
1 网址 PE格式解析-区段表及导入表结构详解 2 区段结构
易语言PE结构查看
07-21
易语言PE结构查看源码,PE结构查看,子程序1,初始化PE基本信息,判断是否为标准PE结构,定义数据长度,计算偏差,判断是否存在输出表,判断是否存在输入表,查询PE导入表,查询PE输出表
PE代码段中的数据
weixin_34292402的博客
07-03 349
PE代码段中可能包含一些数据,比如 optional header中的data directory会索引到一些数据,比如import/export table等等; 还有一些jump table/switch table等等。 一般来说,direct/indirect call/branch的目标,可能是代码,也可能是数据,比如: mov eax, offset_funccall eax ...
易语言PE文件区段源码-易语言
06-13
易语言PE文件区段源码
获取PE文件的区段
十年磨一剑,霜刃未曾试!
05-08 4037
 //清空列表控件 m_ListCtrlSection.DeleteAllItems(); IMAGE_DOS_HEADER DosHeader = {0}; IMAGE_FILE_HEADER FileHeader = {0}; HANDLE  hFile = INVALID_HANDLE_VALUE; DWORD  dwReadLen = 0; WORD  NumOfSec = 0; //区段表个数 IMAGE_SECTION_HEADER *pSecHeader = NULL; //打开文件 hFil
PE文件区段.rar
04-06
3. **取PE文件区段的步骤**: - **读取PE**:首先需要读取文件的DOS和随后的PE,以了解文件的基本结构。 - **解析节表**:通过PE找到节表,获取每个节的信息。 - **定位区段**:根据节表中的信息,计算出...
免杀基础三步走之二(PE文件结构).mht
02-23
PE文件总的来说是由DOS文件、DOS加载模块、PE文件区段表与区段5部分构成。其实,如果在纯Windows环境下运行,DOS文件、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。 为了方便...
PE结构】1.PE文件结构、DOS
SMOne
06-22 1420
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表一、前言PE(PortableExecutable)文件,也就是Windows操作系统上的可执行文件,不仅仅是扩展名为EXE的文件,还包括DLL、SYS、COM、OCX等多种文件。Windows操作系统树大招风,运行在上面的各种应用程序(PE文件)自然成了很多...
易语言源码易语言PE文件区段源码.rar
02-18
易语言中,我们可以通过解析PE文件的信息来获取这些区段,进一步分析程序的结构和功能。 在“易语言PE文件区段源码.rar”中,提供的源码很可能是用于读取和解析PE文件区段的程序。在易语言中实现这一功能,...
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
DLL引入表重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4269
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无
pe文件节区的删除和增加
m0_62690279的博客
04-10 1466
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件中的 number of section 同样在hxd中修改其
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 757
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo中只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
浅谈PE文件结构(四)
weixin_43137410的博客
07-02 1227
完结啦!撒花!
【破解教程】PE文件格式详解(下)
一个人的软件艺术
02-28 1038
<br /><br />PE文件格式详解(下)<br />预定义段<br />一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标准编译器来指示对代码段和数据段的命名,或者使用名称
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 2549
讲导入函数节,就必须介绍一下Datadirectory:Datadirectory放在可选文件optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代表该节的RVA,14 20 00 00RVA=0002014后4位:代表该节的大小,0x0000003c=60下面按rdata中存放的顺序介绍,注意此表中的地址是文件地址:其RVA(内存)=0x000
Pe文件自定义区段||Pe区段内存属性
最新发布
qq_31314583的博客
10-25 284
这个这个程序编译链接生成PE文件中关于 .rdata的属性(Characteristics)描述。我们将这个属性使用WinHex工具修改成.rdata为可写区域 是不是 str就可以更改了呢?所以这个程序的.rdata的默认的属性为 可读块 已初始化数据块。由于测试机器是Little-Endian 所以。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值