PE 文件格式汇总

最新推荐文章于 2024-03-17 19:39:55 发布
最新推荐文章于 2024-03-17 19:39:55 发布
阅读量1.4k 收藏
点赞数
分类专栏: Asm 文章标签: structure image header byte c os
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clin003/article/details/215057
版权
PE 文件格式 Written by codez

=====================================================
No    Size    Offset    Note
-----------------------------------------------------
# PE SIGNATURE

01    DWORD    0000    PE 文件标志(50 45 00 00)

# IMAGE_FILE_HEADER Structure

02    WORD    0004    Machine 电脑的处理器类型
03    WORD    0006    NumberOfSections 段数
04    DWORD    0008    TimeDateStamp 时间
05    DWORD    000C    PointerToSymbolTable 符号表指针
06    DWORD    0010    NumberOfSymbols 符号表数目
07    WORD    0014    SizeOfOptionHeader Option 头大小
08    WORD    0016    Characteristics 映像特征

            [SIZE = 0x18]

# IMAGE_OPTIONAL_HEADER Structure

09    WORD    0018    Magic 幻数
10    BYTE    001A    MajorLinkerVersion 连接器主版本号
11    BYTE    001B    MinorLinkerVersion 连接器次版本号
12    DWORD    001C    SizeOfCode 代码段大小
13    DWORD    0020    SizeOfInitializedData 初始化数据段大小
14    DWORD    0024    SizeOfUninitializedData 未初始化数据段大小
15    DWORD    0028    AddressOfEntryPoint 程序入口地址
16    DWORD    002C    BaseOfCode 代码段基址
17    DWORD    0030    BaseOfData 数据段基址
18    DWORD    0034    ImageBase 映像地址
19    DWORD    0038    SectionAlignment 映像对齐
20    DWORD    003C    FileAlignment 文件对齐
21    WORD    0040    MajorOperatingSystemVersion OS主版本
22    WORD    0042    MinorOperatingSystemVersion OS次版本
23    WORD    0044    MajorImageVersion 映像主版本
24    WORD    0046    MinorImageVersion 映像次版本
25    WORD    0048    MajorSubsystemVersion 子系统主版本
26    WORD    004A    MinorSubsystemVersion 子系统次版本
27    DWORD    004E    Win32VersionValue 保留使用
28    DWORD    0052    SizeOfImage 映像大小
29    DWORD    0056    SizeOfHeaders 包括 Ms-dos stub 以及 PE 文件头和段表大小
30    DWORD    005A    CheckSum 核对值
31    WORD    005C    Subsystem 子系统类型
32    WORD    005E    DllCharacteristics (0x2000 -> WDM 驱动程序)
33    DWORD    0060    SizeOfStackReserve 保留栈大小
34    DWORD    0064    SizeOfStackCommit 提交栈大小
35    DWORD    0068    SizeOfHeapReserv 保留堆大小
36    DWORD    006C    SizeOfHeapCommit 提交堆大小
37    DWORD    0070    LoaderFlags 加载标志
38    DWORD    0074    NumberOfRvaAndSizes

            [SIZE = 0x78]

=====================================================
# IMAGE_DATA_DIRECTORY

01    DWORD    0000    VirtualAddress 虚拟地址
02    DWORD    0004    Size 大小

            [SIZE = 0x0008]

=====================================================
# IMAGE_SECTION_HEADER

01    BYTE*8    0000    Name 名称
02    DWORD    0008    VirtualSize 虚拟大小
03    DWORD    000C    VirtualAddress 虚拟地址
04    DWORD    0010    SizeOfRawData 物理大小
05    DWORD    0014    PointerToRawData 物理入口
06    DWORD    0018    PointerToRelocations 重定位入口
07    DWORD    001C    PointerToLinenumbers COFF line-number 入口地址
08    WORD    0020    NumberOfRelocations 重定位数目
09    WORD    0022    NumberOfLinenumbers COFF line-number 数目
10    DWORD    0024    Characteristics 特征

            [SIZE = 0x0028]
clin003
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE文件数据结构汇总
bcbobo21cn的专栏
07-09 464
IMAGE_DOS_HEADER STRUCT 【M_DOS头部 共64字节】 { +00 h WORD e_magic // DOS可执行文件标记 MZ(4Dh 5Ah) +02 h WORD e_cblp ; Bytes on last page of file +04 h WORD e_cp ; Pages in file +06 h WORD e_crlc ; Relocat
使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题
dvlinker的技术专栏
12-21 9338
详细讲述如何使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题。
PE文件格式详解
音视频图形编程学习乐园
09-01 1660
本文描述了Windows系统的PE文件格式
windows PE文件都包含哪些信息【详细汇总介绍】
Bobowen的博客
12-31 1158
PE(Portable Executable)文件是Windows操作系统中使用的可执行文件格式,用于.exe、.dll、.sys等文件。PE文件结构是由一系列紧密相关的头部和数据节组成的,每个部分都承担着特定的功能。
PE文件格式知识点汇总
最新发布
weixin_61967363的博客
03-17 392
PE文件格式知识点总结
PE文件格式
Mi1k7ea
06-04 3219
PE即Portable Executable,是Windows OS下使用的可执行文件格式PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。PE文件种类如下表:PE文件基本结构:从DOS头至节区头是PE头部分,下面的节区合称PE体。文件的内容一般分为代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。VA&am...
用Python构建一个PE文件
05-28 1573
用Python生成一个PE文件,主要是为了学习PE格式,因为看很多红队工具的原理都要掌握这个,这篇文章主要是记录调试代码的过程。 主要使用的是Python3。 有关PE的文件结构描述,之前写过一个简短的对每个字段的描述 描述pe格式的主要地方是winnt.h,其中有一节叫做Image Format,该节给出了DOS MZ格式和Windows 3.1 NE格式的文件头,之后就是PE文件的内容。在这个文件中几乎能找到所有关于PE文件的数据结构定义、枚举类型、常量定义。 EXE文件和Dll文件..
使用PE信息查看工具和Beyond Compare文件比较工具排查dll库文件版本不对的问题
dvlinker的技术专栏
01-09 7138
本文详细讲述如何使用PE信息查看工具和Beyond Compare文件比较工具排查dll库文件版本不对的问题。
世界编程大赛第一名编写的程序
唯一谣|Airs|走尽天涯路|极地阳光
10-02 4448
e100 33 f6 bf 0 20 b5 10 f3 a5 8c c8 5 0 2 50 68 13 1 cb e 1f be a1 1 bf 0 1 e11b 6 57 b8 11 1 bb 21 13 89 7 4b 4b 48 79 f9 ad 86 e0 8b c8 bd ff ff e8 20 e134 0 3d 0 1 74 1a 7f 3 aa eb f3 2d ff 0 50 e
两首歌曲的汇编演示(发声代码)...
唯一谣|Airs|走尽天涯路|极地阳光
12-22 1885
第一次作发声代码:        title music -- a music of Mary  had a little lamb        extrn soundf :far  ;link  music+soundf        stack   segment para stack stack                db 64 dup(stack...)       
map 文件 帮助测试
唯一谣|Airs|走尽天涯路|极地阳光
01-24 1691
Ricky() 20:22:37编译的时候可以生成map文件,然后可以根据客户反馈的信息,查找到出错的位置,具体到特定的文件和代码行 iCoding() 20:23:24那就是这个是只有QQ开发者才会有的了? Ricky() 20:24:15嗯。 走尽天涯路() 20:19:07vc编的都有吗 走尽天涯路() 20:19:17我还没注意过 Ricky() 20:24:45默认没有,在设置里面做一些
Open question (Design program )
唯一谣|Airs|走尽天涯路|极地阳光
12-01 1617
没有解决的问题 不建议 网友回复 若想回复,请到提供的相关连接 回复(或(留言))……第一个待思考问题:这个:main(){int a=2,b=5;printf("a=%%d,b=%%d/n",a,b);}这个程序的结果是什么 
给初学者谈谈心(C/C++/asm)(聊天记录)
唯一谣|Airs|走尽天涯路|极地阳光
03-04 1525
用户:404082727(走尽天涯路)==================================================消息组:c++()==================================================消息类型:聊天记录==================================================-------------
Open question (2:)
唯一谣|Airs|走尽天涯路|极地阳光
01-24 1371
在理解(找) map 文件的作用()一点可以帮助测试 程序(根据用户反馈信息) 可看到这篇(System.map文件的作用http://linuxsir.zahui.net/html/6/137498.htm)有.. 是不是还有别的用处?
PE文件添加新节显示启动信息
唯一谣|Airs|走尽天涯路|极地阳光
12-13 1355
病毒并不神秘,也不复杂。相当多的大侠已经在这方面作出了杰出的贡献,例如 29A 组织,我对他们的崇拜之情啊,真是……咳咳,先别扔鸡蛋。其实我想说的是:技术是一柄双刃剑,我们应该把它运用在对社会有益的事情上。所以请勿利用本文的代码进行违法违纪的活动,否则本人保留追究的权利。本文的技术其实早已是老掉牙的东西了,so如果你已经懂得了编写病毒的方法,请跳过本文;如果你对病毒抱有好奇心,但是还没知道怎么编写
今天是清明节
唯一谣|Airs|走尽天涯路|极地阳光
04-05 1306
 今天是清明节回不到家啦,因为公司不放假。。 google打开看看有啥好log(应为google过节的时候都会换个log的)。。失望ing,baidu看看,,无语如果说外国人可以忘记清明节的话,那么国人该忘记吗。下边是一个截图:,还好有QQ记得,虽说是链接到星座运势,至少人家让使用的国人知道——今天是清明节 清明节古时也叫三月节,已有2500多年历史。公历四
调整偏移量伪指令
唯一谣|Airs|走尽天涯路|极地阳光
01-17 1277
调整偏移量伪指令调整偏移量伪指令是在内存变量定义时用来调整内存变量起始偏移量的,它们是在把源程序汇编成目标文件时起作用。常用的调整偏移量伪指令有:EVEN、ALIGN和ORG,它们的主要目的是:为了更有效地读取内存单元的内容。------------------偶对齐伪指令格式:EVEN伪指令的作用是:告诉汇编程序(Assember),本伪指令下面的内存变量从下一个偶地址单元开始分配。
在python中读取pe.txt文件,需要加上encoding='utf-8’参数,把读取的信息每一行保存在一个列表,并汇总到一个总列表(persons)
05-28
在这段代码中,我们首先创建了一个空列表 `persons`,并打开了名为 `pe.txt` 的文件,指定编码格式为 `utf-8`。然后,我们使用 `readlines()` 函数逐行读取文件中的内容,并使用 `strip()` 函数去除每行末尾的空格和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值