PE文件的学习

最新推荐文章于 2024-07-04 19:16:05 发布
最新推荐文章于 2024-07-04 19:16:05 发布
阅读量519 收藏
点赞数
分类专栏: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crystal_avast/article/details/8230253
版权
c++ 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
windows
4 篇文章 0 订阅
订阅专栏

参考:http://blog.csdn.net/huanjieshuijing/article/details/5874365

http://lwglucky.blog.51cto.com/1228348/283812

涉及到的数据结构

我们可以在Winnt.h这个文件中找到关于PE文件头的定义:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;

//PE文件头标志 :“PE/0/0”。在开始DOS header的偏移3CH处所指向的地址开始(待研究和考证)

    IMAGE_FILE_HEADER FileHeader;  //PE文件物理分布的信息
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;//PE文件逻辑分布的信息

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

 

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;//该文件运行所需要的CPU,对于Intel平台是14Ch

    WORD    NumberOfSections;//文件的节数目

    DWORD   TimeDateStamp;//文件创建日期和时间

    DWORD   PointerToSymbolTable;//用于调试

    DWORD   NumberOfSymbols;//符号表中符号个数

    WORD    SizeOfOptionalHeader;//OptionalHeader 结构大小

    WORD    Characteristics;   //文件信息标记,区分文件是exe还是dll

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;//标志字(总是010bh)

    BYTE    MajorLinkerVersion;//连接器版本号

    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;//代码段大小

    DWORD   SizeOfInitializedData;//已初始化数据块大小

    DWORD   SizeOfUninitializedData;//未初始化数据块大小

    DWORD   AddressOfEntryPoint;

 

PE装载器准备运行的PE文件的第一个指令的RVA,若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行(以往许多文章都有介绍RVA,请大家先了解)。


    DWORD   BaseOfCode;//代码段起始RVA

    DWORD   BaseOfData;//数据段起始RVA

    //
    // NT additional fields.
    //

    DWORD   ImageBase;//PE文件的装载地址

    DWORD   SectionAlignment;//块对齐

    DWORD   FileAlignment;//文件块对齐

    WORD    MajorOperatingSystemVersion;//所需操作系统版本号

    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;//用户自定义版本号

    WORD    MinorImageVersion;


    WORD    MajorSubsystemVersion;//win32子系统版本。若PE文件是专门为Win32设计的

    WORD    MinorSubsystemVersion;//该子系统版本必定是4.0否则对话框不会有3维立体感

    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;//内存中整个PE映像体的尺寸

    DWORD   SizeOfHeaders;//所有头+节表的大小

    DWORD   CheckSum;//校验和

    WORD    Subsystem;  //NT用来识别PE文件属于哪个子系统

    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//IMAGE_DATA_DIRECTORY 结构数组。每个结构给出一个重要数据结构的RVA,比如引入地址表等  IMAGE_NUMBEROF_DIRECTORY_ENTRIES=16

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

 

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;//表的RVA地址

    DWORD   Size;//大小

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

 

PE文件头后是节表,在winnt.h下如下定义

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text”  IMAGE_SIZEOF_SHORT_NAME = 8

    union {
            DWORD   PhysicalAddress;//物理地址
            DWORD   VirtualSize;//真实长度
    } Misc;
    DWORD   VirtualAddress;//RVA

    DWORD   SizeOfRawData;//物理长度

    DWORD   PointerToRawData;//节基于文件的偏移量

    DWORD   PointerToRelocations;//重定位的偏移

    DWORD   PointerToLinenumbers;//行号表的偏移

    WORD    NumberOfRelocations;//重定位项数目

    WORD    NumberOfLinenumbers;//行号表的数目

    DWORD   Characteristics;//节属性

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;


 

crystal_avast
关注
专栏目录
PE文件学习--RVA与FOA转换
KOOKNUT的博客
03-31 1096
当我们的PE文件没有被装载到内存中的时候,它是以什么样的存储方式在磁盘中存储呢?当被装载到内存之后,PE文件的内容又是什么样的光景呢? RVA:相对虚拟地址 FOA:文件偏移地址 今天我们说的重点就是RVA和FOA的转换,之前我们已经知道PE文件在磁盘文件中的对齐粒度是0x200,在内存中的对齐粒度是0x1000,我们来看一张《Windows PE权威指南》中的图片: 从上图我们可以看出PE...
PE文件学习笔记(一)---导入导出表
还木人的博客
10-07 3163
最近在看《黑卡免杀攻防》,对讲解的PE文件导入表、导出表的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入表? 导入表机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入表结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
PE文件学习
最新发布
qq_40569221的博客
07-04 1069
PE文件,即Portable Executable文件,是一种标准的文件格式,主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序(如.exe文件)、动态链接库(.DLL文件)、设备驱动(.SYS文件)、ActiveX(.OCX文件)以及其他类型的可执行模块。PE文件格式设计得非常灵活和强大,它允许程序在不同版本的Windows上运行,从而实现了一定程度的可移植性。
PE文件(一)PE结构概述
2301_78838647的博客
04-18 1375
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE结构学习(1)_认识PE文件
xf555er的博客
08-07 604
可执行文件在不同的操作系统平台有不同的结构常见的PE文件后缀名有EXE, DLL,SYS等。
PE文件格式学习
qin_code的博客
04-08 4732
目录 IMAGE_DOS_HEADER_STRUCT e_lfanew IMAGE_NT_HEADER Signature IMAGE_FILE_HEADER Machine NumberOfSections TimeDateStamp PointerToSymbolTable &NumberOfSymbols SizeOfOptionalHeader Characteristics IMAGE_OPTIONAL_HEADER Magic MajorLinkerV...
21.1 使用PEfile分析PE文件
热门推荐
CSDN
08-10 1万+
PeFile模块是`Python`中一个强大的便携式第三方`PE`格式分析工具,用于解析和处理`Windows`可执行文件。该模块提供了一系列的API接口,使得用户可以通过`Python`脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
PE文件及其结构
include的博客
04-05 1121
PE文件 1.什么叫PE文件 PE (Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目的是使连接生成的EXE文件能在不同的CPU指令下工作。 Windows中可执行程序有很多种,COM,PIF,SCR,EXE等,这些文件的格式大部分都继承于PE。其中EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件。 2.PE...
PE文件查看学习
weixin_43266544的博客
05-05 387
PE学习: xxx.h #include<Windows.h> #include"resource.h" #include<iostream> #pragma comment(lib,"Msimg32.lib") #define FILEBUFF "C:/LenovoSoftstore/Install/xxx/xxx.exe"//文件路径 #define fileBuff "C:/LenovoSoftstore/Install/xxx/副本xxx.exe"//保存文件路径 #d
PE文件解析
zhang14916的博客
11-22 3996
IMAGE_DOS_HEADER结构(DOS头部) typedef struct _IMAGE_DOS_HEADER {     WORD   e_magic;         // MZ标志     WORD   e_cblp;        WORD   e_cp;          WORD   e_crlc;        WORD   e_cparhdr;     WORD ...
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
PE文件学习工具,超好用
05-05
本篇将深入解析PE文件学习工具及其重要性,帮助你理解PE文件的结构和工作原理。 首先,PE文件结构包括多个部分,如DOS头、PE头、节表、导入表、导出表等。DOS头是一个兼容MS-DOS的小型引导程序,使得PE文件能在不...
OpenProcess的应用
crystal_avast的专栏
07-09 5907
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
Work线程和UI线程的区别
crystal_avast的专栏
03-07 1792
线程创建函数如下: CWinThread* AfxBeginThread( AFX_THREADPROC pfnThreadProc, LPVOID pParam, int nPriority = THREAD_PRIORITY_NORMAL, UINT nStackSize = 0, DWORD dwCreateFlags = 0, LPSECURITY_ATTRIBUTES lpS
关于ini文件读取的函数
crystal_avast的专栏
06-19 1081
DWORD GetPrivateProfileSectionNames( LPTSTR lpszReturnBuffer, // return buffer DWORD nSize, // size of return buffer LPCTSTR lpFileName // initialization file name ); 该函
将FILE*流转换成文件描述符
crystal_avast的专栏
05-30 1079
The fileno macro inquires about the status of a stream. The fileno        macro returns the integer file descriptor associated with the stream        pointed to by the Stream parameter. Otherwise a
unix高级环境变量编程------启动例程加载可执行文件的步骤
crystal_avast的专栏
12-16 978
前言: 可执行文件的入口为main函数 1、启动例程加载可执行文件 1.1 可执行文件将启动例程的地址作为程序的起始地址 1.1.1 可执行文件的起始地址是有链接器指定的,而链接器是由编译器指定的。 用图来表示如下:
记录一个将宽字符数字转换成数字的库函数
crystal_avast的专栏
09-18 732
_tstof
vc类内包含类成员的总结
crystal_avast的专栏
08-20 714
程序: #include using namespace std; class A { public:  A(int n = 0 ):m_nTest(n)  {   cout  } //private:  int m_nTest; }; class B { public:  B(A* p1):m_a(p1)  {   cout  } private:
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值