谈谈PE和ELF结构中的那些小事

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量2.5k 收藏 1
点赞数 2
分类专栏: 实践 文章标签: pe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/51893741
版权

如何区分32bit和64bitPE文件

IMAGE_FILE_HEADER->Machine
可执行文件的目标CPU。通常的值是:
IMAGE_FILE_MACHINE_I386 0x014c // Intel 386
IMAGE_FILE_MACHINE_IA64 0x020B // Intel 64
IMAGE_FILE_MACHINE_IA64 0x8664 // Intel 64
……

PE结构中如何告诉系统是否需要动态基址

IMAGE_OPTIONAL_HEADER->DllFlags
DllFlags[6]决定。

DLL Characteristics:

Value含义
8000Terminal Server aware
2000WDM driver
0800No bind
0400No SEH
0200No isolation
0100NX compatible
0080Force integrity
0040Dynamic base动态基址

PE结构如何区分dll和exe?

IMAGE_FILE_HEADER->Characteristics
Characteristics[13]决定。

Hi高位数据含义
8000Bytes reversed hi
4000Uniprocessor only
2000是DLL
0800Patch on net
0400Patch on removable
0200Debug stripped
010032 bit machine
Lo低位数据含义
0080Bytes reversed lo
0040???
0020Handle >2Gb address
0010Agressively trim set
0008Symbols stripped
0004Line numbers stripped
0002Executable
0001Relocations stripped

PE中一个特别的点:e_lfanew

它似乎保持指向DOS头后面,但确实没有规定e_lfanew必须指向后面,所以你可以通过将e_lfanew指向到DOS头来完成一段“压缩”。
同样的ELF头部起+2,+3位置没有被使用,也可以用做存储一些隐蔽数据。

以上数据部分从ExeInfoPe中找出来的。

dalerkd
关注
专栏目录
PEELF可执行文件格式
vily_lei的专栏
02-27 1768
PE: 是目前Windows平台上主流的可执行文件格式,包括常见的可执行程序.EXE文件/动态链接库.DLL文件等等。详见:PE可执行文件格式详解 - 知乎 ELF:是一种用于二进制文件、可执行文件、目标代码、共享库和core转存格式文件。是UNIX系统实验室(USL)作为应用程序二进制接口(Application Binary Interface,ABI)而开发和发布的,也是Linux的主要可执行文件格式。详见:ELF文件格式 - 知乎 ...
ise生成msk文件的用处_动态链接编译可执行文件时.so/.lib文件的用处以及ELFPE文件的区别...
weixin_32539505的博客
12-30 315
前言Linux下编译动态链接文件会生成.so文件,而编译可执行文件时也要带上此.so文件一起;Windows下编译动态链接文件会生成.dll和.lib文件,编译可执行文件时需要带上.lib文件一起。本文主要介绍为什么可执行文件编译时需要带上.so/.lib文件,以及在这个角度下PEELF的一些区别。本文以调用动态链接库函数为例来说明。为什么需要.so/.lib文件举个例子,对于如下的两个文件:...
PE文件结构ELF文件结构
04-19
PE文件结构ELF文件结构的具体描述,PE是windows操作系统的,ELF是linux操作系统的
pe文件结构
最新发布
2303_81165358的博客
07-29 895
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
ELFPE
qq_42526420的博客
04-01 3199
PE(Portable Executable)意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE格式文件,微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) ELF(Executable and Linkable Format)意为可执行与可链接格式,一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件,是UNIX系统实验室(USL)作...
ELF&PE 文件结构分析
Always On The Way
11-01 2366
ELF&PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELFPE 的文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELFPE 文件都是基于Unix 的 COFF(...
制作最小PEELF
菜鸟无影的学习笔记
08-07 757
PE: http://www.phreedom.org/research/tinype/ ELF: http://www.muppetlabs.com/~breadbox/software/tiny/teensy.html
headerParser:PEELF,DEX,MachO,ZIP(JAR,DocX)的标头信息解析器
04-11
重点是PEELF。 其他类型的处理不太仔细,但将来可能会扩展。 以及PEELF仍然必须扩展。 符合POSIX。 可在Linux和Windows(x86 / x64)下编译。 OsX也可以工作。 版本 1.10.8 最后更改:09.04.2021 要求 Linux ...
可执行文件格式详解 Windows PE和Linux ELF
01-19
在Windows和Linux这两个主流操作系统,可执行文件遵循不同的格式标准:Windows平台使用Portable Executable (PE)格式,而Linux系统则采用Executable and Linkable Format (ELF)。 **Windows Portable Executable ...
ELF文手册——ELF文手册
10-31
ELF(Executable and Linking Format)是一种广泛使用的可执行文件和共享库的文件格式,尤其在类UNIX系统如Linux上非常普遍。它包含了程序运行所需的所有信息,包括代码、数据、符号表、重定位信息等。ELF文手册是...
ELF文手册,elf文,C,C++
09-10
ELF(Executable and Linkable Format)是Linux和其他类UNIX系统广泛使用的可执行文件和共享库的二进制文件格式。这个格式包含了程序代码、数据、符号表等信息,是程序在操作系统上运行的基础。本手册针对ELF格式...
PE文件格式 ELF文件格式详解
09-21
windows下可执行文件格式详解 Linux下可执行文件详解
逆向知识点
qq_42021840的博客
01-18 971
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
PE文件格式和ELF文件格式(上)----PE文件
paul123456789io的博客
12-08 3552
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。     然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个
PE文件格式和ELF文件格式(下)----ELF文件(摘录整理)
weixin_33937913的博客
11-15 300
1   简介       可执行链接格式(Executable and Linking Format)最初是由UNIX 系统实验室(UNIX System Laboratories,USL)开发并发布的,作为应用程序二进制接口(Application Binary Interface,ABI )的一部分。工具接口标准(Tool Interface Standards,TIS)委员会将还在发展...
滴水三期逆向基础系列(番外)-判断PE文件是否为64位
henuyl的博客
04-28 422
BOOL is64Bit = is64BitOS(FilePath_In); BOOL is64BitOS( IN LPSTR lpszFile ){ LPVOID pDemoBuffer = NULL; ReadPEFile(lpszFile, &pDemoBuffer); PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS i...
PeStudio如何分辨32和64动态库静态库
along
01-07 671
打开PeStudio,选择你要检查的dll,选择File Header,其Machine字段表示可执行文件的目标CPU类型:IMAGE_FILE_MACHINE_I386 0x014c x86 IMAGE_FILE_MACHINE_IA64 0x0200 Intel Itanium IMAGE_FILE_MACHINE_AMD64 0x86
Linux下ELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2167
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
linux,windows 可执行文件(ELFPE)
热门推荐
kmesg的专栏
05-26 1万+
很早记接触这个缩写英文了。它是什么意思呢?要理解这个elf文件是还是比较容易的,如果要掌握它就花点功夫。ELF (Executable And Linkable)UNIX类操作系统普遍采用的目标文件格式 。首先要知道它有什么作用:工具接口标准委员会TIS已经将ELF作为运行在Intel32位架构之上的各类型操作系统的可导出对象文件格式标准。ELF标准为开发者提供了一组横跨多运行环境的二进制接口定义来组织软件开发 ;ELF 标准的目的是为软件开发人员提供一组二进制接口定义,这些接口可以延伸到多种操作环境,从
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值