64位PE

最新推荐文章于 2023-06-09 23:00:19 发布
最新推荐文章于 2023-06-09 23:00:19 发布
阅读量999 收藏 3
点赞数 4
分类专栏: PE文件 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/datouyu0824/article/details/115021186
版权 
PE64(x64)
注意事项
64位PE文件被称为PE32+,PE+, PE64
解析x64位PE时应该注意地址大小,PE64涉及到指针时应该都是64位
PE64结构
IMAGE_DOS_HANDLE
PE64的DOS头与PE32没有区别
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
IMAGE_NT_HEADERS64
PE64与PE32在扩展头上发生变化
typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;         // 与PE32有区别
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
PE64的文件头与PE32没有区别
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;                // 64位:0x8664  32位:0x014C
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;   // 64位:0x00F0  32位:0x00E0
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
PE64的扩展头
typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;                  // 64位:0x20B  32位:0x10B
    BYTE        MajorLinkerVersion;
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;
    DWORD       BaseOfCode;
    
    // 上半部分 与PE32一致         
    ULONGLONG   ImageBase;          // 不同 镜像基址是64位的数字
    DWORD       SectionAlignment;
    DWORD       FileAlignment;
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;
    DWORD       SizeOfHeaders;
    DWORD       CheckSum;
    WORD        Subsystem;
    WORD        DllCharacteristics;
    
    // 与PE32差距
    ULONGLONG   SizeOfStackReserve;     //不同 初始栈大小 64位大小
    ULONGLONG   SizeOfStackCommit;      //不同 栈增长大小 64位大小
    ULONGLONG   SizeOfHeapReserve;      //不同 初始堆大小 64位大小
    ULONGLONG   SizeOfHeapCommit;       //不同 堆增长大小 64位大小
    
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;    // 数据目录表还是16个
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
IMAGE_SECTION_HEADER
PE64的区段头与PE32没有区别
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
数据目录表
IMAGE_EXPORT_DIRECTORY(0 导出表)
这个结构体与PE32没有区别
typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA  数组中每个元素4个字节的RVA
    DWORD   AddressOfNames;         // RVA  数组中每个元素都是IMAGE_IMPORT_BY_NAME
    DWORD   AddressOfNameOrdinals;  // RVA  数组中每个都是2个字节序号
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
IMAGE_IMPORT_DESCRIPTOR (1 导入表)
IMAGE_IMPORT_DESCRIPTOR 结构体与PE32没有区别
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)
​
    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;
但是IAT 与INT指向的数组应该是 IMAGE_THUNK_DATA64
typedef struct _IMAGE_THUNK_DATA64 {
    union {
        ULONGLONG ForwarderString;  // PBYTE 
        ULONGLONG Function;         // PDWORD
        ULONGLONG Ordinal;
        ULONGLONG AddressOfData;    // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA64;
typedef IMAGE_THUNK_DATA64 * PIMAGE_THUNK_DATA64;
IMAGE_RESOURCE_DIRECTORY (2 资源表)
资源表与PE32也是一样
typedef struct _IMAGE_RESOURCE_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    WORD    NumberOfNamedEntries;
    WORD    NumberOfIdEntries;
//  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
} IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;
// 资源目录项
typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
    union {
        struct {
            DWORD NameOffset:31;
            DWORD NameIsString:1;
        } DUMMYSTRUCTNAME;
        DWORD   Name;
        WORD    Id;
    } DUMMYUNIONNAME;
    union {
        DWORD   OffsetToData;
        struct {
            DWORD   OffsetToDirectory:31;
            DWORD   DataIsDirectory:1;
        } DUMMYSTRUCTNAME2;
    } DUMMYUNIONNAME2;
} IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

IMAGE_BASE_RELOCATION (5 重定位表)
typedef struct _IMAGE_BASE_RELOCATION {
    DWORD   VirtualAddress;
    DWORD   SizeOfBlock;
//  WORD    TypeOffset[1];
} IMAGE_BASE_RELOCATION;
// 重定位项
struct {
      WORD Offset:12;  // (1) 大小为12Bit的重定位偏移
      WORD Type  :4;   // (2) 大小为4Bit的重定位信息类型值 
     //Type需要修复的值   32位:0x03 64位:0x10
}TypeOffset;
IMAGE_TLS_DIRECTORY64 (9 TLS表)
VA地址都是64typedef struct _IMAGE_TLS_DIRECTORY64 {
    ULONGLONG StartAddressOfRawData;	//x64位VA
    ULONGLONG EndAddressOfRawData;		//x64位VA
    ULONGLONG AddressOfIndex;         	//x64位VA  PDWORD
    ULONGLONG AddressOfCallBacks;     	//x64位VA  TLS回调地址 *;
    DWORD SizeOfZeroFill;
    union {
        DWORD Characteristics;
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;
} IMAGE_TLS_DIRECTORY64;
IMAGE_DELAYLOAD_DESCRIPTOR (13 延迟加载表)
没有区别
typedef struct _IMAGE_DELAYLOAD_DESCRIPTOR {
    union {
        DWORD AllAttributes;
        struct {
            DWORD RvaBased : 1;             // Delay load version 2
            DWORD ReservedAttributes : 31;
        } DUMMYSTRUCTNAME;
    } Attributes;

    DWORD DllNameRVA;                       // RVA to the name of the target library (NULL-terminate ASCII string)
    DWORD ModuleHandleRVA;                  // RVA to the HMODULE caching location (PHMODULE)
    DWORD ImportAddressTableRVA;            // RVA to the start of the IAT (PIMAGE_THUNK_DATA)
    DWORD ImportNameTableRVA;               // RVA to the start of the name table (PIMAGE_THUNK_DATA::AddressOfData)
    DWORD BoundImportAddressTableRVA;       // RVA to an optional bound IAT
    DWORD UnloadInformationTableRVA;        // RVA to an optional unload info table
    DWORD TimeDateStamp;                    // 0 if not bound,
                                            // Otherwise, date/time of the target DLL

} IMAGE_DELAYLOAD_DESCRIPTOR, *PIMAGE_DELAYLOAD_DESCRIPTOR;
总结PE32与PE64区别
扩展头中基址大小是64位,初始栈和堆都是64位
导入表中导入地址表(IAT)和导入名称表(INT)指向的数组元素都是8个字节的函数地址(RVA)
TLS表中的VA地址都被换成64位
鉴于以上区别不能直接使用PE32的方式解析PE64。
余大头
关注
专栏目录
PEx64-Injector:将x64位可执行文件注入到任何进程中,并将其屏蔽为合法的进程,以进行防病毒规避
03-04
PEx64进样器(过程迁移器) 将任何x64 exe迁移到任何x64进程(Net FrameWork 3.5) 无需管理员权限。 GIF演示 怎么用? 下载。 用法:Migrator.exe有效负载(fpath)Migratefile(fpath) 示例:Migrator.exe C:\ Users \ User \ Desktop \ Putty64.exe C:\ Windows \ System32 \ notepad.exe 请注意,当您指定migrationfile时,它将作为新进程启动,并且不会迁移到已经运行的进程。 此类工具可用于规避影音,并在合法程序下掩盖恶意软件。 待办事项:下载/执行功能以加载远程文件。 特别感谢 。
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
Win10_x86_x64PE维护光盘——我用过最好用的PE
weixin_34346099的博客
01-15 1494
先感谢hongxj和fish2006两位大大提供的PE. 先放出所有工具的下载地址: hongxj的PE:https://yunpan.cn/crAw6HS6ar9ck  访问密码 4a4e fish2006的PE:https://yunpan.cn/crAwP8XTcCs3C  访问密码 18e3 fish2006的显卡驱动:https://yunpan.cn/crAwsWwEp45...
巨无霸Win8PE X64服务器维护专用,昨非在线PE系统03PE+WIN8PE+WIN10PE维护专用超精简U盘启动盘v6.23...
weixin_32459211的博客
08-12 940
内含fba版和iso efi版,fba只需要用内含的 fbinstTool软件做到U盘里启动即可,iso版只需要用内含的ultraiso做到U盘里启动使用,它的特点就是集成了目前常用的所有pe才110M大小,非常的小。本PE系统组合只关注系统维护功能,不支持网络、多媒体,支持BIOS和UEFI启动,启动速度一流,实用维护功能齐全,外表美观大方。突出特色:支持UEFI启动绕过密码进入win8、win...
AssetManager加载远程资源
成长ing中的w的专栏
09-17 2284
/** * Author:W * 使用AssetsManager加载远程资源 */ cc.Class({ extends: cc.Component, properties: { }, // LIFE-CYCLE CALLBACKS: onLoad () { this.loadRemoteUrlAsset(); }, start () { setTimeout(function(){
mmLoader:一个用于从内存(x86x64)绕过Windows PE loader加载dll模块的库
05-10
毫米加载器 mmLoader是用于直接从内存中加载DLL模块的库。 此外,它将正确处理导入/导出表而绕过Windows PE加载程序。 三胞胎 地位 x86-windows-static x64-windows-static | CI和CD系统已移至Azure DevOps,mmLoader将不会发布更多的块包。 vcpkg支持 mmloader现在在vcpkg上可用,只需通过命令安装即可: vcpkg安装mmloader:x86-windows-static vcpkg安装mmloader:x64-windows-static 如果要在shellcod模式下使用mmloader,则需要使用功能shellcode进行安装: vcpkg安装mmloader [shellcode]:x86-windows-static vcpkg install mmloader [sh
64位系统环境下解析32位和64位PE文件
04-12
64位系统环境下解析32位和64位PE文件》 在现代计算机系统中,64位操作系统已经成为主流,它可以支持更大的内存空间和更高效的处理能力。然而,我们仍然会遇到大量的32位应用程序,这些程序在64位系统下运行时,其...
64位/32位PE文件查看器,类似于eXeScope工具
12-04
64位/32位PE文件查看器,类似于eXeScope工具,可以查看64位或者32位程序文件信息
批量判断pe文件(exe、DLL) 是32位,还是64位
08-20
批量判断exe、DLL 是32位,还是64位,支持文件批量拖入,支持文件夹递归遍历,博文地址:https://blog.csdn.net/maoyeahcom/article/details/108131383
32位PE下安装 64 位 系统的 方法
02-11
Windows PE 安装 64 位系统的方法 在这篇文章中,我们将探讨如何在 32 位 PE 下安装 64 位系统的方法。PE 系统是一个轻量级的操作系统,可以安装在 U 盘或 CD 上,具有最小的核心服务和标准的 32 位 Windows API。 ...
winpe 32 64位
06-04
winpe32位 64位是本人刚注册的时候上传的,因没有经验和上传大小限制, 导致每个完整的PE系统都要分成4个部分,共8个,而且标题没有写清楚是第几部分,真是对不起网友了。等到我传完才发再这个问题。大家下载了一个后,点我的用户名,就可以看到其它的部分,4个部分要全部下载完成放在同一个文件夹下才能解压出来。有网友说要分太多,其实我也想改下,但不知道在哪里改。如果有网友知道,请给我留言。如果分数不够的朋友,请先评论后,等分数返还了再下另外一部分。有网友说不能用,32位的本人亲测可以。量产到U盘,可以安装win7sp1,win8.64位的因本人电脑硬件限制,没有亲测。但是同时做出来的,只是把32位的换成64位的。有的网友说不如老毛桃的,确实如此,本人只是认为老毛桃的体积太大,量产不方便,而且有很多工具不常用,所以本人做的里面的工具都是IT人员比较常用,主要是作公司日常装机用的,因为公司的电脑不适合安装太多与工作不相关的软件。
PE WePE_64_V2.0
02-23
1、微PE经测试未发现捆绑和无用垃圾。(大白菜等都有广告或捆绑、修改主页等) 2、可以安装到U盘、硬盘,生成ISO。 3、支持bios和uefi双启动
exe或dll等PE格式文件32位64位判断检测 PE32or64
10-22
Windows在文件属性上一直没有显示exe、dll等PE格式文件是32位还是64位。这在很多情况下很有用,比如0xc000007b错误,很多时候就是因为32位、64位dll弄错引起的。本资源总结了10种检测方法,包括自己编写的部分代码、...
深入理解PE,手工制作64位PE程序
最新发布
yhy1315的博客
06-09 1207
由于像 ASLR 这样的内存保护以及许多其他原因,该字段指定的地址几乎从未被使用过,在这种情况下,PE 加载程序选择一个未使用的内存范围来加载图像,在将图像加载到该地址后加载器进入一个称为重定位的过程,它修复图像中的常量地址以使用新的图像库,有一个特殊的部分保存有关需要重定位时需要修复的地方的信息,该部分称为重定位部分(对于 DLL,入口点是可选的,在没有入口点的情况下,该。十进制为70,这个大小是由我们在节区的数据量来确定,我们这个操作码+字符常量的总占地大小为70,所以这里填写70。
win10系统下制作win10x64pe教程
Fly_Sky
04-06 2万+
资源: 1.工具dism(提取和修改wim文件)+RegistryWorkshop_chs_5.0.0(修改注册表)+现有的pe系统(修改注册表) 2.Win10x64原版镜像.iso 3.虚拟机(测试和修改注册表) 开始: 1.提取iso里的boot.wim卷2----因为要修改所以进行提取 dism /export-image /sourceimagefile:w:\sources
PE import/export address table
ai82036620的博客
06-13 282
#include <stdlib.h> #include <stdio.h> #include <windows.h> // http://hatriot.github.io/blog/2017/09/19/abusing-delay-load-dll/ // https://blog.csdn.net/adam001521/arti...
PE总结10---PE文件结构之导入表 (IMAGE_IMPORT_DESCRIPTOR)
oBuYiSeng的博客
12-11 4354
1、导入表基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 4870
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
32位PE安装64位系统教程
"32位PE环境下安装64位系统的步骤和原理" 在计算机领域,32位PE(Preinstallation Environment)系统是一种轻量级的Windows操作系统子集,基于32位的Windows XP Professional内核,常用于系统安装、故障恢复和自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值