PE可选头

最新推荐文章于 2023-03-10 17:05:59 发布
最新推荐文章于 2023-03-10 17:05:59 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Rome操作系统实现 文章标签: 数据结构 image windows header byte struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gemini_star/article/details/4708293
版权

紧跟着PE文件头的,是一个叫做PE可选头(Optional Header)的数据结构。这个数据结构被叫做可选头是因为某些PE格式文件,比如目标文件(.OBJ)没有这个数据结构。但是对于一个可执行文件或动态链接库来说,这个数据结构是必须的。可选头由4部分组成,

第一部分是一个PE可选头签名。通过检查这个签名,我们可以知道这是一个32位的可选头还是64位的可选头。我们现在只介绍32位的可选头。 对于32位的PE文件来说,这个签名是0x10b

紧跟签名的第二部分是一个标准COFF标准数据。再接下来的第三部分是Windows对COFF头所做的一些扩展。最后一部分是PE文件中一些重要数据结构(导入表,导出表等)的索引。

在WINNT.h中,我们可以看到这个可选头的C语法声明:

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

下面我们来看下这里最主要的几个字段。

Field

Description

Magic

一般 0x10b

SizeOfCode

段大

SizeOfInitializedData

初始化的数据大

SizeOfUninitializedData

未初始化数据大

AddressOfEntryPoint

程序入口点 .

BaseOfCode

段在文件中的起始位

 

Field

Description

ImageBase

文件基地址 ,必须 64K 对齐 . 假如应用程序被加载到这个地址,就不需要重定位了。

Win32VersionValue

Reserved, must be zero.

Subsystem

运行该程序需要的环境子系统

DllCharacteristics

DLL 属性

SizeOfStackReserve

默认堆栈大小

SizeOfHeapReserve

默认堆大小

NumberOfRvaAndSizes

数据目录表大小。(下一篇会描述)


环境子系统常量定义

Constant

Value

Description

IMAGE_SUBSYSTEM_UNKNOWN

  0

未知子系统

IMAGE_SUBSYSTEM_NATIVE

  1

Windows 驱动程序

IMAGE_SUBSYSTEM_WINDOWS_GUI

  2

WIN32 GUI

IMAGE_SUBSYSTEM_WINDOWS_CUI

  3

WIN32 控制台

IMAGE_SUBSYSTEM_POSIX_CUI

  7

POSIX

IMAGE_SUBSYSTEM_WINDOWS_CE_GUI

  9

Windows CE

IMAGE_SUBSYSTEM_XBOX

14

XBOX


gemini_star
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
笔记:PE结构(3)可选头解析*
Q324411601的博客
08-30 207
笔记:PE结构(3)可选头解析*
PE文件格式详解,第三讲,可选头文件格式,以及节表
weixin_30287169的博客
10-11 126
          PE文件格式详解,第三讲,可选头文件格式,以及节表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作用 typedefstruct_IMAGE_OPTIONAL_HEADER { WORD Magic;              ...
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 586
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
PE文件-文件
weixin_45012273的博客
11-06 154
文件格式 文件是NT的第二个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节表的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号表偏移 DWORD NumberOfSymbols; //5.
windows PE结构可选PE
最新发布
06-04
PE(Portable Executable)文件可选头部(Optional Header)位于PE部(PE Header)之后,它包含了一些可选信息,例如程序运行时需要的基本信息、PE文件的属性、数据目录等等。可选头部的结构如下: ``` typedef...
导入表在PE的DOS 部中还是在 PE 部 还是在可选头部?
06-04
导入表不在PE文件的DOS部中,而是在可选头部的数据目录中。可选头部中的数据目录是一个数组,它描述了PE文件中的许多数据结构,例如导入表、导出表、资源表等等。数据目录是一个描述表,每个条目都表示一个数据...
PE_header.rar_PE_pe文件修改
09-24
4. **可选头(Optional Header)**:这部分提供了更详细的关于PE文件的信息,如子系统类型(GUI或控制台)、文件特性、入口点地址、资源位置、导入和导出表等。 5. **节区表(Section Table)**:描述了文件中的...
学习PE文件
peterchilly的博客
03-31 398
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 表示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
PE文件和COFF文件格式分析——签名、COFF文件可选文件1
方亮的专栏
07-19 6429
本文将讨论PE文件中非常重要的一部分信息。(转载请指明来源于breakSoftware的CSDN博客)         首先说一下VC中对应的数据结构。“签名、COFF文件可选文件”这三部分信息组合在一起是一个叫IMAGE_NT_HEADERS的结构体。 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMA
可选头 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 236
//IMAGE_OPTIONAL_HEADER结构(可选映像) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
PE文件和COFF文件格式分析——签名、COFF文件可选文件3
方亮的专栏
08-31 2512
        《PE2》中介绍了一些可选文件中重要的属性,为了全面起见,本文将会讲解那些不是那么重要的属性。虽然不重要,但是还是可以发现很多好玩的情况。首先看一下32位的可选文件详细定义。(转载请指明来源于breaksoftware的CSDN博客) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields....
第三课 完善可选头(整个PE课程中最重要的一课)
xuenixiang.com
07-20 297
上一节课中我写好了_IMAGE_OPTIONAL_HEADER 的前10个成员,今天我接着来完善这个结构中最重要的两个成员,在学习第11个第12个成员之前我们先来认识一下PE磁盘文件与内存映像结构图。 做一个RVAtoRAW的转换练习(根据上节课讲的转换公式) RVA: (Relative Virtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地...
PE可选PEIMAGE_OPTIONAL_HEADER32/64 简(三)
想喝奶茶的胖大海
12-26 1098
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE中的第三部分,可选(扩展)PE,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
pe文件of映像文件
做一个快乐学习者
10-19 266
typedef struct _IMAGE_FILE_HEADER { USHORT Machine;//运行平台 USHORT NumberOfSections;//区段数量 ULONG TimeDateStamp;//文件创建时间 ULONG PointerToSymbolTable;//符号表指针 ULONG NumberOfSymbols;//符号表数量 USHORT SizeOfOpt...
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 1009
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
PE文件结构剖析---基本结构
For Geek
04-25 1194
PE简介 PE文件衍生于早期建立的COFF文件格式,EXE和DLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 PE加载器通过遍历PE文件决定哪一部分被映射。 磁盘上的数据结构布局和内存中的数据结构布局是一致...
滴水逆向第三期:PE解析_手动(1)
tscg_的博客
03-10 360
PE解析_手动
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值