PE 文件格之总体结构

最新推荐文章于 2024-10-26 11:00:56 发布
最新推荐文章于 2024-10-26 11:00:56 发布
阅读量777 收藏
点赞数
分类专栏: windows 文章标签: PE 文件格 windows Windows WINDOWS WIndows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he702477275/article/details/8472873
版权
PE 文件格,也可以直接说,是可执行文件。也就是大家熟悉的exe、dll、ocx等类型的文件。(当然,并不是所有此类型的都是PE文件)。
Function NtCreateSection creates Section Object (virtual memory block with associated file),pe文件就是使用这个API来,分配虚拟内存块。
PE分三大块
一、Dos头,主要用于兼容Dos程序。
二、PE头,用于记录,文件相关信息

三、结点,用于记录结点的信息。



1、DOS头,DOS程序,为了兼容dos程序。

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;//魔术字, 50 45 00 00("PE",0x00004550)
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;


typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;//程序类型,X86、Intel Itanium、X64
    WORD    NumberOfSections;//节点的个数,与下面“三”相关
    DWORD   TimeDateStamp;//程序被链接器创建时的时间,This represents the date and time the image was created by the linker
    DWORD   PointerToSymbolTable;//符号表偏移
    DWORD   NumberOfSymbols;//符号表个数
    WORD    SizeOfOptionalHeader;//IMAGE_OPTIONAL_HEADER结构体的大小,一般在X86是224
    WORD    Characteristics;//文件类型,是exe、dll、systemfile等,
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;


typedef struct _IMAGE_OPTIONAL_HEADER {
    // Standard fields.
    WORD    Magic;//文件只读或可运行
    BYTE    MajorLinkerVersion;//版本,大号
    BYTE    MinorLinkerVersion;//版本,小号
    DWORD   SizeOfCode;//段中,代码的长度(大小)
    DWORD   SizeOfInitializedData;//已初始化的数据
    DWORD   SizeOfUninitializedData;//未初如化数据(与已初始化的区别,在磁盘文件中没有对应的数据,但具有大小,当分配内存时,依然会分配,并将其置0,所以,未初始化的全局或静态变量,会是0,这只是其中一种方式,还会有其它的方式,待研究...)
    DWORD   AddressOfEntryPoint;//程序的入口地址(偏移地址,相对ImageBase)
    DWORD   BaseOfCode;//代码段的基址,(偏移地址,相对ImageBase)
    DWORD   BaseOfData;//数据段的基址,(偏移地址,相对ImageBase)
    // NT additional fields.
    DWORD   ImageBase;//虚拟内存的地址,(并不完全固定,有可能会由于冲突而重定向)
    DWORD   SectionAlignment;//节对齐(在内存内),一定会大于等于FileAlignment,一个节点位置(相对)、大小,必须是这个数的倍数。
    DWORD   FileAlignment;//文件对齐,同上
    WORD    MajorOperatingSystemVersion;//运行系统最大要求
    WORD    MinorOperatingSystemVersion;//运行系统最要求
    WORD    MajorImageVersion;//映象文件主版本号
    WORD    MinorImageVersion;//映象文件次版本号
    WORD    MajorSubsystemVersion;//子系统主版本
    WORD    MinorSubsystemVersion;//子系统次版本
    DWORD   Win32VersionValue;//必须为0,(不知何用,求解)
    DWORD   SizeOfImage;//映像大小,虚拟内存大小
    DWORD   SizeOfHeaders;//这个PE头的大小,也就是此PE头这个段的大小
    DWORD   CheckSum;
    WORD    Subsystem;//The subsystem required to run this image,子系统要求,GUI、CUI and so on;(GUI  Graphical user interface图形用户接口,CUI Command user interface)
    WORD    DllCharacteristics;//属性
    DWORD   SizeOfStackReserve;//保留栈大小
    DWORD   SizeOfStackCommit;//初始化栈大小
    DWORD   SizeOfHeapReserve;//保留堆大小
    DWORD   SizeOfHeapCommit;//初始化栈大小
    DWORD   LoaderFlags;//已过时
    DWORD   NumberOfRvaAndSizes;//下面结构的个数
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
分别为:
0  Export Table //导出表
1  Import Table //导入表
2  Resource Table//资源表
3  Exception Table //异常表
4  Certificate File//证书表,数字验证等
5  Relocation Table//重定位表
6  Debug Data //调试表
7  Architecture Data 
8  Global Ptr 
9  TLS Table
10 Load Config Table
11 Bound Import Table 
12 Import Address Table a
13 Delay Import Descriptor 
14 COM+/CLI Header
15 Reserved = 00000000//全0,结束标志
   Reserved = 00000000

3、节点表
这个表的个数:IMAGE_FILE_HEADER.NumberOfSections,见上。 
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];//名字,8字节长度,例如:".text" 、".data"、".rsrc"等
    union {
            DWORD   PhysicalAddress;//物理地址
            DWORD   VirtualSize;//大小
    } Misc;
    DWORD   VirtualAddress;//RVA
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;//属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

以上是PE结构示意。


之后,会着重分析,导入表、导出表、资源表等

我的PE文件分析:http://download.csdn.net/download/he702477275/4968971

he702477275
关注
专栏目录
【数据挖掘】关联分析基本概念与术语
自律带来自由
06-15 2138
本文介绍数据挖掘中关联分析的基本概念与基本术语。 基本概念与术语 1. 事务: 一条数据也叫一条事务(transaction),数据的ID即事务的ID,简写为TID,6-1是购物篮事务的例子,可以理解为顾客的购物记录。 2. 二元示 (这个术语暂时不理解也没关系) 如6-2所示,每行对应一个事务,每一列对应一个项。 项用二元变量示:如果项在事务中出现,则它的值是1,否则为0。 因为通常认...
MySQL——事务(Transaction)详解
热门推荐
浅然的专栏
03-23 23万+
该博客详解MySQL中的事务 一、事务定义 Transaction 事务:一个最小的不可再分的工作单元;通常一个事务对应一个完整的业务(例如银行账户转账业务,该业务就是一个最小的工作单元) 一个完整的业务需要批量的DML(insert、update、delete)语句共同联合完成 事务只和DML语句有关,或者说DML语句才有事务。这个和业务逻辑有关,业务逻辑不同,DML语句的个数不同...
事务结构大小探究
blockheading的博客
10-18 383
数据块最前有一个开销空间,这里会存放该块的一个事务。对于锁定了该块中某些数据的各个事务,在这个事务里都有一个相对应的条目。事务结构大小由创建对象时CREATE语句参数决定 INITRANS:结构初始的预分配大小。对于索引和默认为2EODA@PROD1> create table t( x int primary key, y varchar2(4000)); Table created
PE文件结构详解(非常详细)
zhaotianff的专栏
08-31 1490
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
pe文件结构
2303_81165358的博客
07-29 1091
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件式。
2.1 PE结构文件映射进内存
CSDN
09-04 4399
PE结构是`Windows`系统下最常用的可执行文件式,理解PE文件式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,在任何一款操作系统中,可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的,在早期DOS操作系统中,是以COM文件式存储的,该文件式限制了只能使用代码段,堆栈寻址也被限制在了64KB的段中,由于PC芯片的快速发展这种文件式极大的制约了软件的发展。
PE文件结构
c630843901的博客
04-28 690
文章目录DOS头PE头区段区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOS头 DOS
PE解释器之PE文件结构
SXXYNHHXX的博客
01-01 1148
五:IMAGE_OPTIONAL_HEADER32。二:IMAGE_DOS_STUB (了解)一:IMGAGE_DOS_HEADER。
二进制菜鸟之PE文件结构
Blood_Pupil的博客
08-22 2233
所谓PE文件就是可执行文件在硬盘中存储是的文件示,Windows中可执行文件文件示的发展途径为com->LE(Linerar executable)->PE(Portable Executable File Formate)。操作系统识别可执行文件的方法是依赖于文件头而不是文件扩展名,如果当前文件式不符合任何已定义文件式则将其按照COM文件式装入即将整个文件的数据当做代...
PE文件结构详解
08-25
PE文件的整体结构可以分为四个主要部分:节、节体、DOS头和PE头。节PE文件的核心部分,包含了可执行文件的主要信息,例如入口点、代码段、数据段等。节体是PE文件的实际数据部分,包含了可执行文件的机器代码...
PE文件数据结构
02-09
#### 二、PE文件总体结构 PE文件由多个部分组成,主要包括: 1. **IMAGE_DOS_HEADER**:这是PE文件的第一个部分,大小固定为64字节。它的主要作用是兼容旧的操作系统,并且包含了一个指针,指向PE文件头(IMAGE_...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6597
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE式解析-区段及导入结构详解:https://blog.csdn.net/qq_30145355/article/d...
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
windows 可执行文件分析
he702477275的专栏
01-06 2052
windows可执行文件是什么? 是具有PE文件特性的文件,例如:.exe、dll、ocx等文件。 注:(这里只是让大家能明了一些,其实,可执行与否,和后缀没有什么关系,后缀只是windows方便管理用的)。 如:在xp sp3上,你双击或右键打开一个可执行文件时。并不是那个可执行文件自动执行的。它并不存在自动运行能力。而仅仅是,调用了CreateProcessW函数来启动这个可执行文件
PE 文件之导入导出
he702477275的专栏
01-08 1424
PE 文件之导入导出 先将源码贴上: #include #include "windows.h" BOOL DirInSecton(PIMAGE_DATA_DIRECTORY ndir,PIMAGE_SECTION_HEADER nsection) { if(ndir->VirtualAddress>=nsection->VirtualAddress&&ndir->Virtua
类的多个继承
he702477275的专栏
12-14 947
先看一段代码 #include class A { public: virtual void PrintA() { printf("A\n"); }; virtual void PrintAA() { printf("AA\n"); }; }; class B { public: virtual void PrintB() { printf("B\n"); } };
PE 文件之资源
he702477275的专栏
01-08 712
PE 文件之资源,是一个三级结构。 代码先放上: #include "stdio.h" #include "windows.h" void GetDataAnd(DWORD RVA,int size,int type)//解析特定类型,自己添加 { } BOOL GetResour(DWORD nResoure,DWORD npose,DWORD nrfile,HANDLE file,i
【Android】Kotlin教程(3)
最新发布
LeGuan_Ha的博客
10-26 879
Kotlin中提供了各种Array,虽然是引用类型,但是可以编译成Java基本数据类型。通过setOf创建set集合,使用elementAt函数读取集合中的元素。在Kotlin中,支持内容修改的列叫可变列,要创建可变列,可以使用。通过MutableSetOf创建可变的set集合。函数动态实现只读列和可变列的相互转换。使用 with 和 apply 函数。通过_符号过滤不想要的元素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值