PE结构解析

最新推荐文章于 2023-05-18 22:40:47 发布
VIP文章 最新推荐文章于 2023-05-18 22:40:47 发布
阅读量2.8w 收藏 5
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello_mydream/article/details/106648617
版权

一. DOS头

原来为DOS系统使用,现在只需要记住如下两项。

1、DOC头:						
						
WORD   e_magic                *				"MZ标记" 用于判断是否为可执行文件.		
DWORD  e_lfanew;              *				PE头相对于文件的偏移,用于定位PE文件

 

如上图所示,DOS头一共40H个字节,即64个字节。

结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字节是可以修改的。

 

二. NT头

NT头中包括了标准PE头和可选PE头。

struct _IMAGE_NT_HEADERS {
0x00 DWORD Signature;  //E8的位置,也就是DOS头中e_lfanew指向的位置。
0x04 _IMAGE_FILE_HEADER FileHeader;
0x18 _IMAGE_OPTIONAL_HEADER OptionalHeader;
};

 

三. 标准PE头

标准PE头一共20个字节。

						
2、标准PE头:						
						
WORD    Machine;              *        程序运行的CPU型号:0x0 任何处理器/0x14C 386及后续处理器		
WORD    NumberOfSections;     *        文件中存在的节的总数,如果要新增节或者合并节 就要修改这个值.		
DWORD   TimeDateStamp;        *        时间戳:文件的创建时间(和操作系统的创建时间无关),编译器填写的.		
DWORD   PointerToSymbolTable; 						
DWORD   NumberOfSymbols; 						
WORD    SizeOfOptionalHeader; *        可选PE头的大小,32位PE文件默认E0h 64位PE文件默认为F0h  大小可以自定义.		
WORD    Characteristics;      *        每个位有不同的含义,可执行文件值为10F 即0 1 2 3 8位置1

将可以修改的位置改为F

如果Machine清零会提示版本过低,无法在此电脑上运行。 

NumberOfSections:清零或者改为不正确的值仍然无法运行。

SizeOfOptionalHeader,Characteristics均不可清零。

Characteristics 每个位有不同的含义,可执行文件值为10F 即0 1 2 3 8位置1。

(此表只描述了15位的信息。不确定是否16位全部表示信息。)

 

用鼠标选中的部分就是标准PE头,一共20个字节。打开的这个软件的标准PE头的位置和前一个就不同了,DOS的末尾将指向了100H这个位置。

最低0.47元/天 解锁文章
Hello_MyDream
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改文件版本信息PE文件版本信息、资源Version)
tiewen的专栏
04-14 1万+
修改PE文件版本信息(简单演示)
手动修改PE文件:修改节表
当我在写代码的时候我在写什么
11-06 3957
目前想到的关于修改节表就是新增节和节表移位,其它的改节的读写什么的就改个Flag而已就不说了。以后有新的想法再添加。 1.新增节 现在很多解析PE格式的软件都有添加节的功能,具体代码怎么写,下面就说一下。PE格式结构排布顺序是这样:Dos->DosStub->NT->节表->Padding->节内容。 在节表之后因为文件对齐的关系,可能会多出一段00,这一段00就可以用来
PE结构详解11-系统篇-第十一讲-解密系列.zip_PE结构详解_pe
09-24
PE结构详解11-系统篇-第十一讲-解密系列来自鱼c论坛,主要介绍什么是PE,如何制作PE程序
PE文件结构——NT Headers
QXinHan的博客
05-18 357
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择,它一共有31个成员而64位的可选择有30个成员。7.SizeOfHaeders:所有的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
PE文件学习笔记
vurtual的博客
03-14 148
PE的DOC里面最后一个字节的数字-e8表示文件开开始过E8个字节是文件真正开始的地方–PE.注意e8不是一定的. 1 DOC: WORD e_magic “MZ标记”用于判断是否可执行文件 DWORD e_lfanew PE相对于文件的偏移,用于定位PE文件 2 标准PE: WORD Machine 程序运行的CPU型号:0x0任何处理器/0x14C 386及后续处理器 WORD NumberOfSections 文件存在的节的总数,如果要新增或者合并节,要修改这个值 DW
PE解析(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
weixin_62513694的博客
03-16 271
PE解析,内附代码(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
修改PE文件版本信息(简单演示)
无常之语,无心之果(by 僵哥)
10-14 5082
struct VS_VERSIONINFO {  WORD  wLength;  WORD  wValueLength;  WORD  wType;  WCHAR szKey[];  WORD  Padding1[];  VS_FIXEDFILEINFO Value;   WORD  Padding2[];   WORD  Children[]; };
PE结构
weixin_43923736的博客
08-14 192
PE文件在ollydbg中每个变量的意义: 00h WORD Magic; //幻数,32位pe文件总为010bh 02h BYTE MajorLinkerVersion; //连接器主版本号 03h BYTE MinorLinkerVersion; //连接器副版本号 04h DWORD SizeOfCode; ...
PE文件资源解析(九)版本信息资源的解析
老狼的专栏
04-22 1007
版本信息资源,在这里指的是资源类型为RT_VERSION的资源信息。通过ResHacker看到的效果图如下: 版本信息资源存储编码格式是UNICODE,解析代码如下: HRSRC hResrc = ::FindResourceEx((HMODULE)hModule, lpType, lpName, wLanguage); DWORD dwSize = ::SizeofResource...
PE结构详解1
06-19
PE结构
PE结构详解.txt可快速理解PE结构
08-13
PE结构详解
小甲鱼PE结构详解课件.pdf
05-03
这是小甲鱼老师的讲课课件,详细介绍了PE结构,手把手教你!非常适合新手学习,简单易懂,大家可以结合B站的网课进行学习,多多支持小甲鱼老师!
PE文件结构详解
08-25
主要介绍了PE文件结构详解,需要的朋友可以参考下
浮点数存储原理
热门推荐
Hello_MyDream的博客
06-05 2万+
一. 将一个float型转化为内存存储格式的步骤为: 1、先将这个实数的绝对值化为二进制格式 2、将这个二进制格式实数的小数点左移或右移n位,直到小数点移动到第一个有效数字的右边。 3、从小数点右边第一位开始数出二十三位数字放入第22到第0位。 4、如果实数是正的,则在第31位放入“0”,否则放入“1”。 5、如果n 是左移得到的,说明指数是正的,第30位放入“1”。如果n是右移得到的或n=0,则第30位放入“0”。 6、如果n是左移得到的,则将n减去1后化为二进制,并在左边加“0”补足七位,.
C++逆向基础与正向比较——Virtual关键字、虚函数表以及动态绑定的实现
Hello_MyDream的博客
06-16 2万+
添加Virtual后会多出四个字节,位于结构体的首地址。这个指针是虚函数表指针(vptr / 虚表指针),指向了虚函数表的开始位置;对虚函数表继续寻址,就可以得到虚函数指针了。可以看出,结构体首地址的指针为三级指针。 在vptr指向的位置维护了一个数组,即虚函数表,里面保存了当前类内所有虚函数的地址。 这里找来一张图可以参考一下: 使用指针来调用一下函数: #define _CRT_SECURE_NO_WARNINGS #include <iostream> using name
C语言参数传递——数据与内存宽度
Hello_MyDream的博客
06-05 2万+
如下图所示,将参数定义为char类型并不会节省空间,依然会按照4字节压栈传参。最后一行的堆栈平衡也很明显的。
C基础反汇编
Hello_MyDream的博客
06-07 2万+
switch switch性能高于if语句的原因在于在case值较为连续的时候会生成值连续的大表,用switch的参数减去第一个最小的case值,和最大值进行比较,小于等于的话在表的范围内寻址即可[ecx*4+0F44D04h]。牺牲内存空间,提升效率,以空间换时间。有时间隔较大的还需要生成小表来记录大表的偏移量,省去大表的许多数据。小表记录偏移量的最大值为FF。 int main(int argc, char *argv[]) { switch (1) { case 1: printf(.
汇编学习 (二)
Hello_MyDream的博客
06-03 2万+
一. 改变EIP的三种方式 1. jmp:改变EIP的值。 2. call:需要在要跳转的位置点击F12设置断点;会将下一行将要执行指令的地址(计算出来的)压栈,以便返回。 最大区别:会改变ESP(栈顶)。 3. 与TERN(TER)组合使用:TERN返回要执行的那一行,。POP执行后栈地址会+4,相当于POP EIP,让刚才栈中保存的地址出栈。 二. 比较指令 1. CMP指令: 该指令是比较两个操作数,实际上,它相当于SUB指令,但是相减的结构并不保存到第一个操作数中。 只..
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI中的相关函数,我们可以打开并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值