PE文件详解(一)

最新推荐文章于 2024-08-31 23:01:31 发布
最新推荐文章于 2024-08-31 23:01:31 发布
阅读量659 收藏 3
点赞数 1
文章标签: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hercs/article/details/79462833
版权

结构

IMAGE_DOS_HEADER(MS-DOS)

IMAGE_NT_HEADER(PE文件头

SignaturePE

IMAGE_FILE_HEADER

IMAGE_OPTIONAL_HEADER32

IMAGE_SECTION_HEADER(区段表)

SECTIONS(区段)

 

各部分常用关键字段

MAGE_DOS_HEADER(DOS)

0x3C  e_lfanew PE    文件头偏移

IMAGE_FILE_HEADER

0x06 NumberOfSections    区段数量

0x14 SizeOfOptionalHeader    扩展头大小

0x16 Characteristics    PE文件属性

IMAGE_SECTION_HEADER

0x28 AddressOfEntryPoint    程序执行入口RVA

0x2C BaseOfCode    代码段起始RVA

0x30 BaseOfData    数据段起始RVA

0x34 ImageBase    程序默认载入基址(0x400000

0x38 SectionAlignment    内存中的段对齐值

0x3C FileAlignment    文件中的段对齐值

0x50 SizeOfImage     内存中PE文件映像总尺寸

0x58 SizeOfHeaders    各个文件头的总尺寸

0x74 NumberOfRvaAndSizes    数据目录表数量(0x10=16

0x78 IMAGE_DATA_DIRECTORY DataDirectory[0x10]

数据目录表

IMAGE_SECTION_HEADER

0x00 BYTE Name[0x8]    区段名

0x08 VirtualSize    该区段在内存中的大小

VirtualAddress    区段在内存中的RVA

SizeOfRawData    区段在文件(磁盘)中的大小

PointerToRawData     区段在文件中的偏移

Characteristics    区段属性

PE文件加载

PE文件磁盘中和在内存中是不一样的,关系如图


                                 

 

由于不论在内存中还是在磁盘中内存中块表后面为了按照段对齐而填充了0,在添加区段的时候可以直接在该处添加区段头,不会影响后面部分的RVA或者文件偏移.         

hercs
关注
PE文件结构详解(一)基本概念
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
深入剖析PE文件,PE文件详解
12-20
认识可执行文件的结构非常重要,在DOS下是这样,在Windows系统下更是如此。了解了这种结构后就可以对可执行程序进行加密、加壳和修改等,一些黑客也利用了这些技术。为了使读者对PE文件格式有进一步的认识,
PE文件结构详解(非常详细)
最新发布
zhaotianff的专栏
08-31 1528
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
收藏.PE文件详解
_CHRYTHON
10-08 1504
PE文件分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER(其中包含Data Direcotry) 文件后紧跟着为 Section Table (array of IMAGE_SECTION_HEADERs)
PE文件详解(六)
Masimaro的专栏
03-21 3082
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以找到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
深入剖析PE文件
lwglucky的专栏
03-15 5767
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
**Windows PE文件格式详解** Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统中的可执行文件格式,用于存储编译后的程序代码、数据和元数据。PE文件是Windows平台的核心组成部分,包括.exe...
PE文件结构详解
08-25
PE文件结构详解 PE文件结构是Windows平台上可执行文件标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOSPE、节表和节体。 PE文件的结构 PE文件结构可以...
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File Format(可移植文件)的简写,我们比较熟悉的DLL和exe文件都是PE文件。了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面...
57.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)1
08-04
【网络安全自学篇】PE文件逆向之什么是数字签名及Signtool签名工具详解(一) 在计算机安全领域,数字签名是验证软件来源可靠性和完整性的关键机制。它是一种电子形式的签名,通过加密算法确保软件未经篡改且由可信...
PE文件格式详解
03-23
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。  然而这...
PE文件详解-附图,具体
11-30
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了 --------------------- 作者:evileagle
详解PE文件
Wolf_xujie的博客
04-06 622
笔者在某安全公司实习,第一天被要求了解PE结构,好吧,因为基础不扎实,经过一天的时间了解的啥都不是,,,受到了导师的特殊关照,推荐了我一本没推荐给别人的书--Windows32位汇编程序(罗云彬著)嘿嘿,匿名感谢导师,,,清明三天的PE之旅。 1.1PE文件的结构 pe就是在windows下最常用的可执行文件格式,在pe文件中代码,已经初始化的数据,资源和重定位信息等数据被按照属性分类放在不同...
PE格式详解讲解1
Masimaro的专栏
03-13 695
这篇文章主要转载自小甲鱼的加密解密部分,然后补充加上我自己的少许内容,原文地址–>传送门 下面的内容主要是围绕这个图来进行 MS-DOS部这个部是为了兼容早期的DOS系统,PE文件的第一个字节起始于一个传统的MS-DOS,被称为IMAGE_DOS_HEADER,这个结构体完整的定义如下:(注:最左边是文件的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WO
PE文件详解-----PE文件的简介
bobopeng
11-19 1698
一.PE文件的背景介绍  如今的编程绝大部分都是建立在操作系统上的程序设计,那么深入理解操作系统对于一个程序员来说是至关重要的。当我们运行一个程序,这个程序从编写到运行到第发生了一些什么呢?了解这些对于优化程序性能,深入理解编程,底层编程,安全编程都是需要熟练掌握的。其中涉及到的主题有虚拟内存管理、寻址方式、虚拟文件系统、多线程、进程通信、进程地址空间等等。那么这些跟PE文件有什么关系呢?实
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 2118
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件的相对偏移(RVA),指向真正的PE文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件结构详解精华(从看下去就能大概了解PE文件结构了)
热门推荐
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件PE,Portable...
Windows PE文件格式详解
"PE文件结构-PE文件格式" 在个人计算机系统中,特别是Windows操作系统上,可执行文件的格式至关重要。PE(Portable Executable)文件格式是微软为Win32平台设计的一种标准,用于存放应用程序的机器代码和数据。本文...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值