基于PEview分析PE文件(4-2)

最新推荐文章于 2021-06-23 08:17:24 发布
最新推荐文章于 2021-06-23 08:17:24 发布
阅读量3.8k 收藏 26
点赞数 4
分类专栏: 《WINDOWS黑客编程技术详解注》 文章标签: PEview PE文件格式 IMAGE_DOS_HEADER头 MS-DOS stub Program DOS块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hou09tian/article/details/100404142
版权

3 PE文件的DOS头

在VS2015中,新建一个控制台程序,不输入任何代码,编译生成exe文件,该exe文件就是一个PE文件。

3.1 通过PEview查看PE文件格式

通过PEview.exe打开该exe文件,如图3所示。

 

图3PEview查看PE文件

从图3中可以看到,左侧的树形控件显示了PE文件的格式,而右侧则显示的是PE文件的头部和数据的具体内容。

3.2 DOS头

PE文件头部中的DOS头分为MZ文件头和DOS块,如图3所示,分别对应的是IMAGE_DOS_HEADER和MS-DOS Stub Program。

3.2.1 IMAGE_DOS_HEADER头

IMAGE_DOS_HEADER头的大小是64个字节,如图4所示。

 

图4 IMAGE_DS_HEADE头数据

其中,前两个字节0x4D和0x5A,是字母“M”和“Z”的ASCII码,是MS-DOS设计者Mark Zbikowski的姓名缩写。最后四个字节,表示下一个头部,即NT头的偏移地址,从图4中可以看到,该值是0x000000E8,即NT头的起始地址是0x000000E8。这两个标志之间的是PE文件在MS-DOS环境下运行时所需要的一些参数,在图3所示的界面中,点击左侧树形控件中的“IMAGE_DOS_HEADER”,在右侧既可以看到这些参数的具体值,如图5所示。

 

图5 IMAGE_DOS_HEADER参数值

3.2.2 DOS块

DOS块跟在IMAGE_DOS_HEADER后面,如图3所示。其中,“MS-DOS stub Program”即为DOS块。从字面上理解,DOS块是一个在DOS环境下可以运行的程序,在图3所示的界面中点击左侧的“MS-DOS stub Program”,则会在右侧显示该程序的数据,如图6所示。

 

图6 MS-DOS stub Program头

从图6可以看出,“MS-DOS stub Program”中包含了一个字符串,当PE文件在DOS环境下运行时,就会显示该字符串,即“This program cannot be run in DOS mode”,来提示用户PE程序必须在Windows下才能运行。

棉猴
关注
专栏目录
C++ 软件常用分析工具及项目实战问题分析案例集锦
dvlinker的技术专栏
01-06 1万+
本文详细介绍分析C++软件问题的分析工具,以及使用这些工具分析问题的案例集锦。
使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题
dvlinker的技术专栏
12-21 9360
详细讲述如何使用PE信息查看工具和Beyond Compare文件比较工具排查dll文件版本不对的问题。
PEVIEWER
08-13
PEVIEWER 查看器
【逆向】【PE入门】使用PEView分析PE文件
热门推荐
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOSIMAGE_DOS_HEADER是干嘛的? DOS是干嘛的? 什么是NT? Signatrue? IMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER? section? 1.找到 NT 的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1ViewPEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
一个查看PE文件内容的小工具——CliPeViewer
weixin_34306676的博客
01-08 1396
一个查看PE文件内容的小工具——CliPeViewer 本文地址:http://www.cnblogs.com/AndersLiu/archive/2009/04/18/cli-pe-viewer-release-1.html 作者:Anders Liu 猛击此链接,下载CliPeViewer:http://files.cnblogs.com/AndersLiu/CliPeV...
peviewer:一个简单的单页Web应用程序,用于查看PE(便携式可执行文件文件的内容
05-12
PE查看器 PE Viewer是一个简单的单页Web应用程序,用于查看PE(便携式可执行文件文件的内容,该文件是Windows操作系统和Mi​​crosoft .NET上的可执行文件。 访问以访问此工具。 该项目仅用于托管单页应用程序,有关任何错误报告和建议,请访问
基于PEview分析PE文件(4-4)
hou09tian的博客
09-03 1288
5 节(section) 从图3可以看出,PE文件的NT之后就是节(section),每个节的大小是40字节。在“4.2 IMAGE_FILE_HEADER”中提到,本PE文件包含9个节,可以从图3中找到这9个节对应的节。表1列出了各节的对应节的内容。 ...
HTML查看器PC,PE文件查看器(PeViewer)
weixin_39668965的博客
06-23 871
PE文件查看器(PeViewer)官方版是一款实用性非常强的的PE文件查看类软件。用户使用PE文件查看器(PeViewer)最新版可以随时查看电脑中的DLL文件,并且还能对数据目录进行导入和导出。PE文件查看器(PeViewer)官方版的右键支持更多的操作,还可以对任何进程的一符合PE结构的内存进行分析。相似软件版本说明软件地址0.97.4 官方版查看2.3 官方版查看0.41 最新版查看5....
PEviewer.zipPEviewPEview
08-04
PEviewPEviewPEviewPEviewPEview
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
peview.exe
12-27
一款可以用来查看pe的工具,可以在windows 下查看pe
PEview.exe
05-21
PEview查看32位可移植可执行(PE)和组件对象文件格式(COFF)文件的结构和内容,提供了一种快速简便的方法。这家PE / COFF文件查看器显示标题,章节,目录,导入表,导出表,内部信息和资源的EXE,DLL,OBJ,LIB,DBG,和其他文件类型。
PEview(Windows).zip
08-13
中文版的-------------查看dll和lib等库文件peview.exe工具是一款可以进行PE文件解析的强大PE文件解析工具,如果想进行pe文件解析不如下载这款最为方便并强大的peview.exe文件
Mysoo站内搜索 v10 Peview_mysoo-10-previewwar毕业设计—(包含完整源码可运行).rar
04-23
这意味着Mysoo站内搜索系统是基于Java技术栈构建的,可能使用了Spring框架、Hibernate持久化层或者其他的Java EE组件。 从技术角度来看,这个系统可能包含以下关键知识点: 1. **Java编程**:Mysoo站内搜索的核心...
PeView 命令行版PE文件解析工具
最新发布
07-16
PeView 是一款基于C/C++开发的命令行版PE文件解析工具,专门用于解析Windows可执行文件并提供详尽的文件结构和交互式查询功能,帮助用户理解和分析目标程序的内部构成,是逆向分析和软件调试中的重要工具,本次分享...
分析工具(StudPEPEview,apateDNS等)
08-09
其次,PEview也是一款知名的PE文件分析工具,它能够快速提供关于PE文件的详细信息,包括文件、节区、导入和导出函数、资源等。通过简洁的界面,用户可以一目了然地看到程序的基本结构和依赖项,这在分析未知或潜在...
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1ViewPEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
新完成的PE viewer
草原Song
06-04 1226
    一直以来对PE文件算是比较熟悉了,但是不写一个PE工具是无法达到熟练的地步的,于是就写了这个小东西,PE分析工具,使用Delphi编写,刚开始使用Filestream就行读文件,后来一想这不是使用内存映射文件的最好时候吗!汗,这才有了突破!
PE文件结构详解:Characteristics字段与PE
"这篇文档详细介绍了PE文件结构中的Characteristics字段,这是PE文件的一...此外,存在各种PE分析工具,如PEView、OllyDbg等,可以帮助开发者和逆向工程师可视化和分析PE文件的内部结构,以便于调试、优化或安全分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值