基于PEview分析PE文件(4-3)

最新推荐文章于 2024-09-23 11:05:56 发布
最新推荐文章于 2024-09-23 11:05:56 发布
阅读量988 收藏 6
点赞数
分类专栏: 《WINDOWS黑客编程技术详解注》 文章标签: PEview PE文件格式 NT头 Signatrue IMAGE_FILE_HEADER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hou09tian/article/details/100515173
版权

4 PE的NT头

点击PEview左侧树形控件中的“IMAGE_NT_HEADERS”左侧的“+”,展开NT头结构,如图7所示。

 

图7 NT头结构

从图7中可以看到,NT头包括Signatrue、IMAGE_FILE_HEADER和IMAGE_OPTIONAL_HEADER三部分。

4.1 Signatrue

在图7中,选中“Signatrue”,在右侧显示了该部分的内容,如图8所示。

 

图8 Signatrue的值

从图8可以看出,Signatrue共4个字节,其值为0x00004550,即为字符串“PE”,因此Signatrue也叫做PE文件的文件签名,标志该文件的类型为PE。

4.2 IMAGE_FILE_HEADER

单击图7中的“IMAGE_FILE_HEADER”,在右侧可以看到该部分的内容,如图9所示。

 

图9 IMAGE_FILE_HEADER内容

从图9中可以看出,IMAGE_FILE_HEADER部分共20字节。其中0x000000EC-0x000000ED,这两个字节表示机器类型,用于标识CPU的类型,0x014C表示CPU为Intel 386或后继处理器及其兼容处理器;0x000000EE-0x000000EF表示节的数目,0x0009表示本应用程序有9个节(section),从图3左侧中可以看出,本应用程序确实有9个节(section);0x000000F4-0x000000FB这8个字节已经不再使用,因此将这8个字节都设置为0;0x000000FC-0x000000FD,这两个字节是IMAGE_OPTIONAL_HEADER,即NT头的第三部分的大小,其值为0x00E0;0x000000FE-0x000000FF,这两个字节指定了文件特征值,其值为0x0102,其16位的含义均不同。

4.3 IMAGE_OPTIONAL_HEADER

单击图7中的“IMAGE_OPTIONAL_HEADER”,在右侧可以看到该部分的内容,如图10所示。

 

图10 IMAGE_OPTIONAL_HEADER内容

从图10中可以看出,IMAGE_OPTIONAL_HEADER头由两部分组成,分别是0x0000012E-0x0000015F的参数部分和0x00000160-0x000001DF的数据目录部分。其中参数部分包含了产生该PE文件的连接器版本号、代码基地址、数据基地址、镜像基地址等信息;数据目录部分包含了导出表、导入目录表、资源表等地址和大小。

棉猴
关注
专栏目录
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1ViewPEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
PEview.
08-03
PEview用于查看二进制软件或程序。非常方便
基于PEview分析PE文件(4-4)
hou09tian的博客
09-03 1316
5 (section) 从图3可以看出,PE文件NT之后就是(section),每个的大小是40字。在“4.2 IMAGE_FILE_HEADER”中提到,本PE文件包含9个,可以从图3中找到这9个对应的。表1列出了各的对应的内容。 ...
深入剖析PE文件格式PEViewer使用指南
最新发布
weixin_35835030的博客
09-23 963
本文还有配套的精品资源,点击获取 简介:PEViewer是一款分析PE文件结构的工具,有助于深入理解Windows程序的工作原理。本简介探讨PE文件格式的核心组成部分,包括DOSNT、导入表、导出表、资源表、异常处理和线程局部存储、重定位及调试信息。尽管PEViewer项目可能尚未完成,但它依然是学习PE格式的有价值资源。 1. PE文件格式概述 ...
基于PEview分析PE文件(4-1)
hou09tian的博客
09-02 2587
1 PE文件 1.1 PE文件简介 PE文件是Portable Executable(可移植的可执行文件)的简写。EXE、DLL、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件。 1.2 PE文件格式 PE文件都有相同的格式,其格式如图1所示。 图1 PE文件格式 从图1可以看出,PE文件主要包含和数据部分,其中可以将部看作是数据的索引。而...
【逆向】【PE入门】使用PEView分析PE文件
热门推荐
lanlanla的成长历程
01-08 1万+
目录 什么是PE? 什么是PEView? 分析PE文件 什么是DOSIMAGE_DOS_HEADER是干嘛的? DOS块是干嘛的? 什么是NTSignatrueIMAGE_FILE_HEADERIMAGE_OPTIONAL_HEADER? section? 1.找到 NT 的起始偏移地址、结束地址? 什么是PE? 参考博客:htt...
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
Mysoo站内搜索 v10 Peview_mysoo-10-previewwar毕业设计—(包含完整源码可运行).rar
04-23
这意味着Mysoo站内搜索系统是基于Java技术栈构建的,可能使用了Spring框架、Hibernate持久化层或者其他的Java EE组件。 从技术角度来看,这个系统可能包含以下关键知识点: 1. **Java编程**:Mysoo站内搜索的核心...
PeView 命令行版PE文件解析工具
07-16
PeView 是一款基于C/C++开发的命令行版PE文件解析工具,专门用于解析Windows可执行文件并提供详尽的文件结构和交互式查询功能,帮助用户理解和分析目标程序的内部构成,是逆向分析和软件调试中的重要工具,本次分享...
PEInfo工具:深入分析PE文件及其基本功能
常见的PE文件分析工具有Peview、CFF Explorer、PEDump等。 知识点四:MFC实现 MFC(Microsoft Foundation Classes)是一个C++库,用于简化Windows平台上的应用程序开发。MFC封装了大量的Windows API,提供了一系列...
分析工具(StudPEPEview,apateDNS等)
08-09
其次,PEview也是一款知名的PE文件分析工具,它能够快速提供关于PE文件的详细信息,包括文件区、导入和导出函数、资源等。通过简洁的界面,用户可以一目了然地看到程序的基本结构和依赖项,这在分析未知或潜在...
PEView可以查看PE文件格式
04-19
支持PE格式的查看,喜欢破解exe的人有福气了
VC 解析PE导出表 导入表
01-16
VC做的一个SDI程序,模仿DEPENDS的部分功能,查看导出表,导入表
PEview v0.67
11-21
PEview v0.67, made by Wayne J. Radburn. To view the structure and content of 32-bit Portable Executable (PE) and Component Object File Format (COFF) files which supports the viewing of EXE, DLL, OBJ, LIB, DBG, and other file types.
PEview-0.9.9最新版本
11-14
很好用的工具,最新版本0.9.9,无毒,解压后直接用,谢谢。
新完成的PE viewer
草原Song
06-04 1242
    一直以来对PE文件算是比较熟悉了,但是不写一个PE工具是无法达到熟练的地步的,于是就写了这个小东西,PE分析工具,使用Delphi编写,刚开始使用Filestream就行读文件,后来一想这不是使用内存映射文件的最好时候吗!汗,这才有了突破!
chapter1 静态分析技术-08PE文件分析 PEview
weixin_43925963的博客
11-22 876
PEVIEW查看PE文件
软件安全实验(一)PEVIEW-弹窗操作
m0_56043517的博客
09-15 1400
软件安全实验(一) 实验名称:软件安全-PEVIEW-弹窗操作 实验软件:WinHex , OllyDBG , LordPE , PEview 实验效果:双击PEview后产生弹窗 实验思路: 实验步骤: 1.打开LordPE 2.点击PE Editor 3.选择PEview打开,观察EntryPoint(入口点)和ImageBase(基地址) 得出原始入口点为401000 4.点...
记一次 PEview 的报错修正
沐一 · 林 的博客
10-30 791
从《逆向工程核心原理》中提到的 https://reversecore.com/111 中下载的 PEview 在处理 32 位程序时其它目录都还行,当点到 IMAGE_NT_HEADERS——>IMAGE_FILE_HEADER 中就会有如下图所示的报错。要注意的是下了点击后卡的第一次还没发现日志中的异常值,循环了3次后才找到,说明点击 IMAGE_FILE_HEADER 栏时要在该段指令中循环好几次,第三次才有异常产生。这是我第一次处理程序异常,虽然是跟着 a1ee 的文章复现的,但我有自己的分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值