PE头部的解析(总结于小甲鱼)

最新推荐文章于 2022-02-13 15:34:52 发布
最新推荐文章于 2022-02-13 15:34:52 发布
阅读量1.2k 收藏
点赞数
文章标签: PE x
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imHaoHao/article/details/78384332
版权

上次讲到DOS现在讲下紧跟在DOS头部后面的PE头:

PE头映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段


下图是IMAGE_NT_HEADER结构体原型有三个成员:


Signature字段:在一个有效的PE文件里,Signature字段被设置为'00 00 45 50',ASCII码字符是‘PE00’。标志着PE文件头的开始:


IMAGE_FELE_HEADER也是一个结构体:



Machine成员 下图'01 4C'说明了可执行文件目标CPU类型:


Machine:
0x014c    x86
0x0200   Intel Itanium
0x8664   x64


NumberOfSections成员 下图'00 08'说明了区块的数目,这里说明区块数目为8:



TimeDateStamp成员 下图'2A 42 5E 19'说明了文件的创建时间,是以格林威治时间1970,1,1开始计算按秒:



下边说明名了这七个成员的内存中偏移位置:




SizeOfOptionalHeader成员:OfOptionalHeader数据结构的大小;对于32位PE文件,这个值通常是'00 E0';对于64位这个PE32+文件,这个值是‘00 f0’


IMAGE_IPTIONAL_HEADER32结构:在IMAGE_FELE_HEADER这个结构体上加了很多东西


typedef struct_IMAGE_OPTIONAL_HEADER
{
/*
Standard fields
*/
+18H WORD Majic; //标志字,ROM映像(0107H),普通可执行文件(010bH)
+1aH BYTE MajorLinkerVersion; //链接程序的主版本号
+1bH BYTE MinorLinkerVersion; //链接程序的次版本号
+1cH DWORD SizeOfCode; //所有含代码的节的总大小
+20H DWORD SizeOfInitializedData //所有含已初始化数据的节的总大小
+24H DWORD SizeOfUninitializedData;//所有含未初始化数据的节的大小
+28H DWORD AddressOfEntryPoint; //程序执行入口RVA
+2cH DWORD BaseOfCode; //代码区块的起始RVA
+30H DWORD BaseOfData; //数据的区块的起始RVA

/*
NT additional fields. 以下是属于NT结构增加的领域
*/
+34H DWORD ImageBase; //程序的首选装载地址
+38H DWORD SectionAlignment; //内存中的区块的对齐大小
+3cH DWORD FileAlignment; //文件中的区块的对齐大小
+40H WORD MajorOperatingSystemVersion;//要求操作系统最低版本号的主版本号
+42H WORD MinorOperatingSystemVersion;//要求操作系统最低版本号的副版本号
+44H WORD MajorImageVersion; //可运行于操作系统的主版本号
+46H WORD MinorImageVersion; //可运行于操作系统的次版本号
+48H WORD MajorSubsystemVersion; //要求最低子系统版本的主版本号
+4aH WORD MinorSubsystemVersion; //要求最低子系统版本的次版本号
+4cH DWORD Win32VersionValue; //莫须有字段,不被病毒利用的话一般为0
+50H DWORD SizeOfImage; //映像装入内存后的总尺寸
+54H DWORD SizeOfHeaders; //所有头 + 去块表的尺寸大小
+58H DWORD CheckSum; //映像的效验和
+5cH WORD Subsystem; //可执行文件期望的子系统
+5eH WORD DllCharacteristics; //DllMain()函数何时被调用,默认为0
+60H DWORD SizeOfStackReserve; //初始化时的栈大小
+64H DWORD SizeOfStackCommit; //初始化实际提交的栈大小
+68H DWORD SizeOfHeapReserver; //初始化时保留的堆大小
+6cH DWORD SizeOfHeapCommit; //初始化时实际提交的堆大小
+70H DWORD LoaderFlags; //与调试有关,默认为0
+74H DWORD NumberOfRvaAndSizes; //下边数据目录的项数,这个字段自Windows NT发布以来一直是16
+78H IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];  //数据目录表
}IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

im浩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE_02-----PE解析
tell_me_404的博客
08-09 622
PE解析一、 PE头概述磁盘文件与内存 的映射关系PE为什么要分节?DOC头标准PE头可选PE头二、PE格式结构图(详细)三、打印PE头部信息运行结果 一、 PE头概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC头 标准PE头 可选PE头 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE头部信息 打印PE头部信息: PE头包含:DOS头+4字
PE文件结构详解(二)可执行文件头
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,从头部的信息,可以引导系统解析整个文件。
PE文件详解1——PE文件头部解析
weixin_33797791的博客
06-27 384
参考书籍:《WindowsPE文件权威指南》 MSDN中winnt.h是PE文件定义的最终决定者。 EXE文件与DLL文件之间的区别完全是语义上的,二者PE结构完全相同。唯一区别用一个字段标示处这个文件是exe还是dll。许多DLL扩展,如OCX控件,控制面板等都是DLL,它们有一样的实体。 64位的Windows只是对PE格式做了一些简单的修饰,新格式叫PE32+。没有新的结构加进去,其...
PE文件(一)PE
qq_63329753的博客
02-13 3637
PE文件结构(一)PE头 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE
qq_41232519的博客
08-28 301
一、PE头 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE标识(4字节) IMAGE_FILE_HEADER FileHeader; //标准PE头(20字节) IMAGE_OPTIONAL_HEADER32 OptionalHeader; //扩展PE头(默认224字节) } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; PE标识: PE标识不能破坏,操作系统在启动.
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件...
甲鱼PE结构详解课件.pdf
03-22
该课件是、 小甲鱼PE结构详解课件, 可以放心下载!
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
PE 输入表 解析 python
11-03
注意:解析的是32位PE文件 PE文件头可选映像头中数据目录表的第二成员指向输入表,输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构...
PE解析
qq_41129854的博客
03-16 596
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
PE文件头格式图片,非常详细经典
03-02
PE文件头格式图片,非常详细经典,很值得一看!!!
PE解析(仅限于PE头)
qq_58405021的博客
11-30 1623
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
PE文件头
满天星专栏
10-20 2318
大体上,PE文件由下面几个部分组成,DOS头,PE头,可选头,节表,以及各节的数据。这些数据结构在文件中的位置如下图所示。 PE文件的第一部分是一个DOS头,一般我们称之为DOS STUB。 这个DOS头实际上就是一个完整的DOS应用程序。这样当你在DOS下试图运行这个程序的时候,DOS将会把它识别成一个DOS可执行程序。一般这个DOS STUB会在屏幕上打印一条信息“该程序需要W
Windows Pe 第三章 PE头文件(上)
天使也掉毛
09-11 2646
Windows Pe 第三章 PE头文件(上)
Windows Pe 第三章 PE头文件(下)
天使也掉毛
10-07 1018
Windows Pe 第三章 PE头文件(下)
PE头部数据格式简要整理
popkun222的专栏
03-10 756
DOS头 总共40H 开始是一个下面的结构 重点关注off 3c, e_lfanew, 它指向PE头部 (1) stub 40H? DOS头+stub填充物总共大小为80H, 参照DosHeadArray数组 ...
PE头结构说明及C语言解析
qq_35289660的博客
05-11 1671
PE头结构说明及C语言解析 文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE头文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
pe结构分析-解析pe头(一)
freshfox的博客
09-28 707
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
【Windows】 PE文件头学习
铭天的专栏
07-27 2448
学习PE文件头之前要先了解几个结构体:1.【IMAGE_DOS_HEADER】 DOS头部结构体。 2.【IMAGE_NT_HEADERS】 PE头部结构体。 3.【IMAGE_FILE_HEADER】文件头部结构体。 4.【IMAGE_OPTIONAL_HEADER】可选头结构体。 5.【IMAGE_SECTION_HEADER】节表结构体。IMAGE_DOS_HEADERDOS头部结构体
vc编写pe文件解析工具
最新发布
08-29
接下来,我们需要解析PE文件的头部信息。PE文件的头部包含了一些关键信息,例如文件类型、节表、导入表、导出表等。通过读取并解析这些信息,我们可以获取到PE文件的一些基本属性和区段信息。 在解析PE文件的过程中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值