DOS头部IMAGE_DOS_HEADER

最新推荐文章于 2021-10-17 13:44:49 发布
最新推荐文章于 2021-10-17 13:44:49 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: PE 文章标签: DOS PE IMAGE_DOS_HEADER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangqin115/article/details/77966780
版权

对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS头和一个DOS程序体。

DOS头部是由IMAGE_DOS_HEADER结构体来定义的。

该结构体定义如下:

[cpp]  view plain  copy
  1. typedef struct _IMAE_DOS_HEADER {       //DOS .EXE header                                    位置  
  2.     WORD e_magic;                       //Magic number;                                      0x00  
  3.     WORD e_cblp;                        //Bytes on last page of file                         0x02  
  4.     WORD e_cp;                          //Pages in file                                      0x04  
  5.     WORD e_crlc;                        //Relocations                                        0x06  
  6.     WORD e_cparhdr;                     //Size of header in paragraphs                       0x08  
  7.     WORD e_minalloc;                    //Minimum extra paragraphs needed                    0x0A  
  8.     WORD e_maxalloc;                    //Maximum extra paragraphs needed                    0x0C  
  9.     WORD e_ss;                          //Initial (relative) SS value                        0x0E  
  10.     WORD e_sp;                          //Initial SP value                                   0x10  
  11.     WORD e_csum;                        //Checksum                                           0x12  
  12.     WORD e_ip;                          //Initial IP value                                   0x14  
  13.     WORD e_cs;                          //Initial (relative) CS value                        0x16  
  14.     WORD e_lfarlc;                      //File address of relocation table                   0x18  
  15.     WORD e_ovno;                        //Overlay number                                     0x1A  
  16.     WORD e_res[4];                      //Reserved words                                     0x1C  
  17.     WORD e_oemid;                       //OEM identifier (for e_oeminfo)                     0x24  
  18.     WORD e_oeminfo;                     //OEM information; e_oemid specific                  0x26   
  19.     WORD e_res2[10];                    //Reserved words                                     0x28  
  20.     LONG e_lfanew;                      //File address of new exe header                     0x3C  
  21. } IMAGE_DOS-HEADER, *PIMAGE_DOS_HEADER;  

该结构体中,有两个字段需要注意,分别是第一个字段 e_magic,和最后一个字段 e_lfanew字段。

e_magic 字段是一个DOS可执行文件的标识符,该字段占用两个字节,该位置保存着的字符是“MZ”。

该标识符在Winnt.h头文件中有一个宏定义,定义如下所示:

#define IMAGE_DOS_SIGNATURE                 0x4D5A      // MZ
#define IMAGE_OS2_SIGNATURE                 0x4E45      // NE
#define IMAGE_OS2_SIGNATURE_LE              0x4C45      // LE
#define IMAGE_NT_SIGNATURE                  0x50450000  // PE00



jiangqin115
关注
专栏目录
PE文件学习--Dos头部
KOOKNUT的博客
03-23 507
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 8998
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
IMAGE_DOS_HEADER解析
ChuMeng1999的博客
10-17 980
目录预备知识一、C32Asm二、PEiD三、StudPE四、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.e_magic字段2.e_lfanew字段 预备知识 一、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。 二、PEiD PEiD是一款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
乘风的专栏
07-21 1252
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h   WORD e_cblp  // Bytes on last page of file    +4h WORD e_cp  //
IMAGE_DOS_HEADER STRUCT
namewangyue的专栏
09-26 371
IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic//Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h WORDe_cblp//Bytes on last page of file +4hWORDe_cp//Pages in file +6hWORDe_crlc//Relocations
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2851
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
PE头之IMAGE_FILE_HEADER解析
ChuMeng1999的博客
10-17 918
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA) 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方
PE头部IMAGE_NT_HEADERS
夜空中最亮的星
10-19 4528
PE头部是真正用来装载Win32程序的头部PE头的定义为IMAGE_NT_HEAD
PE 头文件 IMAGE_NT_HEADER
Relaxpeng
07-03 1259
PE HeaderPE相关结构NT映像头IMAGE_NT_HEADER的简称 PE头文件开始是一个字符串PE00(50 45 00 00) 由MS_DOS头部的e_1fanew字段指向 IMAGE_NT_HEADERS STRUCT{   +00H DWORD Signature   +04H IMAGE_FILE_HEADER FileHeader   +18H IMAG
DOSIMAGE_DOS_HEADER
dengjiatao9832的博客
09-21 137
1 IMAGE_DOS_HEADER STRUCT 2 { 3 +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 4 +2h WORD e_cblp // Bytes on last page of file 5 +4h WORD e_cp // Pages in ...
PE文件详解一:M_DOS头部IMAGE_DOS_HEADER STRUCT结构
weixin_34341117的博客
01-11 274
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0...
MS_DOS头部 IMAGE_DOS_HEADER
Relaxpeng
07-03 884
MS_DOS头部IMAGE_DOS_HEADER STRUCT{   +00H WORD e_magic ;DOS可执行文件标记字符串MZ(4D 5A)   +3CH DWORD e_1fanew ;指向PE文件头   } IMAGE_DOS_HEADER ENDS 用十六进制编辑器打开一个EXE文件 如QQ.EXE e_magic=5A 4De_1fanew=000001
[PE格式分析] 2.IMAGE_DOS_HEADER
weixin_33895657的博客
05-14 206
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number 固定为"MZ" 即, 4Dh 5Ah WORD e_cblp; // Bytes on last pag...
IMAGE_DOS_HEADER STRUCT小记
weixin_33725722的博客
10-27 341
IMAGE_DOS_HEADER STRUCT{+00h WORD e_magic// Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+02hWORD e_cblp // Bytes on last page of file +04h WORD e_cp // Page...
MS-DOS头部
十年磨一剑,霜刃未曾试!
06-10 2876
<br />每个PE文件都是以一个Dos程序开始的,有了它,一旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,它将简单的显示一个错误提示,This program must be run under Win32。Dos stub一般都是由编译器自动生成的。Dos MZ头与Dos stub合称为Dos文件头。<br /> <br />MS-DOS头部占据了PE
PE结构-Dos头部
小喇叭儿滴滴的吹
02-10 400
啥是PE结构?简单来说,就是将代码和数据按照一定的约定进行存放,为进程的创建做准备。 微软当初在设计PE结构时,目标是设计成多平台的,所以里面很多字段考虑了跨平台因数,当然现在来看,这个跨平台...en..就不用多说啥了。 先来了解一下PE结构的大概情况 IMAGE_DOS_HEADER //DOSIMAGE_NT_HEADERS //NT头 DWORD Signature /...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值