PE文件之IMAGE_OPTIONAL_HEADER

最新推荐文章于 2022-07-20 11:13:57 发布
最新推荐文章于 2022-07-20 11:13:57 发布
阅读量695 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangqin115/article/details/79757054
版权

可选头位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选头的大小由文件头中倒数第二个成员指定。

可选头中重要的数据成员有:

第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0x00400000。SectionAlignment为内存中节的对齐大小,一般为0x00001000,FileAlignment为PE文件中节的对齐大小。Subsystem指定程序的子系统类型,可执行GUI程序为2.DataDirectory为数据目录表数组,比较重要。

可选头的定义:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //
 
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
 
    //
    // NT additional fields.
    //
 
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Subsystem,子系统类型:

1
2
3
4
5
6
7
8
9
10

// Subsystem Values
 
#define IMAGE_SUBSYSTEM_UNKNOWN              0   // Unknown subsystem.
#define IMAGE_SUBSYSTEM_NATIVE               1   // Image doesn't require a subsystem.
#define IMAGE_SUBSYSTEM_WINDOWS_GUI          2   // Image runs in the Windows GUI subsystem.
#define IMAGE_SUBSYSTEM_WINDOWS_CUI          3   // Image runs in the Windows character subsystem.
#define IMAGE_SUBSYSTEM_OS2_CUI              5   // image runs in the OS/2 character subsystem.
#define IMAGE_SUBSYSTEM_POSIX_CUI            7   // image runs in the Posix character subsystem.
#define IMAGE_SUBSYSTEM_NATIVE_WINDOWS       8   // image is a native Win9x driver.
#define IMAGE_SUBSYSTEM_WINDOWS_CE_GUI       9   // Image runs in the Windows CE subsystem.


数据目录表的一些定义(共有16个表项):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
 
#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16
 
// Directory Entries
 
#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
//      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor
jiangqin115
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 578
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1804
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用
05-13 1288
<br />作者 : 小甲鱼是帅哥<br /> <br /> <br />咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!<br />(视频教程:http://fishc.com/a/shipin/jiemixilie/)<br />接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些
PE格式详细讲解3 - 系统篇03|解密系列
weixin_34111790的博客
04-11 185
PE格式详细讲解3-系统篇03 让编程改变世界 Change the world by program 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE...
可选头 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 228
//IMAGE_OPTIONAL_HEADER结构(可选映像头) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
这可以通过解析PE头的`IMAGE_FILE_HEADER`结构和`IMAGE_OPTIONAL_HEADER`结构,以及节表的`IMAGE_SECTION_HEADER`结构来实现。 压缩包中的"PE文件格式的判断"源码很可能是实现这一过程的示例。它可能会包含以下几个...
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何...
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
通过修改PE头中的IMAGE_NT_HEADERS.OptionalHeader.EntryPoint字段,可以改变程序的启动流程。 2. **添加或删除导入和导出**:导入表用于标识程序依赖的外部函数,导出表则列出程序提供的可被其他模块调用的函数。...
OEP.rar_OEP_Pe-file_infector
最新发布
09-24
Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体,可以直接用来解析PE文件。 此外,"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域,某些...
OEP.rar_DLL感染_OEP_PE 感染_PE装载_oep注入
09-24
OEP感染注入呢,最主要我们要了解OEP的概念。OEP就是程序的入口,比如我们编写一个DLL,那么OEP就相当于DllMain,如果编写一...我们学过PE知识得知,AddressOfEntryPoint是在IMAGE_OPTIONAL_HEADER32 结构的定义里面。
图像处理需要的一个头文件
07-14
这个头文件是图像处理时需要的一个类函数声明文件,之前在网上找了,资源比较少,所以在此分享下供大家下载
PE格式详细讲解【03】– IMAGE_OPTIONAL_HEADER32 结构
m0_61601712的博客
03-26 290
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。 因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中进行定义。 因此这两个结构联合起来,才是一个完整的 “PE文件结构” 。 那么我们接着就应该顺理成章地来谈谈 IM...
4.PE文件之扩展PE头(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5562
可选/扩展PEIMAGE_OPTIONAL_HEADER,它有着比标准PE头(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
PE总结5---PE文件结构NT头之文件头--IMAGE_FILE_HEADER
oBuYiSeng的博客
12-09 1309
我们在上一篇中已经介绍了NT头相关的结构,接下来分别具体的介绍里面的数据。 首先介绍IMAGE_FILE_HEADER 的结构,如下: typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 运行平台 WORD Numb
C语言编程获取PE文件Option_Header
一根火柴博客
02-02 1372
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY); void viewOptionalHeaderSubsystem(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImage
c语言打印pe文件头,C语言编程获取PE文件Option_Header
weixin_28785069的博客
05-24 182
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY);void viewOptionalHeaderSubsystem(WORD);int _tmain(int argc, TCHAR *argv[]){PIMAGE_DOS_HEADER pImageDosHeader;P...
C语言图像函数
yuxiao65321的专栏
03-08 4367
graphics.h里面(一) 像素函数 56. putpiel() 画像素点函数 57. getpixel()返回像素色函数 (二) 直线和线型函数 58. line() 画线函数 59. lineto() 画线函数 60. linerel() 相对画线函数 61. setlinestyle() 设置线型函数 62. getlinesettings() 获取线型设置函数 63. setwri
PE结构-1
Starr
07-05 368
PE结构-1 文章目录PE结构-11. Dos头2. NT头IMAGE_OPTIONAL_HEADER643. 区块表4. 区块对齐换算RVA和文件偏移 本部分的目的是搞懂下图。 [外链图片转存失败(img-L9JWZCae-1562203515045)(https://r.photo.store.qq.com/psb?/V11kR0B93Se55a/E3tXISz3EWJpu2BIku7jE2Q...
PE文件结构详解
神棍之路
07-20 9994
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE结构详解:IMAGE_NT_HEADERS和IMAGE_FILE_HEADER
IMAGE_NT_HEADERS结构是PE文件头的主要组成部分,包含了Signature字段、FileHeader字段和OptionalHeader字段。其中,Signature字段是一个DWORD类型的字段,用于标志PE文件的开始,其值通常为"PE00"。FileHeader字段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值