PE文件之IMAGE_OPTIONAL_HEADER

最新推荐文章于 2022-07-20 11:13:57 发布
最新推荐文章于 2022-07-20 11:13:57 发布
阅读量700 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangqin115/article/details/79757054
版权

可选头位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选头的大小由文件头中倒数第二个成员指定。

可选头中重要的数据成员有:

第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0x00400000。SectionAlignment为内存中节的对齐大小,一般为0x00001000,FileAlignment为PE文件中节的对齐大小。Subsystem指定程序的子系统类型,可执行GUI程序为2.DataDirectory为数据目录表数组,比较重要。

可选头的定义:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //
 
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
 
    //
    // NT additional fields.
    //
 
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Subsystem,子系统类型:

1
2
3
4
5
6
7
8
9
10

// Subsystem Values
 
#define IMAGE_SUBSYSTEM_UNKNOWN              0   // Unknown subsystem.
#define IMAGE_SUBSYSTEM_NATIVE               1   // Image doesn't require a subsystem.
#define IMAGE_SUBSYSTEM_WINDOWS_GUI          2   // Image runs in the Windows GUI subsystem.
#define IMAGE_SUBSYSTEM_WINDOWS_CUI          3   // Image runs in the Windows character subsystem.
#define IMAGE_SUBSYSTEM_OS2_CUI              5   // image runs in the OS/2 character subsystem.
#define IMAGE_SUBSYSTEM_POSIX_CUI            7   // image runs in the Posix character subsystem.
#define IMAGE_SUBSYSTEM_NATIVE_WINDOWS       8   // image is a native Win9x driver.
#define IMAGE_SUBSYSTEM_WINDOWS_CE_GUI       9   // Image runs in the Windows CE subsystem.


数据目录表的一些定义(共有16个表项):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
 
#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16
 
// Directory Entries
 
#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
//      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor
jiangqin115
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 586
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1823
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用
05-13 1297
<br />作者 : 小甲鱼是帅哥<br /> <br /> <br />咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用!<br />(视频教程:http://fishc.com/a/shipin/jiemixilie/)<br />接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些
PE格式详细讲解3 - 系统篇03|解密系列
weixin_34111790的博客
04-11 186
PE格式详细讲解3-系统篇03 让编程改变世界 Change the world by program 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE...
可选头 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 233
//IMAGE_OPTIONAL_HEADER结构(可选映像头) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
PE格式详细讲解【03】– IMAGE_OPTIONAL_HEADER32 结构
m0_61601712的博客
03-26 296
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。 因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中进行定义。 因此这两个结构联合起来,才是一个完整的 “PE文件结构” 。 那么我们接着就应该顺理成章地来谈谈 IM...
4.PE文件之扩展PE头(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5593
可选/扩展PEIMAGE_OPTIONAL_HEADER,它有着比标准PE头(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
PE总结5---PE文件结构NT头之文件头--IMAGE_FILE_HEADER
oBuYiSeng的博客
12-09 1316
我们在上一篇中已经介绍了NT头相关的结构,接下来分别具体的介绍里面的数据。 首先介绍IMAGE_FILE_HEADER 的结构,如下: typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 运行平台 WORD Numb
C语言编程获取PE文件Option_Header
一根火柴博客
02-02 1378
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY); void viewOptionalHeaderSubsystem(WORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImage
c语言打印pe文件头,C语言编程获取PE文件Option_Header
weixin_28785069的博客
05-24 187
#include #include #include void viewOptionalHeaderDirectoryEntries(PIMAGE_DATA_DIRECTORY);void viewOptionalHeaderSubsystem(WORD);int _tmain(int argc, TCHAR *argv[]){PIMAGE_DOS_HEADER pImageDosHeader;P...
C语言图像函数
yuxiao65321的专栏
03-08 4382
graphics.h里面(一) 像素函数 56. putpiel() 画像素点函数 57. getpixel()返回像素色函数 (二) 直线和线型函数 58. line() 画线函数 59. lineto() 画线函数 60. linerel() 相对画线函数 61. setlinestyle() 设置线型函数 62. getlinesettings() 获取线型设置函数 63. setwri
PE结构-1
Starr
07-05 371
PE结构-1 文章目录PE结构-11. Dos头2. NT头IMAGE_OPTIONAL_HEADER643. 区块表4. 区块对齐换算RVA和文件偏移 本部分的目的是搞懂下图。 [外链图片转存失败(img-L9JWZCae-1562203515045)(https://r.photo.store.qq.com/psb?/V11kR0B93Se55a/E3tXISz3EWJpu2BIku7jE2Q...
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构
c630843901的博客
04-28 647
文章目录DOS头PE头区段表区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOS头 DOS
关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐
cay22的专栏
02-26 3338
关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐 的关系. 一. PE格式(包括文件中和内存中)是怎么分块对齐的? PE的大概格式是: IMAGE_DOS_HEADER + Stub + IMAGE_NT_HEADERS + IMAGE_SECTION
c语言头文件函数库,C语言头文件和库文件函数库)
weixin_29816241的博客
05-20 3482
C语言中,头文件提供对常量的定义和对系统函数及库函数调用的声明(函数原型)。存放的标准位置是/usr/include目录及其子目录。gcc的-I选项(增加头文件的搜索路径):gcc -I/usr/myInclude main.c 在标准位置及/usr/myInclude目录下查找main.c包含的头文件。库文件是一组预先编译好的函数的集合,可以说是头文件函数原型的实现。存放的标准位置是/lib和...
IMAGE_FILE_HEADER结构
weixin_34315665的博客
10-02 73
IMAGE_FILE_HEADER结构 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/10/02/3846779.html
PE文件的校验和(CheckSum)
qq_39708161的博客
02-18 3060
IMAGE_OPTIONAL_HEADER.CheckSum 为一个DWORD(64位下也是DWORD)型的校验值,用于检查PE文件的完整性,在一些内核模式驱动及DLL中,该值必须是存在且正确的 校验值的计算很简单: 将IMAGE_OPTIONAL_HEADER.CheckSum请0(因为这部分在文件中也是有值的,计算时得去掉) 以WORD为单位对数据块进行累加,记住要用ad...
c语言中常用函数头文件,c语言中常用的函数头文件
weixin_28691003的博客
05-19 5618
头文件ctype.h函数列表函数类别函数目的详细说明字符测试为字符和数字的isalnum是否为isalpha字符是否控制字符iscntrl是否为数字isdigit是否能够显示文字(空格除外) isgraph是否可以显示字符(包括空格) isprint非空格或数字的可显示字符ispunct有无空间isspace是否大写isupper是否为十六进制(0-9,A-F )字符isxdigit转换字符大小...
PE结构详解:IMAGE_NT_HEADERS和IMAGE_FILE_HEADER
IMAGE_NT_HEADERS结构是PE文件头的主要组成部分,包含了Signature字段、FileHeader字段和OptionalHeader字段。其中,Signature字段是一个DWORD类型的字段,用于标志PE文件的开始,其值通常为"PE00"。FileHeader字段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值