PE文件结构(一) MS-DOS头 ,PE头

最新推荐文章于 2022-03-06 17:23:45 发布
VIP文章 最新推荐文章于 2022-03-06 17:23:45 发布
阅读量517 收藏
点赞数
分类专栏: PE 学习笔记 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzz5072/article/details/109131999
版权

PE文件及结构

PE文件结构

  1. MS-DOS头
  2. 标准PE头
  3. 扩展PE头
  4. 数据目录
  5. 节表

MS-DOS头

在这里插入图片描述
各个字段的含义
第一个字段(MZ标志位):e_magic 是一个常量,一般都是0x4D5A
最后一个字段(PE头偏移):e_Ifanew 指向新的PE头,偏移量为0x0138

PE标准头

位于0x0138

typedef struct _IMAGE_NT_HEADERS64 {
   
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
   
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

分为32位版本和64位版本
各个字段及其含义:
Signature࿱

最低0.47元/天 解锁文章
jzz5072
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式详解.pdf
05-31
同时为了保证与旧版本 MS-DOS 及 Windows 操作系统的兼容,PE 文件格式也保 留了 MS-DOS 中那熟悉的 MZ 部。“Portable Executable”(可移植的执行体)意 味着此文件格式是跨 Win32 平台的;即使 Windows 运行在...
字符编码
什么美哟有
06-29 1579
内容导视:字符集与字符编码ASCII 字符集GB2312 字符集Unicode 字符集计算机是以二进制的形式来存储数据的,我们在屏幕上看到的文字,在存储之前都被转换成了二进制(编码),在显示时也要根据二进制找到对应的字符。(解码)字符集定义了文字和二进制的对应关系,为字符分配了唯一的编码。如 ASCII 字符集定义的 ‘a’ 的编码是 ,如果把它当作整数的补码,则为 97。字符集规定了某个文字对应的二进制数字存放方式(编码)和某串二进制数值代表了哪个文字(解码)的转换关系。字符集只是一个规则集合的名字,对应
简单帮助大家理解大小端存储
FriedrichSong的博客
03-06 588
我们创建一个变量 这个变量存储在内存中,那么他是如何存储的呢? show codes! int main() { int a = 0x11223344; return 0; } 0x表示相当于十六进制,后面的每两个相同的数字都占据一个字节(一个int是四个字节,用十六进制表示,那么0x11就占一个字节)。 我们创建一个这样的变量,就可以通过窗口观察内存来判断变量在内存中的存储方式。 我们可以看到,从低地址到高地址,分别存储44 33 22 11,这就是小端存储! 把低位数据存储在低地
PE文件结构
c630843901的博客
04-28 583
文章目录DOSPE区段表区段理解一下 简述:PE文件分为5个部分 DOS文件 DOS加载模块 PE文件 区段表 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOS DOS
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 1647
什么是PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
DOS windows PE三者有什么区别
m0_51527921的博客
12-28 2291
DOS windows PE三者有什么区别
PE文件格式详解
07-06
Windows操作系统家族最近增加的WindowsNT为开发环境和应用程序本身带来了很大 的改变,这之中一个最为重大的当属PE文件格式了。新的PE文件格式主要来自于UNIX操 ...PE文件格式也保留了MS-DOS中那熟悉的MZ
headerParser:PE,ELF,DEX,MachO,ZIP(JAR,DocX)的标信息解析器
04-11
解析二进制(可执行)文件信息。 对PE,ELF,DEX,MachO,ZIP(JAR,DocX)进行深度解析。 可以识别Java.class,ART,.NET,NE,MS-DOS。 重点是PE和ELF。 其他类型的处理不太仔细,但将来可能会扩展。 以及PE...
grub4dos-V0.4.6a-2017-02-04更新
03-05
精简 PE 加载映像文件死机。 2.解决了FDD 模式的 u 盘,执行 find 时返回 (fd0,n) 的问题。 3.修正了 menu.lst 中 0PE.ISO 的默认位置。 4.usb2.0 驱动通过菜单或命令行,使用 usb --init 加载。 5.usb2.0 驱动...
软件加密技术内幕
03-19
1.2 PE文件结构 1.2.1 The MS-DOS部 1.2.2 IMAGE_NT_HEADERS部 1.2.3 区块表(The Section Table) 1.2.4 各种块(Sections)的描述 1.2.5 输出表 1.2.6 输出转向(Export Forwarding) 1.2.7 输入表 ...
PE文件格式之MS-DOSPE文件,区块
The Road Of Sec
12-03 2317
PE文件格式之MS-DOSPE文件,RVA,VA,虚拟地址,PE文件格式
PE文件格式总结 - DOS文件PE文件、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
【2021.01.11】DOS属性说明
oalken的博客
01-11 612
IMAGE_DOS_HEADER DOS DOS由两部分组成:DOS MZ文件DOS块。 DOS块不是结构体,而是由单个字节组成的数据,可以填写任何内容。 但是DOS MZ文件是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..
PE文件结构(一)
weixin_33924770的博客
09-20 89
PE文件结构(一) 学习PE的工具[url]http://bbs.pediy.com/showthread.php?s=&threadid=22840[/url]一、前言(Preface)------------------PE(“portable executabl...
PE文件
weixin_34234823的博客
02-15 284
主要是PE文件部分。来再看雪 《加密与解密》 //PE文件格式小部分资料,摘自《加密与解密》-看雪 typedef struct _IMAGE_DOS_HEADER{ // DOS .EXE header +0h WORD e_magic; // Magic number +2h WOR...
深入剖析PE文件
qiqi5045的专栏
07-09 466
本文有一些过于文字化,适合已对PE有一些了解的童鞋。 如果是初学者,博主推荐:有兴趣的童鞋可以看看这个链接,用实例解释了PE文件结构,更清晰明了。 http://www.mouseos.com/assembly/06.html。 一、 基本结构.  PE 文件的基本结构.(注意: DOS MZ Header 和部分 PE header 的大小是不变的; DOS stub 部分的大小是
PE文件解析_Dos
qq_50052051的博客
12-18 311
Dos部分主要为现代PE文件可以对早期的DOS文件进行良好兼容存在,其对应结构体为IMAGE_DOS_HEADER,所在文件为winnt.h typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of ...
PE文件详解之MS-DOS
知其所以然
09-01 2434
MS-DOS    1,每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。    2,PE文件的第一个字节起始于一个传统的MS-DOS部,被称作为IMAGE_DOS_HEADER。    3,IMAGE_DOS_HEADER 结构如下。 typedef struct _IMAGE_DOS_HEADER { // DOS .
写一段分析PE文件的基本结构的实验结论
最新发布
06-12
根据我的实验结论,PE文件是一种可执行文件格式,其基本结构DOS、NT、节表和数据组成。DOS是一个64字节的结构,其中包含了一些用于DOS模式下运行程序的信息。NT是一个248字节的结构,其中包含了PE文件的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值