PE结构读取之DOS Header

最新推荐文章于 2022-05-03 11:27:34 发布
最新推荐文章于 2022-05-03 11:27:34 发布
阅读量1.3k 收藏
点赞数
分类专栏: PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kwfly/article/details/39457663
版权

    有人说PE结构很重要,也有人说不重要。不同的人站在不同的角度有不同的看法。而我对PE结构仅仅是想有所了解,于是就有了下面一系列文章的出现。

    PE文件中DOS Header的具体结构如下所示:(下面的定义在winnt.h文件中,这个文件需要安装编程环境,至少我将VC 6.0卸载后就找不到这个文件了。推荐使用一个编译环境直接go to definition来查看,毕竟这样方便快捷)

typedef struct _IMAGE_DOS_HEADER {
	WORD e_magic;
	WORD e_cblp;
	WORD e_cp;
	WORD e_crlc;
	WORD e_cparhdr;
	WORD e_minalloc;
	WORD e_maxalloc;
	WORD e_ss;
	WORD e_sp;
	WORD e_csum;
	WORD e_ip;
	WORD e_cs;
	WORD e_lfarlc;
	WORD e_ovno;
	WORD e_res[4];
	WORD e_oemid;
	WORD e_oeminfo;
	WORD e_res2[10];
	LONG e_lfanew;
} IMAGE_DOS_HEADER,*PIMAGE_DOS_HEADER;


其中WORD定义如下:

typedef unsigned short WORD;

也就是说一个WORD就是一个unsigned short啦,其占用两个字节,具体占用多少字节需要根据编译环境来决定。

我想了解这块的绝大多数人应该都是学过C语言的,所以我就用C语言写了个比较简单的程序,具体代码如下所示:

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>

void ReadDosHeader();

int main()
{
    FILE *fp;
    char fname[30] = "C:\\masm32\\cpicker.exe";
    fp = fopen(fname,"rb");

    if(fp == NULL)
    {
        printf("文件打开失败");
        return 0;
    }

    ReadDosHeader(fp);

    fclose(fp);
    return 0;
}

void ReadDosHeader(FILE *fp)
{
    IMAGE_DOS_HEADER dosheader;
    int cnt = sizeof(IMAGE_DOS_HEADER);
    fread(&dosheader,1,cnt,fp);
    printf("%04X\r\n",dosheader.e_magic);
    printf("%08X\r\n",dosheader.e_lfanew);
    //将文件定位到PE Header位置
    fseek(fp,dosheader.e_lfanew,SEEK_SET);
}

开发工具使用的是CodeBlock 13.12,使用的编译器为gcc,调试自然是gdb了。主要是安装VC体积太大。(以上代码可以直接保存为一个文件然后运行)

运行结果如下图所示:

具体读取文件的16进制如下图所示:(使用工具为010 Editor试用版,也可以使用UltraEdit16进制工具,如果有兴趣的话也可以自己编写一个)

其中用红色框框中的分别为Dos Header中的WORD e_magic;LONG e_lfanew;

其中e_magic为4D 5A,为啥读取出来是5A 4D这个就涉及到计算机存储文件的大端和小端的问题了

e_lfanew为00 00 00 80。

kwfly
关注
专栏目录
PE文件学习--Dos头部
KOOKNUT的博客
03-23 511
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
DOS头部IMAGE_DOS_HEADER
07-09 392
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS头和一个DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
PE DOS
weixin_52971884的博客
05-03 806
DOS头,PE文件的开始 DOS头是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode.还有一个目的,就是指明NT头在文件中的位置。NT头包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32),头部的详细结构以及其具体意义在PE文件头文章中详细描述。 节表
PE文件详解一:M_DOS头部IMAGE_DOS_HEADER STRUCT结构
weixin_34341117的博客
01-11 275
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0...
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 9027
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
易语言PE结构查看
07-21
2. **判断是否为标准PE结构**:在读取文件时,需要检查文件的前两个字节(DOS Magic Number)是否为`MZ`,这是PE文件的DOS头的标志。接着检查PE签名(PE Magic Number)是否为`PE\0\0`,以确认这是一个有效的PE文件...
理解PE文件结构读取PE信息的程序示例
最后,PE文件头的定义可以在Windows SDK中的Winnt.h头文件中找到,其中包含了诸如IMAGE_DOS_HEADER、IMAGE_NT_HEADERS、IMAGE_SECTION_HEADER结构定义。通过这些定义,开发者可以创建自己的工具来读取和操作PE文件...
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
4. 节:PE文件的数据组织单元,包含代码、数据、资源、未初始化数据等,每个节都有自己的属性,如执行、读取、写入权限。 五、修改思路 1. 基本:修改PE文件通常涉及改变节的大小、位置,或者替换特定节内的数据,...
PE头之IMAGE_FILE_HEADER解析
ChuMeng1999的博客
10-17 924
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA) 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方
PE文件格式详解(三)――DOS Header & PE Header
lwglucky的专栏
03-13 1396
上一节中我们对PE文件的各个部分的作用有了一个总体的认识,从这节起我们会对PE文件的每个部分作更进一步的解释,当然别忘记了上一节中我提出的两个问题。 1.DOS MZ headerDOS Stub:         所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它,一旦程序在DOS下执行,DOS就能识别出这
把某个PE文件里的DOS Stub程序分离出来
cay22的专栏
01-11 2385
http://hi.baidu.com/sageking2/blog/item/c653a23dfe2bfae73c6d9715.html 把某个PE文件里的DOS Stub程序分离出来 正常PE文件格式会有一个Dos Stub块,事实上就是一个DOS下的*.exe程序。 当我们拿一个Win32程序跑到DOS系统下运行就会执行这个程序。       先拿十六进制工具WinHex打开一个De
ReadDOS_head_Mapping
autumn20080101的专栏
12-16 563
void CReadDOS_headDlg::OnBtnRead() { /* CFile f; CFileException e; // 打开文件 char buffPath[256]; this->GetDlgItemText(IDC_FILE_PATH,buffPath,sizeof(buffPath)); int openRet; if (!(openRet=f.Ope
Python 扫描PE文件头异常信息
zheng_ruiguo的专栏
04-04 421
''' Python 扫描PE文件头警告信息 by 郑瑞国 scanPE.py 安装模块cmd命令:pip3 install pefile 获取PE文件头信息的方法: import pefile pe = pefile.PE('E:\\TestTool\\LaoMaoTao.exe') print(pe) ''' import os import string import hashlib ...
关于file命令报错找不到magic文件的问题
ZLK1214的专栏
09-13 2597
嵌入式板子上执行file命令,提示 file: could not find any valid magic files! (No such file or directory) 这是因为板子上file软件包没有在正确的路径下安装。 正常情况下,如果configure的时候不指定--prefix选项,那么--prefix的默认值为/usr/local(可通过./configure -h看到) 也就是说file软件默认是安装在/usr/local目录下的,magic.mgc文件应该放到/usr/local/s
PE文件详解之MS-DOS
知其所以然
09-01 2511
MS-DOS头    1,每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。    2,PE文件的第一个字节起始于一个传统的MS-DOS头部,被称作为IMAGE_DOS_HEADER。    3,IMAGE_DOS_HEADER 结构如下。 typedef struct _IMAGE_DOS_HEADER { // DOS .
PE格式之DOS头+PE
Miibotree
04-06 5678
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。 所以写下代码来泄愤。。。。 首先给大家推广下小甲鱼的网站 http://fishc.com/  小甲鱼是个大帅锅(。。。。) 这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值