PE结构图

最新推荐文章于 2019-01-24 22:29:31 发布
最新推荐文章于 2019-01-24 22:29:31 发布
阅读量634 收藏 1
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifeofcs001/article/details/46797365
版权


typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                   //EXE标志,"MZ"
    WORD   e_cblp;                      
    WORD   e_cp;                     
    WORD   e_crlc;                      
    WORD   e_cparhdr;                   
    WORD   e_minalloc;                
    WORD   e_maxalloc;                  
    WORD   e_ss;                    
    WORD   e_sp;                        
    WORD   e_csum;                  
    WORD   e_ip;                   
    WORD   e_cs;                     
    WORD   e_lfarlc;                   
    WORD   e_ovno;              
    WORD   e_res[4];                   
    WORD   e_oemid;                    
    WORD   e_oeminfo;                  
    WORD   e_res2[10];                  
    LONG   e_lfanew;                    //RVA:IMAGE_NT_HEADER首地址
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

 

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature; //PE签名,"PE"
    IMAGE_FILE_HEADER FileHeader; //标准头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //扩展头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

 

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine; //运行平台
    WORD    NumberOfSections; //节区的数量
    DWORD   TimeDateStamp; //创建时间
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader; //扩展头尺寸
    WORD    Characteristics; //文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 

typedef struct _IMAGE_OPTIONAL_HEADER {

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode; //所有含代码的节区的总大小
    DWORD   SizeOfInitializedData; //所有含初始化数据的节区的总大小
    DWORD   SizeOfUninitializedData; //所有含未初始化数据的节区的总大小
    DWORD   AddressOfEntryPoint; //RVA:程序的执行入口,就是第一个代码的地址
    DWORD   BaseOfCode; //RVA:代码节区的起始地址
    DWORD   BaseOfData; //RVA:数据节区的起始地址

    DWORD   ImageBase; //RV:程序的建议装载地址
    DWORD   SectionAlignment; //内存中节的对齐单位,一般为1000h
    DWORD   FileAlignment; //文件中节的对齐单位,一般为200h
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage; //内存中整个PE映像的尺寸
    DWORD   SizeOfHeaders; //除节区外PE映像的尺寸,这个尺寸在内存中和在文件中是一样大小 
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes; //下面数据目录结构的数量
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //数据目录
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

 

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress; //RVA:数据的起始地址
    DWORD   Size; //数据块的尺寸
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

 

#define IMAGE_SIZEOF_SHORT_NAME              8

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //节区的名字,共8个字节
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize; //节区的尺寸
    } Misc;
    DWORD   VirtualAddress; //RVA:节区的起始地址
    DWORD   SizeOfRawData; //文件中节区的尺寸
    DWORD   PointerToRawData; //RFA:文件中节区的地址
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics; //节区的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;


本内容参考自<<Window PE 权威指面>>

说实在的,这本书看起来很吃力,1在于内容深,2在于名词取的不是很好(可能翻译自国外著作吧),很混人.所以我自己就作了个简单的发动.当然,只在于自己能够理解.

VA(virtual address):线性虚拟地址4GB领空中的某一地址,为绝对地址

RVA(reverse virtual address):相对于某一模块的距离,为相对地址

RFA(reverse file address):相对于文件领空起始的距离,为相对地址

offset:某一领空内二个地址的距离


lifeofcs001
关注
专栏目录
PE结构详解
weixin_44870554的博客
12-09 736
PE文件结构 PE文件是portable File Format(可移植文件)的简写 PE的解释:PE文件是指某一种格式的文件 比如可执行文件(exe) 动态链接库文件(dll) 驱动文件(sys)等 PE文件大概分为两部分:头与主体 两部分会在内部进行细分 PE格式文件的组成: DOS头部: 为兼容DOS程序设立 NT头部 : 存储PE文件的全部属性 初始化信息等 区段头表: 对于PE文件...
PE结构学习
字节跳动
12-12 274
一 学习网页 PE文件格式详解(一) PE文件格式详解(二) 二 PE文件格式 三 DOS头部 四 PE文件头
PE结构图PE结构
12-28
PE结构图 由看雪论坛得到 不知道作者是谁 PE.h 里面存放的是PE使用的结构
详细的PE结构图(带中文解释)
09-03
最详细的PE结构图。有中文注释。最详细的PE结构图。有中文注释。
PE文件结构图,很详细,方便大家下载
08-21
很方便查看的PE文件结构图,看起来很方便 很方便查看的PE文件结构图,看起来很方便
PE详细结构图
m0_37316166的博客
01-24 2512
PE结构图,理清exe dll结构.zip
08-20
通过分析和理解PE结构图,开发者能够更好地调试、逆向工程和优化Windows应用程序。此外,对于安全专家来说,了解PE结构有助于识别和防止恶意软件,因为许多病毒和木马都会篡改PE头以逃避检测。 总结起来,"PE结构图...
PE结构图文.rar
05-06
"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件的结构,以及微软官方的PE文件结构手册,这对于理解PE文件的内部工作机制非常有帮助。 首先,我们来看PE文件的基本结构。PE文件由两大部分...
PE文件结构详细图pdf
08-17
PE文件结构详细图pdf
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File Format(可移植文件)的简写,我们比较熟悉的DLL和exe文件都是PE文件。了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE 结构图 用WORD整理了一份PE结构图
09-02
PE结构学了好几次都半途而废,这次一定拿下!!! 与同室忙了一天,用WORD整理了一份PE结构图,与大家分享一下。
PE文件结构图-清晰
01-10
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
pe结构详图
08-03
最详细的pe结构图,我草你妈的,现在有20个字了吧
可用A4纸打印出来的PE结构图
05-14
可用A4纸打印出来的PE结构图,本结构图进行了分割,可以打印出来,纸质的有利于添加自己的理解。
PE结构图
jadeshu的博客
12-14 3957
   
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值