1.PE文件之DOS头(IMAGE_DOS_HEADER)

已于 2023-10-08 20:31:57 修改
阅读量8.7k 收藏 12
点赞数 1
分类专栏: Pe文件解析 文章标签: 1024程序员节 安全 安全漏洞 c语言
于 2021-10-24 16:33:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/120935748
版权

IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序仅使用其中两个成员.

IMAGE_DOS_HEADER

结构及成员含义如下:

//大小为: 0x40(64)字节

#define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // MZ标记 0x5a4d 
    WORD   e_cblp;                      // 最后(部分)页中的字节数
    WORD   e_cp;                        // 文件中的全部和部分页数
    WORD   e_crlc;                      // 重定位表中的指针数
    WORD   e_cparhdr;                   // 头部尺寸以段落为单位
    WORD   e_minalloc;                  // 所需的最小附加段
    WORD   e_maxalloc;                  // 所需的最大附加段
    WORD   e_ss;                        // 初始的SS值(相对偏移量)
    WORD   e_sp;                        // 初始的SP值
    WORD   e_csum;                      // 补码校验值
    WORD   e_ip;                        // 初始的IP值
    WORD   e_cs;                        // 初始的SS值
    WORD   e_lfarlc;                    // 重定位表的字节偏移量
    WORD   e_ovno;                      // 覆盖号
    WORD   e_res[4];                    // 保留字
    WORD   e_oemid;                     // OEM标识符(相对m_oeminfo)
    WORD   e_oeminfo;                   // OEM信息
    WORD   e_res2[10];                  // 保留字
    LONG   e_lfanew;                    // NT头(PE标记)相对于文件的偏移地址
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

e_magic: 该成员为MZ标记(DOS系统开发人员中一个人的名字),用于判断是否为可执行文件,如果此值不是0x5a4d程序将不会正常启动 .

e_lfanew: 该成员中存储的值为IMAGE_NT_HEADERS结构的偏移,加上文件头来定位IMAGE_NT_HEADERS结构.

IMAGE_DOS_HEADER结构之后的数据和IMAGE_NT_HEADERS结构之前的数据为垃圾值编译器填充称为DOS_STUB,可随意修改,不会影响程序正常运行.

通过十六进制编辑器查看可执行文件在硬盘时数据:

通过代码查看IMAGE_DOS_HEADER结构数据:

读取文件代码:

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}

	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头

	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}

	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);

	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (dwFileSize)
	{
		*dwFileSize = Size;
	}

	fclose(pFile);

	return pFileBuffer;
}

输出文件代码:

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}

	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);

	fclose(pFile);
}

读取DOS头数据代码:

VOID PrintDosHeader()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
	if (!pFileBuffer)
	{
		return;
	}

	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;

	printf("IMAGE_DOS_HEADER.e_magic -> [0x%04x] \r\n", pDos->e_magic);
	printf("IMAGE_DOS_HEADER.e_cblp -> [0x%04x] \r\n", pDos->e_cblp);
	printf("IMAGE_DOS_HEADER.e_cp -> [0x%04x] \r\n", pDos->e_cp);
	printf("IMAGE_DOS_HEADER.e_crlc -> [0x%04x] \r\n", pDos->e_crlc);
	printf("IMAGE_DOS_HEADER.e_cparhdr -> [0x%04x] \r\n", pDos->e_cparhdr);
	printf("IMAGE_DOS_HEADER.e_minalloc -> [0x%04x] \r\n", pDos->e_minalloc);
	printf("IMAGE_DOS_HEADER.e_maxalloc -> [0x%04x] \r\n", pDos->e_maxalloc);
	printf("IMAGE_DOS_HEADER.e_ss -> [0x%04x] \r\n", pDos->e_ss);
	printf("IMAGE_DOS_HEADER.e_sp -> [0x%04x] \r\n", pDos->e_sp);
	printf("IMAGE_DOS_HEADER.e_csum -> [0x%04x] \r\n", pDos->e_csum);
	printf("IMAGE_DOS_HEADER.e_ip -> [0x%04x] \r\n", pDos->e_ip);
	printf("IMAGE_DOS_HEADER.e_cs -> [0x%04x] \r\n", pDos->e_cs);
	printf("IMAGE_DOS_HEADER.e_lfarlc -> [0x%04x] \r\n", pDos->e_lfarlc);
	printf("IMAGE_DOS_HEADER.e_ovno -> [0x%04x] \r\n", pDos->e_ovno);

	for (size_t i = 0; i < 4; i++)
	{
		printf("IMAGE_DOS_HEADER.e_res[%d] -> [0x%04x] \r\n", i, pDos->e_res[i]);
	}

	printf("IMAGE_DOS_HEADER.e_oemid -> [0x%04x] \r\n", pDos->e_oemid);
	printf("IMAGE_DOS_HEADER.e_oeminfo -> [0x%04x] \r\n", pDos->e_oeminfo);

	for (size_t i = 0; i < 10; i++)
	{
		printf("IMAGE_DOS_HEADER.e_res2[%d] -> [0x%04x] \r\n", i, pDos->e_res2[i]);
	}

	printf("IMAGE_DOS_HEADER.e_lfanew -> [0x%08x] \r\n", pDos->e_lfanew);
}

测试抹除除e_magic,e_lfanew 以外的数据观察程序是否可以正常执行:

#include "Tools.h"

int main()
{
  //读取文件二进制数据
  DWORD dwFileSize = 0;
  PVOID pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);
  
  //抹除IMAGE_DOS_HEADER垃圾数据
  memset((PCHAR)pFileBuffer + 2, 0, 0x3A);


  //将二进制数据输出到文件
  MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

  return 0;
}

程序正常运行

测试抹除e_magic观察程序是否可以正常执行:

#include "Tools.h"

int main()
{
  //读取文件二进制数据
  DWORD dwFileSize = 0;
  PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

  memset(pFileBuffer, 0, 2);

  //将二进制数据输出到文件
  MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

  return 0;
}

程序运行失败

测试抹除e_lfanew 观察程序是否可以正常执行:

#include "Tools.h"

int main()
{
  //读取文件二进制数据
  DWORD dwFileSize = 0;
  PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

  memset(pFileBuffer + 0x3C, 0, 4);

  //将二进制数据输出到文件
  MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

  return 0;
}

程序运行失败

测试抹除垃圾数据观察程序是否可以正常执行:

#include "Tools.h"

int main()
{
  //读取文件二进制数据
  DWORD dwFileSize = 0;
  PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

  PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
  memset(pFileBuffer + sizeof(IMAGE_DOS_HEADER), 0, pDos->e_lfanew - sizeof(IMAGE_DOS_HEADER));

  //将二进制数据输出到文件
  MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);

  return 0;
}

程序正常运行

通过代码测试可以得出结论:IMAGE_DOS_HEADER中除e_magic,e_lfanew成员外均可修改,不会影响程序正常运行.DOS_STUB数据同样可以随意更改.

「已注销」
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2827
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
DOSIMAGE_DOS_HEADER
07-09 371
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS和一个DOS程序体。 DOS部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
PE文件解析
爱上了她的猫~
05-28 3070
标题:PE文件解析 作者:流浪的野指针 1 IMAGE_DOS_HEADER MS-DOS 部存在于每个 PE 文件中,它的存在完全是出于兼容性的考虑,MS-DOS 部紧接的是 DOS-STUB,这两部分构成了可执行文件的基本要素,当该程序运行在 MS-DOS 系统中,并不会出现不可预料的错误,因为它会执行 DOS-STUB 中的代码,如果不行它也仅仅是提示你 This program c...
PE DOS
weixin_52971884的博客
05-03 771
DOSPE文件的开始 DOS是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode.还有一个目的,就是指明NT文件中的位置。NT包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件IMAGE_FILE_HEADER)和PE可选IMAGE_OPTIONAL_HEADER32),部的详细结构以及其具体意义在PE文件文章中详细描述。 节表
PE文件解析(1):Dos与NT
ylh的博客
10-30 895
什么是PE文件PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
逆向-PE文件结构
写代码的小阿帆的博客
05-21 817
首先复习一下PE文件的结构: MS-DOS DOS部首有MZ HeaderDos stub两个部分组成,这两部分通常合成为Dos 文件,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
这可以通过解析PE的`IMAGE_FILE_HEADER`结构和`IMAGE_OPTIONAL_HEADER`结构,以及节表的`IMAGE_SECTION_HEADER`结构来实现。 压缩包中的"PE文件格式的判断"源码很可能是实现这一过程的示例。它可能会包含以下几个...
关于PE可执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
通过修改PE中的IMAGE_NT_HEADERS.OptionalHeader.EntryPoint字段,可以改变程序的启动流程。 2. **添加或删除导入和导出**:导入表用于标识程序依赖的外部函数,导出表则列出程序提供的可被其他模块调用的函数。...
PECheck.zip_文件操作_Visual_C++_
08-11
PE文件由几个主要部分组成:DOS、NT、节表、数据目录以及各节的数据。DOS是一个遗留自DOS时代的标志,用于兼容旧系统;NT则包含PE文件的核心信息,如文件类型、机器类型等。节表列出文件的各个逻辑部分,每...
PE_explorer.rar_Windows编程_Visual_C++_
08-12
1. **PE文件**:PE文件部包含了文件的基本信息,如文件类型(可执行文件或DLL)、目标CPU架构、文件大小等。在C++中,可以通过IMAGE_DOS_HEADERIMAGE_NT_HEADERS结构体来访问这些信息。 2. **节区表**:PE...
OEP.rar_OEP_Pe-file_infector
09-24
Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体,可以直接用来解析PE文件。 此外,"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域,某些...
PE文件解析_Dos
qq_50052051的博客
12-18 330
Dos部分主要为现代PE文件可以对早期的DOS文件进行良好兼容存在,其对应结构体为IMAGE_DOS_HEADER,所在文件为winnt.h typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of ...
病毒实验四
weixin_34402090的博客
03-07 257
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
免杀基础之一文学废PE文件格式
Gamma_lab的博客
03-31 4651
前言 PE文件的全称是Portable Executable ,意为可移植的可执行文件,常见的有EXE,DLL,SYS,COM,OCX,PE文件是微软Windows操作系统上的程序文件。 简单来理解,就是一种数据结构。我们知道知道CPU只认识二进制数,所以可执行文件保存在磁盘中都是以二进制数保存的,不过为了查看,所以市面上的编辑器都是用16进制显示的,比如下面这样,使用010Editer打开一个PE文件PE文件结构如下: 有的数据结构是用来执行的代码,有的数据结构是用来保存数据。 基础知识 基地址
PE文件-DOS
weixin_45012273的博客
11-06 389
概述 PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等.... PE文件整体的格式图: DOS IMAGE_DOS_HEADER格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ" .
PE结构读取之DOS Header
kwfly的专栏
09-21 1356
PE文件 DOS Header 结构
windows PE文件都包含哪些信息【详细汇总介绍】
Bobowen的博客
12-31 1024
PE(Portable Executable)文件是Windows操作系统中使用的可执行文件格式,用于.exe、.dll、.sys等文件PE文件结构是由一系列紧密相关的部和数据节组成的,每个部分都承担着特定的功能。
DOS和NTPE)结构及移位(小白文详细篇)
Doub1's Blog
06-11 2235
DOS和NTPE)结构及移位(x86 x64 小白文详细篇)DOSPEPE移位 DOS 一个PE文件起始的部分开始就是DOS,不要觉得难理解,这和GIT,BMP,JPG,RAR等等都一样,只是在文件起始部位标识这个文件属于什么文件类型。 下面是DOS在winnt.h中的定义: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic
pe格式从入门到图形化显示(一)-DOS
最新发布
Mrack的博客
04-05 456
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式是Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:部、节区表、节区和数据目录。部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
请利用WINDOWS API技术通过将PE文件的NTheader向下偏移,紧邻着节表来完成.exe文件的节表免疫,给出相应C++代码
06-01
为了实现.exe文件的节表免疫,可以通过以下步骤: 1. 使用Windows API函数打开可执行文件,获取可执行文件文件和节表信息。 2. 计算新的NT偏移量,将NT偏移至节表之后。 3. 将修改后的NT信息写回可执行文件中。 以下是相应的C++代码实现: ```c++ #include <windows.h> #include <iostream> using namespace std; int main() { // 打开可执行文件 HANDLE hFile = CreateFileA("test.exe", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if(hFile == INVALID_HANDLE_VALUE) { cout << "Open file failed!" << endl; return 0; } // 获取可执行文件文件 IMAGE_DOS_HEADER dosHeader; DWORD dwBytesRead = 0; ReadFile(hFile, &dosHeader, sizeof(dosHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(dosHeader)) { cout << "Read file header failed!" << endl; CloseHandle(hFile); return 0; } IMAGE_NT_HEADERS ntHeader; ReadFile(hFile, &ntHeader, sizeof(ntHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(ntHeader)) { cout << "Read file header failed!" << endl; CloseHandle(hFile); return 0; } // 获取节表信息 DWORD dwSectionOffset = dosHeader.e_lfanew + sizeof(ntHeader.Signature) + sizeof(ntHeader.FileHeader) + ntHeader.FileHeader.SizeOfOptionalHeader; IMAGE_SECTION_HEADER sectionHeader; SetFilePointer(hFile, dwSectionOffset, NULL, FILE_BEGIN); for (int i = 0; i < ntHeader.FileHeader.NumberOfSections; i++) { ReadFile(hFile, &sectionHeader, sizeof(sectionHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(sectionHeader)) { cout << "Read section header failed!" << endl; CloseHandle(hFile); return 0; } } // 计算新的NT偏移量 DWORD dwNewNtHeaderOffset = dwSectionOffset + ntHeader.FileHeader.NumberOfSections * sizeof(sectionHeader); // 将NT偏移至节表之后 SetFilePointer(hFile, dwNewNtHeaderOffset, NULL, FILE_BEGIN); WriteFile(hFile, &ntHeader, sizeof(ntHeader), &dwBytesRead, NULL); if (dwBytesRead != sizeof(ntHeader)) { cout << "Write NT header failed!" << endl; CloseHandle(hFile); return 0; } // 关闭文件句柄 CloseHandle(hFile); cout << "File section table immune success!" << endl; return 0; } ``` 需要注意的是,此代码仅供学习和参考使用,具体实现可能需要根据实际情况进行调整和优化。同时,对于修改可执行文件的操作需谨慎,应在测试环境下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值