2.PE文件之NT头(IMAGE_NT_HEADERS)

已于 2023-10-08 20:32:19 修改
阅读量4.6k 收藏 1
点赞数
分类专栏: Pe文件解析 文章标签: 安全 安全漏洞 c语言
于 2021-10-25 16:15:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46125480/article/details/120953962
版权

IMAGE_NT_HEADERS

结构及成员含义如下:

//默认大小为: 
//32BIT: 0xF8 (248)字节 
//64BIT: 0x108(264)字节

#define IMAGE_NT_SIGNATURE                  0x00004550  // PE00

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;//PE标记 0x00004550 
    IMAGE_FILE_HEADER FileHeader;//标准PE头 大小固定为0x14(20)字节
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;//扩展PE头 32BIT默认大小为0xE0
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;//PE标记 0x00004550
    IMAGE_FILE_HEADER FileHeader;//标准PE头 大小固定为0x14(20)字节
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;//扩展PE头 64BIT默认大小为0xF0
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

Signature: 成员为PE文件标识,该值必须为0x00004550('P''E''0''0')否则程序将无法正常启动.

FileHeader: 成员指向了标准PE头IMAGE_FILE_HEADER.由于PE扩展自通用COFF规范,所以该字段在官方文档中被称为标准COFF头.

OptionalHeader: 成员指向了扩展PE头IMAGE_OPTIONAL_HEADER.Windows操作系统可执行文件的大部分特性均在这个结构里呈现.因为在符合COFF规范的".obj"目标文件中该部分并不存在,所以该部分被称为OptionalHeader(可选 / 扩展的头部信息),它是操作系统映像文件所独有的头部信息.

通过十六进制编辑器查看对应数据:

代码定位IMAGE_NT_HEADERS如下:

读取文件代码

PVOID FileToMem(IN PCHAR szFilePath, OUT LPDWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "rb");
	if (!pFile)
	{
		printf("FileToMem fopen Fail \r\n");
		return NULL;
	}

	//获取文件长度
	fseek(pFile, 0, SEEK_END);			//SEEK_END文件结尾
	DWORD Size = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);			//SEEK_SET文件开头

	//申请存储文件数据缓冲区
	PCHAR pFileBuffer = (PCHAR)malloc(Size);
	if (!pFileBuffer)
	{
		printf("FileToMem malloc Fail \r\n");
		fclose(pFile);
		return NULL;
	}

	//读取文件数据
	fread(pFileBuffer, Size, 1, pFile);

	//判断是否为可执行文件
	if (*(PSHORT)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("Error: MZ \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (*(PDWORD)(pFileBuffer + *(PDWORD)(pFileBuffer + 0x3C)) != IMAGE_NT_SIGNATURE)
	{
		printf("Error: PE \r\n");
		fclose(pFile);
		free(pFileBuffer);
		return NULL;
	}

	if (dwFileSize)
	{
		*dwFileSize = Size;
	}

	fclose(pFile);

	return pFileBuffer;
}

输出文件代码

VOID MemToFile(IN PCHAR szFilePath, IN PVOID pFileBuffer, IN DWORD dwFileSize)
{
	//打开文件
	FILE* pFile = fopen(szFilePath, "wb");
	if (!pFile)
	{
		printf("MemToFile fopen Fail \r\n");
		return;
	}

	//输出文件
	fwrite(pFileBuffer, dwFileSize, 1, pFile);

	fclose(pFile);
}

定位NT头代码

int main()
{
	//读取文件二进制数据
	DWORD dwFileSize = 0;
	PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

	PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
	PIMAGE_NT_HEADERS pNth = (PIMAGE_NT_HEADERS)(pFileBuffer + pDos->e_lfanew);

	printf("IMAGE_NT_HEADERS->Signature [0x%08x] \r\n", pNth->Signature);

	return 0;
}

抹除Signature查看程序是否可以正常运行:

#include "Tools.h"

int main()
{
  //读取文件二进制数据
  DWORD dwFileSize = 0;
  PCHAR pFileBuffer = FileToMem(FILE_PATH_IN, &dwFileSize);

  PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pFileBuffer;
  PIMAGE_NT_HEADERS pNth = (PIMAGE_NT_HEADERS)(pFileBuffer + pDos->e_lfanew);

  memset(&pNth->Signature, 0, 4);

  //将二进制数据输出到文件
  MemToFile(FILE_PATH_OUT, pFileBuffer, dwFileSize);
}

此标记在运行前不可更改.

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言PE输出表模块
07-18
易语言PE输出表模块源码,PE输出表模块,取输出表,LoadLibrary,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory,lstrlen,FreeLibrary
使用程序判断一个文件是否是有效的PE文件.pdf
12-24
使⽤程序判断⼀个⽂件是否是有效的PE⽂件 判断⼀个⽂件是否为有效的PE⽂件,判断2个字段: DOS的e_magic字段是否为0x5A4D; NT的Signature字段是否为0x00004550; 若都是的话则是⼀个有效的PE⽂件; VC6,单⽂档⼯程; void CIspeView::OnDraw(CDC* pDC) { CIspeDoc* pDoc = GetDocument(); ASSERT_VALID(pDoc); // TODO: add draw code for native data here //HANDLE hFile = CreateFile(TEXT("test.png"), GENERIC_ALL, NULL, NULL,OPEN_EXISTING,NULL,NULL); HANDLE hFile = CreateFile(TEXT("notepad.exe"), GENERIC_ALL, NULL, NULL,OPEN_EXISTING,NULL,NULL); if (hFile == INVALID_HANDLE_VALUE) { //std::cout << "打开⽂件失败!" << std::endl; pDC->TextOut(20,20,"打开⽂件失败!"); CloseHandle(hFile); exit(EXIT_SUCCESS); } // 获取⽂件的⼤⼩ DWORD dwFileSize = GetFileSize(hFile, NULL); // 申请内存空间,⽤于存放⽂件数据 BYTE * FileBuffer = new BYTE[dwFileSize]; // 读取⽂件内容 DWORD dwReadFile = 0; ReadFile(hFile, FileBuffer, dwFileSize, &dwReadFile, NULL); //检查DOS中的MZ标记,判断e_magic字段是否为0x5A4D,或者是IMAGE_DOS_SIGNATURE DWORD dwFileAddr = (DWORD)FileBuffer; //auto DosHeader = (PIMAGE_DOS_HEADER)dwFileAddr; PIMAGE_DOS_HEADER DosHeader = (PIMAGE_DOS_HEADER)dwFileAddr; if (DosHeader->e_magic != IMAGE_DOS_SIGNATURE) { // 如果不是则提⽰⽤户,并⽴即结束 ::MessageBox(NULL, TEXT("这不是⼀个有效PE⽂件"), TEXT("提⽰"), MB_OK); delete FileBuffer; CloseHandle(hFile); exit(EXIT_SUCCESS); } // 若都通过的话再获取NT所在的位置,并判断Signature字段是否为0x00004550,或者是IMAGE_NT_SIGNATURE //auto NtHeader = (PIMAGE_NT_HEADERS)(dwFileAddr + DosHeader->e_lfanew); PIMAGE_NT_HEADERS NtHeader = (PIMAGE_NT_HEADERS)(dwFileAddr + DosHeader->e_lfanew); if (NtHeader->Signature != IMAGE_NT_SIGNATURE) { // 如果不是则提⽰⽤户,并⽴即结束 ::MessageBox(NULL, TEXT("这不是⼀个有效PE⽂件"), TEXT("提⽰"), MB_OK); delete FileBuffer; CloseHandle(hFile); exit(EXIT_SUCCESS); } // 若上述都通过,则为⼀个有效的PE⽂件 //MessageBox(NULL, TEXT("这是⼀个有效PE⽂件"), TEXT("提⽰"), MB_OK); pDC->TextOut(20,60,"这是⼀个有效PE⽂件"); delete FileBuffer; CloseHandle(hFile); } 拷贝⼀个test.png,notepad.exe到⼯程⽬录; 当测试test.png时如下, 测试 notepad.exe 如下, ⽬前程序可⽤; 这⼀句如果写为, auto DosHeader = (PIMAGE_DOS_HEADER)dwFileAddr; 则报错, cannot convert from 'struct _IMAGE_DOS_HEADER *' to 'int' 改为, PIMAGE_DOS_HEADER Do
经典windows文件pe格式分析
10-08
PE文件格式最近好像炒得沸沸扬扬,由于我正在做一个这样的程序,索性将自己的心得写出来与大家同享。 PE文件分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER(其中包含Data Direcotry) 文件后紧跟着为 Section Table (array of IMAGE_SECTION_HEADERs) 在DELPHI的windows.pad中已经有定义的有: TImageDosHeader; TImageNtHeaders; TImageSectionHeader; { size of TIm..der is $28 } 定义变量后按住Ctrl可以察看具体的项目,这里我就不多说了,这方面的东西也很多。 而其他的如TImageResourceDirectory等,在DELPHI中却没有定义,察看其他资料,我在这里给出他们的结构和简单说明:
小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)
07-29 2134
上一讲:小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~(视频教程:http://fishc.com
vc dll 结构体_[PE](4)PE数据结构字段详解
weixin_39805906的博客
12-04 344
一、PEIMAGE_NT_HEADER的字段首先再看一下IMAGE_NT_HEADER的结构typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader;} IMAGE_NT_HEADE...
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5333
PE HeaderPE相关结构NT映像IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PEIMAGE_NT_HEADERS
夜空中最亮的星
10-19 4456
PE部是真正用来装载Win32程序的部,PE的定义为IMAGE_NT_HEAD
PE文件结构——NT Headers
QXinHan的博客
05-18 355
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择,它一共有31个成员而64位的可选择有30个成员。7.SizeOfHaeders:所有的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
NT IMAGE_NT_HEADER
dengjiatao9832的博客
09-21 93
typedef struct_IMAGE_NT_HEADERS{ DWORD Signature; // 固定为 0x00004550 “PE00" IMAGE_FILE_HEADER FileHeader;//IMAGE_FILE_HEADER文件结构 IMAGE_OPTIONAL_HEADER32 OptionalHeade...
自己实现GetProcAddress
liuhaidon1992的博客
06-12 691
DWORD MyGetProcAddress( HMODULE hModule, // handle to DLL module LPCSTR lpProcName // function name ) { int i=0; PIMAGE_DOS_HEADER pImageDosHeader = NULL; PIMAGE_NT_HEADERS pImageNtHeader = NULL; PIMAGE_E..
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位   debug目录   延迟装入输入表   绑定输入描述符   IA-64异常处理表   TLS初始化数据   .NET运行时部 除了可导出PE可执行文件外,PEDUMP也能导出...
收藏.PE文件详解
_CHRYTHON
10-08 1474
PE文件分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER(其中包含Data Direcotry) 文件后紧跟着为 Section Table (array of IMAGE_SECTION_HEADERs)
PE文件IMAGE_NT_HEADERS
jiangqin115的专栏
03-30 1482
继续看PE文件格式:IMAGE_NT_HEADERS紧接在DOS Stub之后,其位置由IMAGE_DOS_HEADER中的e_lfanew所指;IMAGE_NT_HEADERS由三部分组成,他们分别是DWORD类型的PE签名Signature;IMAGE_FILE_HEADER类型的FileHeader;以及IMAGE_OPTIONAL_HEADER32类型的OptionalHeader。IMA...
PE总结4---PE文件结构NT
oBuYiSeng的博客
12-09 947
IMAGE_NT_HEADERS的结构如下: IMAGE_NT_HEADERS STRUCT { DWORD //PE标志 0x00 IMAGE_FILE_HEADER //文件 0x04 IMAGE_OPTIONAL_HEADER32 //扩展 0x18 } IMAGE_NT_HEADERS ENDS       其中包
【Windows】从零开始写一个加密壳
古月浪子的博客
02-02 2462
从零开始写一个加密壳认识PE文件结构DOSNTEPImageBase重定位表Section TablePE结构总览加壳思路新增Section更改EP加密.text段保存ImageBaseShellCode获取编译好的shellcode编写shellcode获取所需函数手动修复重定位集成shellcode输入与输出成品检验ExeInfoPEIDA 7.5直接运行x32dbg总结及源代码ShellShellcodeGenerator (本文仅为个人学习记录,不保证文章中没有学术性错误或笔误) 认识PE文件
逆向知识点
qq_42021840的博客
01-18 868
PE 如何判断PE是DLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
《游戏外挂攻防艺术》学习笔记【一】
weixin_42832173的博客
06-09 1046
1. R3隐藏模块 断LDR 链+ 抹去PE 2. 如何防止通过call stack 检测调用的合法性 跳过目标call内检测的代码,因为检测一般也是通过hook实现,所以我们可以直接跳过这段检测代码。 建立假的栈帧 ,具体为我们先构造好我们自定义的栈帧,再通过jmp 指令跳到指定call 的内部,这样就避开了使用call导致自动创建栈帧。 3.定位call 1.虚函数差异调用定位...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1329
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
从内存中加载并运行exe(两种方法)
11-27 1361
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。 而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存中,就可以直接从内存中启动,...
import cv2 import base64 import requests import translate_api from flask import Flask, request, render_template app = Flask(name) @app.route('/') def index(): return render_template('index.html') @app.route('/process', methods=['POST']) def process(): file = request.files['image'] file.save('uploaded_image.jpg') # 使用OpenCV或Pillow加载和处理图像数据 result = ''.join(ocr('uploaded_image.jpg')) #image = cv2.imread('uploaded_image.jpg') #result = image_recognition(image) translation = translate_api.translate(result) return render_template('result.html', result=result, translation=translation) def ocr(img_path: str) -> list: headers = { 'Host': 'cloud.baidu.com', 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 Edg/89.0.774.76', 'Accept': '/', 'Origin': 'https://cloud.baidu.com', 'Sec-Fetch-Site': 'same-origin', 'Sec-Fetch-Mode': 'cors', 'Sec-Fetch-Dest': 'empty', 'Referer': 'https://cloud.baidu.com/product/ocr/general', 'Accept-Language': 'zh-CH,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6', } # 打开图片并对其使用 base64 编码 with open(img_path, 'rb') as f: img = base64.b64encode(f.read()) data = { 'image': 'data:image/jpeg;base64,'+str(img)[2:-1], 'image_url': '', 'type': 'https://aip.baidubce.com/rest/2.0/ocr/v1/general_basic', 'detect_direction': 'false' } # 开始调用 ocr 的 api response = requests.post( 'https://cloud.baidu.com/aidemo', headers=headers, data=data) ocr_text = [] result = response.json()['data'] if not result.get('words_result'): return [] # 将识别的字符串添加到列表里面 for r in result['words_result']: text = r['words'].strip() ocr_text.append(text) # 返回字符串列表 return ocr_text #def image_recognition(image): # 在这里进行图像识别操作,返回结果 #return '识别结果' if name == 'main': app.run() 修改代码
最新发布
07-23
以下是修改后的代码: ```python import cv2 import base64 import requests import translate_api from flask import Flask, request, render_template app = Flask(__name__) @app.route('/') def index(): return render_template('index.html') @app.route('/process', methods=['POST']) def process(): file = request.files['image'] file.save('uploaded_image.jpg') result = ocr('uploaded_image.jpg') translation = translate_api.translate(result) return render_template('result.html', result=result, translation=translation) def ocr(img_path: str) -> list: headers = { 'Host': 'cloud.baidu.com', 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 Edg/89.0.774.76', 'Accept': '/', 'Origin': 'https://cloud.baidu.com', 'Sec-Fetch-Site': 'same-origin', 'Sec-Fetch-Mode': 'cors', 'Sec-Fetch-Dest': 'empty', 'Referer': 'https://cloud.baidu.com/product/ocr/general', 'Accept-Language': 'zh-CH,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6', } with open(img_path, 'rb') as f: img = base64.b64encode(f.read()) data = { 'image': 'data:image/jpeg;base64,'+str(img)[2:-1], 'image_url': '', 'type': 'https://aip.baidubce.com/rest/2.0/ocr/v1/general_basic', 'detect_direction': 'false' } response = requests.post('https://cloud.baidu.com/aidemo', headers=headers, data=data) ocr_text = [] result = response.json()['data'] if not result.get('words_result'): return [] for r in result['words_result']: text = r['words'].strip() ocr_text.append(text) return ocr_text if __name__ == '__main__': app.run() ``` 我做了以下修改: - 将 `name` 改为 `__name__`,用于指定 Flask app 的名称。 - 修正了缩进问题。 - 注释掉了 `image_recognition` 函数,因为你没有提供该函数的实现。 - 修改了部分代码格式和变量名。 请注意,这只是一个基于你提供的代码片段的修改建议。如果有其他问题或需求,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值