快速查询PE文件知识点和PE文件解析

已于 2022-05-04 00:49:27 修改
阅读量999 收藏 1
点赞数 1
分类专栏: pe文件 文章标签: windows
于 2022-05-04 00:48:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58089591/article/details/124564510
版权
本文详细介绍了PE(Portable Executable)文件的结构,包括PE节、基础知识点如基地址、虚拟地址和相对虚拟地址的关系,以及DOS头、NT头、数据目录项、区段头、导入表、导出表、重定位表的解析。同时指出代码中关于导入表、导出表和重定位表的部分存在一些问题,建议参考其他资源进行修正。
摘要由CSDN通过智能技术生成

PE(Portable Executable)

PE文件的全称是Portable Executable ,意为可移植的可执行文件,常见的有EXE,DLL,SYS,COM,OCX,PE文件是微软Windows操作系统上的程序文件

PE节

节名 说明
.text .text 节是供机器指令使用的默认节。一般情况下,在最终生成的可执行文件中,链接器将把每个.OBJ文件的.text节合并成一个巨大的、统一的.text节。
.data 全局和静态变量存储(在编译时初始化)
.bss 全局和静态变量存储(在编译时不初始化)
.textbss 启用增量链接
.rsrc .rsrc节用于储存模块资源,这些资源是可以嵌入到可执行文件中的二进制对象。例如,定制的鼠标光标、字体、程序图标、字符串表及版本信息都是标准的资源。资源还可以是应用程序需要的任意数据块(例如另一个可执行文件)。
.idata 存储有关导入库例程信息
.edata 存储有关导出库例程信息
.reloc 重定位
.rdata 数据段(只读)
.crt c++ 运行时库 runtime
.tls 线程局部存储

基础知识

  • 基地址(ImageBase):当PE文件通过Windows加载器载入内存后,内存中的版本称为模块,映射文件的起始地址称为模块句柄,可通过模块句柄访问内存中其他数据结构,这个内存起始地址就称为基地址。

  • 虚拟地址(VA,Virtual Address):在Windows系统中,PE文件被系统加载到内存后,每个程序都有自己的虚拟空间,这个虚拟空间的内存地址称为虚拟地址。

  • 相对虚拟地址(RVA,Relative Virtual Address):可执行文件中,有许多地方需要指定内存中的地址。例如,应用全局变量时需要指定它的地址。为了避免在PE文件中出现绝对内存地址引入了相对虚拟地址,它就是在内存中相对于PE文件载入地址的偏移量。

它们之间的关系:虚拟地址(VA) = 基地址(Image Base)+相对虚拟地址(RVA)

  • 文件偏移地址(Offset):当PE文件存储在磁盘中时,某个数据的位置相对于文件头的偏移量称为文件偏移地址(File Offset)。文件偏移地址从PE文件的第一个字节开始计数,起始值为0

PE 头解析

DOS头

DOS头和DOS存根,它们的存在主要是用来兼容DOS系统。当我们的程序运行在DOS系统的时候,就会运行DOS存根中的代码,代码内容就是输出一段字符串告诉用户,这个程序不能在16位系统运行。

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // DOS头签名,4D5A
    WORD   e_cblp;                      // 最后(部分)页中的字节数
    WORD   e_cp;                        // 文件中的全部和部分页数
    WORD   e_crlc;                      // 重定位表中的指针数
    WORD   e_cparhdr;                   // 头部尺寸,以段落为单位
    WORD   e_minalloc;                  // 所需的最小附加段
    WORD   e_maxalloc;                  // 所需的最大附加段
    WORD   e_ss;                        // 初始化的SS值(相对偏移量)
    WORD   e_sp;                        // 初始化的SP值
    WORD   e_csum;                      // 补码检验值
    WORD   e_ip;                        // 初始化的IP值
    WORD   e_cs;                        // 初始化的CS值(相对偏移量)
    WORD   e_lfarlc;                    // 重定位表的字节偏移量
    WORD   e_ovno;                      // 覆盖号
    WORD   e_res[4];                    // 保留字
    WORD   e_oemid;                     // OEM 标识符(相对 e_oeminfo)
    WORD   e_oeminfo;                   // OEM 信息; e_oemid specific
    WORD   e_res2[10];                  // 保留字
    LONG   e_lfanew;                    // PE头的偏移位置
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

DOS存根

在DOS头下方,是个可选项,大小不固定,由代码与数据混合而成,一般从0x40开始

标识头

#define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ
#define IMAGE_OS2_SIGNATURE                 0x454E      // NE
#define IMAGE_OS2_SIGNATURE_LE              0x454C      // LE
#define IMAGE_VXD_SIGNATURE                 0x454C      // LE
#define IMAGE_NT_SIGNATURE                  0x00004550  // PE00

解析DOS头

#include<Windows.h>
#include<iostream>
using namespace std;

void ImageDosHeader(_In_z_ const char* path)
{
	// 获取文件对象
	HANDLE hfile = CreateFileA(path, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
	// 获取文件大小
	DWORD fSize = GetFileSize(hfile, NULL);
	char* pBuff = new char[fSize];
	DWORD dwReadSize = 0;
	
	// 读文件
	BOOL bSuccess = ReadFile(hfile, pBuff, fSize, &dwReadSize, NULL);
	if (bSuccess)
	{
		PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBuff;
		// DOS头签名
		cout << hex << pDosHeader->e_magic << endl;
		// PE头的偏移位置
		cout << hex << pDosHeader->e_lfanew << endl;
	}
	else (cout.write("打开文件失败", 20));
	CloseHandle(hfile);
	delete[] pBuff;
}

void main()
{
	ImageDosHeader(R"(C:\Users\11981\Desktop\Project1\1.exe)");
}

NT头

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature; // 标识,0x00004550
    IMAGE_FILE_HEADER FileHeader; // 文件头
    IMAGE_OPTIONAL_HEADER64 OptionalHeader; // 可选头
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

NT头:文件头

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine; // 运行平台
    WORD    NumberOfSections; // 文件存在的区段数量
    DWORD   TimeDateStamp; // PE文件的创建时间,一般有连接器填写
    DWORD   PointerToSymbolTable; // COFF文件符号表在文件中的偏移
    DWORD   NumberOfSymbols; // 符号表的数量
    WORD    SizeOfOptionalHeader; // 可选PE头的大小
    WORD    Characteristics; // 文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine:运行平台

#define IMAGE_FILE_MACHINE_UNKNOWN           0
#define IMAGE_FILE_MACHINE_TARGET_HOST       0x0001  // Useful for indicating we want to interact with the host and not a WoW guest.
#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
#define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
#define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
#define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
#define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
#define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
#define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
#define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
#define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
#define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
#define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
#define IMAGE_FILE_MACHINE_THUMB             0x01c2  // ARM Thumb/Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_ARMNT             0x01c4  // ARM Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_AM33              0x01d3
#define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian
#define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64
#define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS
#define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64
#define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS
#define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS
#define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64
#define
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
快速查询PE文件知识点PE文件解析(下)
m0_58089591的博客
05-15 602
延迟加载导入表 延迟加载导入表(Delay Load Import Table)是PE中引入的专门用来描述与动态链接库延迟加载相关的数据,因为这些数据所起的作用和结构与导入表数据基本一致,所以称为延迟加载导入表。 延迟加载导入的概念:系统开始运行程序时被指定的延迟加载的 DLL是不被载入的,只有等到程序调用了该动态链接库的函数时,系统才将该链接库载入内存空间,并执行相关函数代码 typedef struct _IMAGE_DELAYLOAD_DESCRIPTOR { union {
PE文件查看器
03-07
简单的PE查看器控制台版本,可以简单了解一下PE格式是怎么读取的,DOS头 PE头 可选镜像头等的每个字段的内容,有哪些区段。此外本代码包含了硬盘的序列号读取,控制台字体颜色的设置。应用程序的图标资源的编译,并设置为控制台的图标。编译器为Mingw Cfree5.0。
一个查看PE文件内容的小工具——CliPeViewer
weixin_34306676的博客
01-08 1409
一个查看PE文件内容的小工具——CliPeViewer 本文地址:http://www.cnblogs.com/AndersLiu/archive/2009/04/18/cli-pe-viewer-release-1.html 作者:Anders Liu 猛击此链接,下载CliPeViewer:http://files.cnblogs.com/AndersLiu/CliPeV...
Total PE (take 2):一款强大的PE文件查看器
最新发布
gitblog_00827的博客
09-28 809
Total PE (take 2):一款强大的PE文件查看器 TotalPE2 PE Viewer 项目地址: https://gitcode.com/gh_mirrors/to/TotalPE2 ...
PE文件查看学习
weixin_43266544的博客
05-05 402
PE学习: xxx.h #include<Windows.h> #include"resource.h" #include<iostream> #pragma comment(lib,"Msimg32.lib") #define FILEBUFF "C:/LenovoSoftstore/Install/xxx/xxx.exe"//文件路径 #define fileBuff "C:/LenovoSoftstore/Install/xxx/副本xxx.exe"//保存文件路径 #d
很好用的查看PE文件的小工具---LordPE Deluxe 1.4 汉化版
duhaomin的专栏
12-10 3970
看看该软件: 001:查看动态库dll导入、导出表内容: 选择PE编辑器: 随便找一个PE文件,比如exe,dll等等: 点开红色箭头指向,就看到了导入的dll、函数等等信息。
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
pe文件资源查找
03-18 428
资源结构表有四层,前三层的偏移地址从本段基地址开始,前三层结构相同,为IMAGE_RESOURCE_DIRECTORY+IMAGE_RESOURCE_DIRECTORY_ENTRY组成。IMAGE_DOS_HEADER+IMAGE_NT_HEADERS +IMAGE_SECTION_HEADER+数据。0x409="utf-8"资源段为IMAGE_DIRECTORY_ENTRY_RESOURCE。IMAGE_SECTION_HEADER为段描述结构。第二层 ID为资源ID,字串ID=真实ID/16+1;
使用windbg查看PE文件格式
nevil的专栏
08-15 1775
DOS Header & NT Header: Data Directory: kd> !dh 0040000 Export Table: Import Table:
pe查看工具
05-10
pe查看工具。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
搜索目录的所有文件并把PE文件分类
12-01
搜索任意目录中的所有文件,并按照PE文件和非PE文件分类,并把PE文件按照PE文件头16字节分类。 结果如下: NO. PE_Header_HEX Number PE_Header_ASCII 1 4D 5A 90 00 03 00 11 11 11 11 10 00 FF FF 00 00 1 MZ? 2 4D 5A 90 00 03 00 01 11 11 11 11 00 FF FF 00 00 1 MZ? 3 4D 5A 90 00 03 00 00 00 11 11 10 00 FF FF 00 00 1 MZ? 4 4D 5A 90 00 03 00 00 00 01 11 00 00 FF FF 00 00 1 MZ? 5 4D 5A 90 00 03 00 00 01 11 10 00 00 FF FF 00 00 1 MZ? 6 4D 5A 90 00 03 00 00 00 11 11 11 10 FF FF 00 00 1 MZ? 7 4D 5A 90 11 11 11 11 10 04 00 00 00 FF FF 00 00 1 MZ? 8 4D 5A 90 00 03 00 11 11 04 01 10 00 FF 11 00 00 1 MZ? 9 4D 5A 90 01 13 00 00 00 04 00 00 01 11 FF 00 00 1 MZ? 10 4D 5A 90 00 03 00 00 01 11 11 11 11 1F FF 00 00 1 MZ? 11 4D 5A 44 56 41 50 41 11 11 11 14 6C 6C 00 6F 6C 1 MZDVAPA 12 4D 5A 72 75 6E 20 71 11 11 11 12 20 57 69 6E 33 1 MZrun qWin3 13 4D 5A 90 00 11 11 00 00 04 00 00 00 FF FF 00 00 1 MZ? 14 4D 5A 90 00 03 00 00 00 04 00 00 01 11 11 11 10 1 MZ? 15 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 01 10 1 MZP 16 4D 5A 50 00 02 00 00 10 04 11 11 00 FF FF 00 00 1 MZP 17 4D 5A 72 75 6E 20 75 E1 11 11 12 20 57 69 6E 33 1 MZrun u?Win3 18 4D 5A 90 54 68 69 73 20 70 72 6F 67 72 61 6D 20 2 MZ怲hiprogram 19 4D 5A D2 00 19 00 02 00 20 00 00 00 FF FF AD 02 1 MZ? 20 4D 5A 47 44 49 33 32 2E 64 6C 6C 00 55 53 45 52 2 MZGDI32.dll 21 4D 5A 90 00 03 00 02 22 22 22 22 20 FF FF 00 00 1 MZ? 22 4D 5A 50 00 02 00 00 00 04 00 0F 00 FF FF 00 00 2 MZP 23 4D 5A 4B 45 52 4E 45 4C 33 32 2E 64 6C 6C 00 6F 7MZKERNEL32.dll
易语言DLL函数查看器
08-22
易语言DLL函数查看器源码系统结构:计算偏差,查看函数,加载皮肤,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS32,RtlMoveMemory_IMAGE_IMPORT_DESCRIPTOR,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory_IM
PE 文件时间戳修改工具
12-16
PE 文件时间戳修改工具, 将PE文件编译时间戳统一修改为2008-08-08 08:08:08 使用方法: 1、命令行: TimeFix d:\Budded.dll 2、Delphi2007中PostBuild中可以使用: "$(BDS)\Bin\TimeFix.exe" "$(OUTPUTPATH)" 修改相关路径即可
PE文件结构及其加载机制
vbsourcecode的专栏
11-01 1924
PE文件结构及其加载机制(一) 一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文
跟着王哥学逆向——PE文件详解篇(第一篇)
qq_52642385的博客
03-12 4226
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1627
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbg、PE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
[re入门]PE文件结构
网络安全知识分享
02-24 5591
PE文件结构分析基本概念整体结构基地址相对虚拟地址文件偏移地址DOS头NT头(内容多)PE区段分析PE文件的输入输出表重定位表 基本概念 认识PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 EXE和DLL文件之间的区别完全是语义上的,他们使用完全相同的PE格式。唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。还有
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1579
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值