PE——PE基础结构分析

最新推荐文章于 2024-08-15 14:49:30 发布
最新推荐文章于 2024-08-15 14:49:30 发布
阅读量397 收藏
点赞数
分类专栏: PE 文章标签: c语言 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/markey1/article/details/122620441
版权

PE结构

  • 总体结构
    在这里插入图片描述
    在这里插入图片描述

IMAGE_NT_HEADERS包含了PE字样的签名标准PE头IMAGE_FILE_HEADER和可选PE头IMAGE_OPTIONAL_HEADER。

//DOS头
typedef struct _IMAGE_DOS_HEADER {
	WORD e_magic;	//“MZ标记”,用于判断是否位可执行文件
	WORD e_cblp;
	WORD e_cp;
	WORD e_crlc;
	WORD e_cparhdr;
	WORD e_minalloc;
	WORD e_maxalloc;
	WORD e_ss;
	WORD e_sp;
	WORD e_csum;
	WORD e_ip;
	WORD e_cs;
	WORD e_lfarlc;
	WORD e_ovno;
	WORD e_res[4];
	WORD e_oemid;
	WORD e_oeminfo;
	WORD e_res2[10];
	LONG e_lfanew;	//PE头相对于文件的偏移,用于定位PE文件
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

//标准PE头IMAGE_FILE_HEADER
typedef struct _IMAGE_FILE_HEADER
{
	WORD Machine;	//程序运行的的CPU型号:0x0任何处理器/0x14c 386及后续处理器
	WORD NumberOfSections;	//文件中存在的节的总数
	DWORD TimeDateStamp;	//时间戳:文件的创建时间,编译器填写的
	DWORD PointerToSymbolTable;
	DWORD NumberOfSymbols;
	WORD SizeOfOptionalHeader;	//可选PE头的大小,32位PE文件默认是E0,32位PE文件默认是F0,大小可自定义
	WORD Characteristics;	//按位表示的特征,每个位有不通含义,可选文件为10F
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

//可选PE头IMAGE_OPTIONAL_HEADER
typedef struct _IMAGE_OPTIONAL_HEADER 
{
    WORD    Magic;  //说明文件类型:10BH->32位下的PE; 20B->64位下的PE
    BYTE    MajorLinkerVersion;  
    BYTE    MinorLinkerVersion;  
    DWORD   SizeOfCode;  //所有代码节的和,必须是FileAligment的整数倍,编译器填的,没用 
    DWORD   SizeOfInitializedData;  //已初始化数据块的大小,必须是FileAligment的整数倍,编译器填的,没用 
    DWORD   SizeOfUninitializedData;  //未初始化数据块的大小,必须是FileAligment的整数倍,编译器填的,没用 
    DWORD   AddressOfEntryPoint;  //程序开始执行的入口地址,这是一个RVA(相对虚拟地址),相对于ImageBase
    DWORD   BaseOfCode; //代码段的起始RVA 一般来说 是 1000h
    DWORD   BaseOfData; //数据段的起始RVA
    DWORD   ImageBase; //可执行文件默认装入的基地址(也可以理解成模块和模块间的对齐值)
    DWORD   SectionAlignment; //内存中块的对齐值(默认的块对齐值为1000H,4KB个字节)
    DWORD   FileAlignment;//文件中块的对齐值(默认值为200H字节,为了保证块总是从磁盘的扇区开始的)
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;//映像装入内存后的总尺寸(拉长以后),但是必须是SectionAlignment的整数倍
    DWORD   SizeOfHeaders;//所有头加上节表  对齐后的大小,严格按照FileAlignment对齐
    DWORD   CheckSum;//CRC检验和,一些非常重要的文件会做检查,判断文件是否被修改
    WORD    Subsystem;//程序使用的用户接口子系统
    WORD    DllCharacteristics;//DLLmain函数何时被调用,默认为0
    DWORD   SizeOfStackReserve;//初始化时堆栈大小
    DWORD   SizeOfStackCommit;//初始化时实际提交的堆栈大小
    DWORD   SizeOfHeapReserve;//初始化时保留的堆大小
    DWORD   SizeOfHeapCommit;//初始化时实际提交的对大小
    DWORD   LoaderFlags;//与调试有关,默认为0
    DWORD   NumberOfRvaAndSizes;//数据目录结构的数目
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//数据目录表
}
MarkeyL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE框架学习
weixin_34242331的博客
02-09 4843
PE开发基础开发平台PowerEngine: 开发新功能: 业务逻辑处理: 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 PE交易处理流程: 无论一个交易的发送渠道是HTTP还是TCP,最终针对每一个渠道的Adapter会将请求的Form(HTTP)或报文(TCP)转换成与渠道无关的Context...
PE编程汇总
kisbuddy
08-14 2453
判断是否为有效PE文件: (c 版读写文件) //通过判断DOS头标志和PE头标志以及PE头属性值来确定文件是否可执行文件 BOOL IsExeFile(HANDLE hFile) { DWORD nCount; BOOL bResult = FALSE; IMAG
PE结构图和PE结构
12-28
PE结构图 由看雪论坛得到 不知道作者是谁 PE.h 里面存放的是PE使用的结构
PE基础1
weixin_30873847的博客
06-24 240
PE文件概述 文件格式 .png 、.mp4、.gif、.dll等等,这些文件都具有不同格式 不能随意修改这些文件,否则将无法打开 PE文件(可执行文件) 学习PE文件目标 掌握PE文件就掌握winodws运行秘密 掌握PE文件对逆向,病毒分析,调试,漏洞.....不可替代作 PE文件常见术语 字段:结构体中某个成员 头: 说明书本的目录或者前言 区段:...
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1078
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
PE结构图,理清exe dll结构.zip
08-20
通过分析和理解PE结构图,开发者能够更好地调试、逆向工程和优化Windows应用程序。此外,对于安全专家来说,了解PE结构有助于识别和防止恶意软件,因为许多病毒和木马都会篡改PE头以逃避检测。 总结起来,"PE结构图...
PE文件格式剖析——解剖PE格式文件
10-25
为了更好地理解和分析PE文件,有许多专门的工具可用于查看PE文件的内部结构。这些工具可以帮助开发者调试程序、分析程序的行为以及检测潜在的安全问题。一些常用的PE文件分析工具包括: - **PEiD**:用于识别PE文件...
小甲鱼PE结构详解课件.pdf
05-03
理解PE结构,对于进行逆向工程、漏洞分析、恶意软件分析等安全工作尤为重要。对于新手来说,熟悉PE结构有助于他们理解程序是如何在内存中布局的,以及操作系统是如何加载和执行程序的。通过本课件提供的详细结构和...
NEW最全的PE结构
10-27
通过"NEW最全的PE结构图",我们可以清晰地看到这些组件之间的关系和布局,这对于调试、逆向工程、病毒分析和软件开发都有极大的帮助。理解PE结构不仅能够帮助我们更好地优化程序,还能让我们在遇到问题时能够迅速...
PE檔案格式.rar_pe
09-19
**PE檔案格式——Windows执行程序的基础** PE(Portable Executable)檔案格式是Windows操作系统中用于存放可执行程序、动态链接库(DLL)、驱动程序等的关键结构。这种格式由Microsoft开发,自Windows 3.1时代引入...
PE框架从入门到放弃_基础
shaozw163的博客
07-23 2277
PE开发基础开发平台PowerEngine: 开发新功能: 业务逻辑处理: 1、Transaction:交易 2、Chain:链、责任链 3、Command:命令 4、Template:模板 5、Action:动作 PE交易处理流程: 无论一个交易的发送渠道是HTTP还是TCP,最终针对每一个渠道的Adapter会将请求的For...
PE框架基础学习(一)
想喝奶茶的胖大海
12-25 3358
PE 结构图 虚拟地址(VA): 在一个程序运行起来的时候,会被加载到内存中,并且每个进程都有自己的4GB,这个4GB当中的某个位置叫做虚拟地址,由物理地址映射过来的,4GB的空间,并没有全部被用到。 基地址( Imagebase ): 磁盘中的文件加载到内存当中的时候可以加载到任意位置,而这个位置就是程序的基址。EXE默认的加载基址是400000h,DLL文件默认基址是100000...
PE、PM、PD、PR分别是什么岗位?
热门推荐
weixin_41064179的博客
12-07 8万+
PE Production Engineer 产品工程师,通常负责产品的相关设计、试验验证等,与Process Engineer不同的是,他们通常只负责设计而不负责量产。 Process Engineer 工艺工程师。工作内容大致和Production Engineer相同   PM Project Management 项目管理师,就是项目的管理者,在有限的资源约束下,运用系统的...
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
PE详解
datouyu0824的博客
12-24 1403
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的结构一般来说如下图...
PE结构详解(加壳脱壳必备知识)
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
PE文件结构详解(一)基本概念
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
C语言日常练习 Day16
最新发布
m0_65544927的博客
08-15 362
如果按上述方法找到的位置已填入数据,则在同一列下一行填入下一个数字。左上角超出上方边界,则在最下边相对应的位置填入下一个数字;左上角超出左边边界,则在最右边相应的位置填入下一个数字;解魔方阵问题的方法很多,这里采用如下规则生成魔方阵。由1开始填数,将1放在第0行的中间位置。
C语言常用关键字
Fearlessness的博客
08-14 601
C语言中常用的关键字
深入解析Windows PE文件结构与实用工具
PE文件结构详解是一份深入解析Windows NT 3.1引入的可执行文件格式——PE(Portable Executable)的珍贵资源。PE文件格式最初源于UNIX系统的COFF规范,并在保持与MS-DOS和早期Windows系统兼容性的同时,引入了新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值