PE——节表结构

已于 2022-03-14 10:25:30 修改
阅读量330 收藏
点赞数
分类专栏: PE 文章标签: 汇编 PE
于 2022-03-11 15:27:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/markey1/article/details/123358928
版权
  • 联合体
    在这里插入图片描述
  • 节表数据结构
    在这里插入图片描述
    ① Name:8个字节,内容可自定义,需要注意的是该名称并不遵守必须以"\0"结尾的规律,如果不是以"\0"结尾,系统会截取8个字节的长度进行处理.我们在读取的时候需要小心!可以使用char[9]然后拷贝8个字节
    ② Misc:该节在没有对齐前的真实尺寸,该值可以不准确或被修改(不影响程序运行)这里注意真实尺寸存的是内存中的size,不一定比SizeOfRawData小,比如含有未初始化的全局变量,此时文件的数据段不会分配数据,而是在分配内存时才实际分配数据。
    ③ VirtualAddress:节区在内存中的偏移地址,相对于ImageBase偏移。
    ④ SizeOfRawData:节在文件中对齐的尺寸
    ⑤ PointerToRawData 节区在文件中的偏移.
    ⑥ PointerToRelocations 在obj文件中使用 对exe无意义
    ⑦ PointerToLinenumbers 行号表的位置 调试的时候使用
    ⑧ NumberOfRelocations 在obj文件中使用 对exe无意义
    ⑨ NumberOfLinenumbers 行号表中行号的数量 调试的时候使用
    ⑩ Characteristics 节的属性
    在这里插入图片描述
MarkeyL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构 节表
lygl35的博客
02-24 627
节表位置的计算:DOS头大小+标准PE头大小+标准PE头SizeofoftimHeader的值
PE文件结构学习02-PE节表
qq_43447375的博客
12-27 338
PE文件头 PE文件头是由IMAGE_NT_HEADERS结构定义的: IMAGE_NT_HEADERS STRUCT +0h DWORD Signature // PE文件标识 +4h IMAGE_FILE_HEADER // FileHeader +18h IMAGE_OPTIONAL_HEADER32 // OptionalHeader(可选PE头) IMAGE_NT_HEADERS ENDS PE文件头的第一个双字是一个标志(MZ),被定义为0000
PE结构节表解析
qq_58405021的博客
12-01 715
PE结构节表解析
PE文件的基本结构-3 节表和RVA换算
zhangxinrun的专栏
08-24 1427
<br />PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节表总是被存放在紧接在PE文件头的地方。<br />IMAGE_SECTION_HEADER结构的定义如下:<br />TISHMisc = pack
2.4 PE结构节表详细解析
最新发布
CSDN
09-05 4481
节表(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息,是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件中的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
PE结构图,理清exe dll结构.zip
08-20
2. NT头:这是PE特有的部分,包含了两个重要的结构——File Header和Optional Header。File Header包含了程序的类型(如DLL或EXE)、字符集、目标操作系统版本等。Optional Header则提供了更多关于程序如何运行的...
NEW最全的PE结构
10-27
3. **节(Section)表**:PE文件被划分为多个逻辑节,每个节包含了一定的数据或代码。常见的节有.text(代码)、.data(初始化数据)、.rdata(只读数据)、.bss(未初始化数据)等。节头表记录了每个节的信息,如节...
PE文件格式详细结构
06-15
PE文件的基本组成部分包括文件头(File Header)、可选头(Optional Header)以及节区表(Section Table)。 1. 文件头:文件头位于PE文件的开头,由两部分组成——MZ标头和PE标头。MZ标头是一个2字节的签名,代表...
pediy——对PE文件进行加壳保护
08-21
1. **分析PE文件结构**:了解PE文件的各个部分,如节区、导入表、导出表、资源等。 2. **创建外壳程序**:编写一个简单的可执行程序,其主要任务是在运行时加载和执行原始PE文件。 3. **修改PE头信息**:根据外壳...
PE檔案格式.rar_pe
09-19
- **节表**:PE檔案由多个节组成,每个节都有自己的属性,如数据、代码、初始化数据或未初始化数据。 - **节名**:每个节都有一个8个字符的名称,如".text"(代码)、".data"(已初始化数据)和".rsrc"(资源)。 ...
PE文件详解(二)--节表和节
lj94093的专栏
01-12 4111
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
PE文件格式---节和节表
aod83029的博客
10-09 1011
17.1.4 节表和节 从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是节表和多个不同的节(如图17.1中的③和④所示)。要理解什么是节表,什么是节以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。 1. PE文件到内存的映射 在执行一个PE文件的时候,Windows并不在一开始就将整个文件读入内存,而是采用与内存 映射文件类似的机制,...
节表
qq_41232519的博客
08-29 770
文章目录 一、节表结构 #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //ASCII字符串 可自定义 只截取8个 可以8个字节都是名字 union { //Misc 双字 是该节在没有对齐前的真实尺寸,该值可以不准确 DWORD PhysicalAddress;
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6349
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5316
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE结构详解(加壳脱壳必备知识)
热门推荐
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
可执行文件结构PE文件结构讲解
qq_46145027的博客
05-02 2383
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
PE结构-添加节表和节(附实例代码)
Alone的博客
07-30 1200
文章目录预备知识添加节表和节的步骤说明:手工添加步骤1.检查是否有足够空间 预备知识 文件结构示意图: 添加节表和节的步骤说明: 1、判断是否有足够的空间,可以添加一个节表. 判断条件: SizeOfHeader - (DOS + 垃圾数据 + PE标记 + 标准PE头 + 可选PE头 + 已存在节表) >= 2个节表的大小 (如果只有一个节表以上的空间也可以加不会报错,但是会有安全隐患) 2、需要修改的数据 添加一个新的节(可以copy一份) 在新增节后面 填充一个节大小的000
PE文件:节表(区块表)
pjz969的专栏
02-26 5430
节表(区块表): PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节表总是被存放在紧接在PE文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值