PE——节表结构

已于 2022-03-14 10:25:30 修改
阅读量330 收藏
点赞数
分类专栏: PE 文章标签: 汇编 PE
于 2022-03-11 15:27:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/markey1/article/details/123358928
版权
  • 联合体
    在这里插入图片描述
  • 节表数据结构
    在这里插入图片描述
    ① Name:8个字节,内容可自定义,需要注意的是该名称并不遵守必须以"\0"结尾的规律,如果不是以"\0"结尾,系统会截取8个字节的长度进行处理.我们在读取的时候需要小心!可以使用char[9]然后拷贝8个字节
    ② Misc:该节在没有对齐前的真实尺寸,该值可以不准确或被修改(不影响程序运行)这里注意真实尺寸存的是内存中的size,不一定比SizeOfRawData小,比如含有未初始化的全局变量,此时文件的数据段不会分配数据,而是在分配内存时才实际分配数据。
    ③ VirtualAddress:节区在内存中的偏移地址,相对于ImageBase偏移。
    ④ SizeOfRawData:节在文件中对齐的尺寸
    ⑤ PointerToRawData 节区在文件中的偏移.
    ⑥ PointerToRelocations 在obj文件中使用 对exe无意义
    ⑦ PointerToLinenumbers 行号表的位置 调试的时候使用
    ⑧ NumberOfRelocations 在obj文件中使用 对exe无意义
    ⑨ NumberOfLinenumbers 行号表中行号的数量 调试的时候使用
    ⑩ Characteristics 节的属性
    在这里插入图片描述
MarkeyL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构
lygl35的博客
02-24 627
位置的计算:DOS头大小+标准PE头大小+标准PE头SizeofoftimHeader的值
PE文件结构学习02-PE
qq_43447375的博客
12-27 338
PE文件头 PE文件头是由IMAGE_NT_HEADERS结构定义的: IMAGE_NT_HEADERS STRUCT +0h DWORD Signature // PE文件标识 +4h IMAGE_FILE_HEADER // FileHeader +18h IMAGE_OPTIONAL_HEADER32 // OptionalHeader(可选PE头) IMAGE_NT_HEADERS ENDS PE文件头的第一个双字是一个标志(MZ),被定义为0000
PE结构解析
qq_58405021的博客
12-01 714
PE结构解析
PE文件的基本结构-3 和RVA换算
zhangxinrun的专栏
08-24 1427
<br />PE文件中所有的属性都被定义在中,由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个结构的排列顺序和它们描述的在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以中总的IMAGE_SECTION_HEADER结构数量等于的数量加一。总是被存放在紧接在PE文件头的地方。<br />IMAGE_SECTION_HEADER结构的定义如下:<br />TISHMisc = pack
2.4 PE结构详细解析
最新发布
CSDN
09-05 4476
(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向等在文件中的位置和大小信息,是操作系统加载文件时根据来进行各个段的映射和初始化的重要依据。中的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件中的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
PE结构图,理清exe dll结构.zip
08-20
2. NT头:这是PE特有的部分,包含了两个重要的结构——File Header和Optional Header。File Header包含了程序的类型(如DLL或EXE)、字符集、目标操作系统版本等。Optional Header则提供了更多关于程序如何运行的...
NEW最全的PE结构
10-27
3. **(Section)**:PE文件被划分为多个逻辑,每个包含了一定的数据或代码。常见的有.text(代码)、.data(初始化数据)、.rdata(只读数据)、.bss(未初始化数据)等。记录了每个的信息,如...
PE文件格式详细结构
06-15
PE文件的基本组成部分包括文件头(File Header)、可选头(Optional Header)以及(Section Table)。 1. 文件头:文件头位于PE文件的开头,由两部分组成——MZ标头和PE标头。MZ标头是一个2字的签名,代...
pediy——对PE文件进行加壳保护
08-21
1. **分析PE文件结构**:了解PE文件的各个部分,如区、导入、导出、资源等。 2. **创建外壳程序**:编写一个简单的可执行程序,其主要任务是在运行时加载和执行原始PE文件。 3. **修改PE头信息**:根据外壳...
PE檔案格式.rar_pe
09-19
- ****:PE檔案由多个组成,每个都有自己的属性,如数据、代码、初始化数据或未初始化数据。 - **名**:每个都有一个8个字符的名称,如".text"(代码)、".data"(已初始化数据)和".rsrc"(资源)。 ...
PE文件详解(二)--
lj94093的专栏
01-12 4111
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
PE文件格式---
aod83029的博客
10-09 1010
17.1.4 从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是和多个不同的(如图17.1中的③和④所示)。要理解什么是,什么是以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。 1. PE文件到内存的映射 在执行一个PE文件的时候,Windows并不在一开始就将整个文件读入内存,而是采用与内存 映射文件类似的机制,...
qq_41232519的博客
08-29 770
文章目录 一、结构 #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //ASCII字符串 可自定义 只截取8个 可以8个字都是名字 union { //Misc 双字 是该在没有对齐前的真实尺寸,该值可以不准确 DWORD PhysicalAddress;
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6335
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段及导入结构详解:https://blog.csdn.net/qq_30145355/article/d...
5.PE文件之(IMAGE_SECTION_HEADER)
kernelhack
10-26 5309
PE头IMAGE_NT_HEADERS后紧跟着(也可以理解为IMAGE_OPTIONAL_HEADER后为).它由许多个项(IMAGE_SECTION_HEADER)组成,每个项记录了PE中与某个特定的有关的信息,如的属性、的大小、在文件和内存中的起始位置等.的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE结构详解(加壳脱壳必备知识)
热门推荐
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、。...
可执行文件结构PE文件结构讲解
qq_46145027的博客
05-02 2380
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
PE结构-添加(附实例代码)
Alone的博客
07-30 1199
文章目录预备知识添加的步骤说明:手工添加步骤1.检查是否有足够空间 预备知识 文件结构示意图: 添加的步骤说明: 1、判断是否有足够的空间,可以添加一个. 判断条件: SizeOfHeader - (DOS + 垃圾数据 + PE标记 + 标准PE头 + 可选PE头 + 已存在) >= 2个的大小 (如果只有一个以上的空间也可以加不会报错,但是会有安全隐患) 2、需要修改的数据 添加一个新的(可以copy一份) 在新增后面 填充一个大小的000
PE文件:(区块
pjz969的专栏
02-26 5429
(区块): PE文件中所有的属性都被定义在中,由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个结构的排列顺序和它们描述的在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以中总的IMAGE_SECTION_HEADER结构数量等于的数量加一。总是被存放在紧接在PE文件
PE结构那个字段可以找到导入
06-04
PE文件格式中的导入(import table)信息存储在可执行文件的数据目录中,具体来说是存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中。该目录项的值可以在PE文件的NT头中找到,NT头是PE文件格式中的一个结构体,包含了PE文件的各种信息,包括数据目录的位置和大小等信息。 NT头的结构体定义如下: ``` typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; ``` 其中,`OptionalHeader`成员是一个结构体类型,它包含了PE文件的各种信息,包括数据目录的位置和大小等信息。`OptionalHeader`结构体定义如下: ``` typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE MajorLinkerVersion; BYTE MinorLinkerVersion; DWORD SizeOfCode; DWORD SizeOfInitializedData; DWORD SizeOfUninitializedData; DWORD AddressOfEntryPoint; DWORD BaseOfCode; DWORD BaseOfData; DWORD ImageBase; DWORD SectionAlignment; DWORD FileAlignment; WORD MajorOperatingSystemVersion; WORD MinorOperatingSystemVersion; WORD MajorImageVersion; WORD MinorImageVersion; WORD MajorSubsystemVersion; WORD MinorSubsystemVersion; DWORD Win32VersionValue; DWORD SizeOfImage; DWORD SizeOfHeaders; DWORD CheckSum; WORD Subsystem; WORD DllCharacteristics; DWORD SizeOfStackReserve; DWORD SizeOfStackCommit; DWORD SizeOfHeapReserve; DWORD SizeOfHeapCommit; DWORD LoaderFlags; DWORD NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32; ``` 其中,`DataDirectory`是一个数组,它包含了PE文件的各个数据目录项的位置和大小等信息。导入信息就存储在`IMAGE_DIRECTORY_ENTRY_IMPORT`目录项中,它是`DataDirectory`数组的第5个元素,可以通过以下代码找到导入的位置和大小: ``` PIMAGE_NT_HEADERS pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pDosHeader + pDosHeader->e_lfanew); PIMAGE_DATA_DIRECTORY pImportTable = &pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT]; DWORD dwImportTableSize = pImportTable->Size; DWORD dwImportTableVA = pImportTable->VirtualAddress; ``` 其中,`pDosHeader`是指向PE文件DOS头的指针。`dwImportTableVA`是导入在内存中的虚拟地址,`dwImportTableSize`是导入的大小。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值