PE文件学习之一 文件内容的分部

最新推荐文章于 2022-06-17 08:29:42 发布
最新推荐文章于 2022-06-17 08:29:42 发布
阅读量682 收藏
点赞数
分类专栏: 壳的世界 文章标签: image header dos 数据结构 c windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingyuanlove/article/details/8035203
版权

对于PE文件格式的学习,暂且只看文件格式,用WinHex来看看这个文件,看看用到的数据结构,看看文件内容的分部:

PE文件的分部大致如下图所示:

1.DOS头(IMAGE_DOS_HEADER)

2.NT头(IMAGE_NT_HEADERS32 ,IMAGE_FILE_HEADER,IMAGE_OPTIONAL_HEADER32)

3.区段头(IMAGE_SECTION_HEADER)

4.各个区段对应的内容

5.完

 

大致的意识就是说 ,对于一个PE文件,首先是DOS头,其次是NT头,NT头包含了文件头和可选头,再就是区段头,区段头的个数由NT头决定,区段头一个接一个的紧挨着分部,再就是每一个区段头对应的内容,也是一个接一个的,其分部的顺序按照区段头的顺序。

 

以下使用WinHex来观摩一个PE文件,此文件名叫MyUnpack.exe ,其主要功能是弹出一个MessageBox。

1.DOS头

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000000   4D 5A 90 00 03 00 00 00  04 00 00 00 FF FF 00 00   MZ............
00000010   B8 00 00 00 00 00 00 00  40 00 00 00 00 00 00 00   ?......@.......
00000020   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000030   00 00 00 00 00 00 00 00  00 00 00 00 E0 00 00 00   ............?..

以下是DOS程序,在WINDOWS系统基本不会用到

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

00000040   0E 1F BA 0E 00 B4 09 CD  21 B8 01 4C CD 21 54 68   ..?.???L?Th
00000050   69 73 20 70 72 6F 67 72  61 6D 20 63 61 6E 6E 6F   is program canno
00000060   74 20 62 65 20 72 75 6E  20 69 6E 20 44 4F 53 20   t be run in DOS 
00000070   6D 6F 64 65 2E 0D 0D 0A  24 00 00 00 00 00 00 00   mode....$.......
00000080   41 24 D0 16 05 45 BE 45  05 45 BE 45 05 45 BE 45   A$?.E綞.E綞.E綞
00000090   33 63 B5 45 04 45 BE 45  33 63 B4 45 1F 45 BE 45   3c礒.E綞3c碋.E綞
000000A0   86 59 B0 45 09 45 BE 45  05 45 BF 45 2D 45 BE 45   哬癊.E綞.E縀-E綞
000000B0   67 5A AD 45 00 45 BE 45  ED 5A B5 45 07 45 BE 45   gZ璄.E綞鞿礒.E綞
000000C0   52 69 63 68 05 45 BE 45  00 00 00 00 00 00 00 00   Rich.E綞........
000000D0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

2.NT头

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

000000E0   50 45 00 00 4C 01 03 00  A5 34 5D 50 00 00 00 00   PE..L...?]P....
000000F0   00 00 00 00 E0 00 0F 01  0B 01 06 00 00 40 00 00   ....?.......@..
00000100   00 40 00 00 00 00 00 00  20 10 00 00 00 10 00 00   .@...... .......
00000110   00 50 00 00 00 00 40 00  00 10 00 00 00 10 00 00   .P....@.........
00000120   04 00 00 00 00 00 00 00  04 00 00 00 00 00 00 00   ................
00000130   00 90 00 00 00 10 00 00  00 00 00 00 02 00 00 00   ................
00000140   00 00 10 00 00 10 00 00  00 00 10 00 00 10 00 00   ................
00000150   00 00 00 00 10 00 00 00  00 00 00 00 00 00 00 00   ................
00000160   3C 54 00 00 3C 00 00 00  00 00 00 00 00 00 00 00   <T..<...........
00000170   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000180   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000190   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000001A0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000001B0   00 00 00 00 00 00 00 00  00 50 00 00 A4 00 00 00   .........P..?..
000001C0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000001D0   00 00 00 00 00 00 00 00                            ........

3.区段头

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F

000001D0                            2E 74 65 78 74 00 00 00           .text...
000001E0   CE 35 00 00 00 10 00 00  00 40 00 00 00 10 00 00   ?.......@......
000001F0   00 00 00 00 00 00 00 00  00 00 00 00 20 00 00 60   ............ ..`
00000200   2E 72 64 61 74 61 00 00  DE 07 00 00 00 50 00 00   .rdata..?...P..
00000210   00 10 00 00 00 50 00 00  00 00 00 00 00 00 00 00   .....P..........
00000220   00 00 00 00 40 00 00 40  2E 64 61 74 61 00 00 00   ....@..@.data...
00000230   FC 29 00 00 00 60 00 00  00 30 00 00 00 60 00 00   ?...`...0...`..
00000240   00 00 00 00 00 00 00 00  00 00 00 00 40 00 00 C0   ............@..?

4.区段头所对应的内容,一一对应的关系,在本例中,就是其排布顺序如下:

.text段的内容

.rdata段的内容

.data段的内容

限于篇幅,我就不复制过来了,自己可以看,关于区段中很多内容为0,是因为必须按照文件对齐,所以不足的地方要填0

 

总结:到这里,我们对PE文件的数据分部有了一定的了解和认识,对每一块的数据我们都大致清楚是干嘛的了。





 

perfectplug
关注
专栏目录
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1378
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
pe制作教程的分割文件
04-06
先下载其他的WIN7PE.ISO.rm1,WIN7PE.ISO.rm2,WIN7PE.ISO.rm3 在下载此文件,将这4 个文件放在同一文件夹,然后执行win7pe。iso。bat文件,即可将3个镜像分卷合成一个。
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1170
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
PE文件结构详解(三)
weixin_30652897的博客
10-19 130
0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块 区块就是PE载入器将PE文件载入后,将PE文件分割成若干块,每块包含不同的信息,由读写数据块.data,代码块.code,只读数据块.rdata等等,一般至少得有读写数据块和代码块。区块的的划分信息保存在一张名...
PE文件格式详解(手工实现一个可执行文件
kouhong_lady的专栏
06-22 3969
【转载文章-看雪学院】非常经典 http://www.pediy.com/kssd/index.html 其实还是很多细节的地方没弄懂,保存下来,认真分析分析。【文章标题】: 手写可执行程序 【文章作者】: dncwbc 【作者邮箱】: dnc2588@163.com 【作者QQ号】: 182445917 【软件名称】: Hello World! 【软件大小】: 2.5K 【下载地址
windows PE Image 文件分析(2)--- .text 节
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-11 4223
在上一篇文章:http://www.mouseos.com/windows/PE_image1.html 介绍 helloworld.exe 映像的 section 表内容,section 表指出每个映像中每个 section 的信息,包括:section 的 RVA,Size,Raw 数据位置和大小等。接下来深入了解 .text 节内容 域 .textbss 节
秦万强PE文件学习笔记.pdf
06-06
DOS头的主要作用之一是,当PE文件在MS-DOS环境下运行时,它会显示一段提示文字,通常情况下是“This program cannot be run in DOS mode”。DOS头也起到了指明NT头在文件中的位置的作用。 3. NT头:NT头是PE文件的...
89.PE文件解析之通过Python获取时间戳判断软件来源地区1
08-03
【网络安全自学篇】八十九.PE文件解析之通过Python获取时间戳判断软件来源地区 PE文件,即Portable Executable,是Microsoft Windows操作系统中用于执行程序的文件格式。它包含了程序的机器码、元数据以及资源信息...
JIURL PE 格式学习总结(四)-- PE文件中的资源.docx
12-07
1. **获取PE Header的位置**:PE文件的头部有一个DOS Header,其中的`e_lfanew`成员指示了PE Header文件中的偏移量。 2. **确定节的数量**:解析PE Header中的FileHeader,其中的`NumberOfSections`字段给出了...
PE文件格式分析-WinHex工具-文件头-32位PE-部分64位PE
插件开发
06-17 4936
  PE即Portable Executable,是Windows OS下使用的可执行文件格式。PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。常见PE文件格式如下图所示:   PE文件最前面是IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。该结构体大小为40(h)字节,其中有两个重要的成员e_magic和e_lfanew。   e_magic:DOS签名(4D5Z,即“MZ”)。   e_lfanew:指示NT头的
PE 文件区段:.text .data .idata .rdata
LYSM
07-22 8749
通常,一个 PE 文件中有 4 个区段: .text:(代码段),可读、可执行 .data:(数据段),存放全局变量、全局常量等 .idata:(数据段),导入函数的代码段,存放外部函数地址。(当然还有 edata ,导出函数代码段,但不常用) .rdata:(数据段),资源数据段,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
PE文件格式分析
shitdbg的博客
11-09 8353
一、PE的基本概念     PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2973
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT头结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER文件头)和IMAGE_OPTIONAL_...
PE文件详解
qq_40591440的博客
11-18 1703
什么是PE文件 指某一种格式的文件,可执行文件 exe 动态链接库(dll)驱动文件(sys) 都是PE文件格式 DOS头部 为了兼容DOS程序设计 NT头部 存储PE文件的全部属性,初始信息化等 区段头表 对于PE文件主体属性的分段描述,个数不定 各个区段 PE文件的主题,分段存储着可执行代码,各个数据资源等 DOS头 在DOS头中 有用的只有 e_mageic来比对此文件是否位 PE文件 而 e_lfanew用来指向NT头的偏移 在使用 010Edit 查看PE文件 4.
Windows PE文件各个节(Section)分析
weixin_38164023的博客
06-10 2130
PE(Portable Executable),即可移植的执行体。所有Windows下可执行文件,均使用PE文件结构。 PE文件通常包括以下节(Section) .textbss/BSS BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 .text/CODE 代码段(text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就.
PE文件解析-资源中的字符串结构
zhyulo的博客
02-27 1305
一、概述     想要获取一个可执行文件(PE文件)里包含的资源文件,首先要解析可执行文件,得到资源存储的地址及大小,可参考 https://blog.csdn.net/zhyulo/article/details/85717711 。然后,根据资源存储方式,得到各资源的数据内容及其大小,可参考 https://blog.csdn.net/zhyulo/article/details/85930...
自动加密代码编写
weixin_33736832的博客
07-17 176
自动加密代码编写1、平衡pushad代替花2、获取基础地址;3、获取code段起始位置4、获取code段加密大小5、获取data段起始位置6、获取data段加密大小7、平衡popad00000100+基础地址==pe地址pe地址+0x14中存放的是pe大小pe地址+0x18+0xe0===区段表的起始地址CODE区段表起始位置+0x0...
探索Win32可执行文件格式:PE剖析
此外,资料还提到了Microsoft在编译器和汇编程序生成的新OBJ文件格式,该格式与PE文件有诸多相似之处。尽管官方文档可能难以获取,作者决定自己揭秘这个新OBJ格式,并在讨论PE格式的同时涵盖了这部分内容。 文章...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值