PE总结4---PE文件结构NT头

最新推荐文章于 2021-11-06 09:19:36 发布
最新推荐文章于 2021-11-06 09:19:36 发布
阅读量946 收藏
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oBuYiSeng/article/details/50231473
版权

      IMAGE_NT_HEADERS的结构如下:

IMAGE_NT_HEADERS STRUCT  
{  
     DWORD    			//PE标志 0x00 
     IMAGE_FILE_HEADER    	//文件头 0x04 
     IMAGE_OPTIONAL_HEADER32    //扩展头 0x18 
} IMAGE_NT_HEADERS
      其中包含两个子结构体,和一个标志。

1、是以PE00起始位置,是WindowsNT内核下判断可执行文件的唯一有效结构。
2、Signature字段是PE文件头的标识,可以看到他是一个DWORD类型,因此占4个
字节,它是PE开始的标记,对Windows程序这个值始终为0x50450000 (PE00),它对应一个宏为IMAGE_NT_SIGNATURE 。 也就是DOS头的第19个参数 e_lfanew的值所在的位置。


      IMAGE_FILE_HEADER 的结构如下:

typedef     struct _IMAGE_FILE_HEADER
{																				
	WORD        Machine;                    // 运行平台 <span style="font-family: Arial;">  </span>						
	WORD        NumberOfSections;		// 文件的区块数目 					
	DWORD       TimeDateStamp;              // 文件创建日期和时间 				
	DWORD       PointerToSymbolTable;       // 指向符号表(主要用于调试) 		
	DWORD       NumberOfSymbols;            // 符号表中符号个数(同上) 			
	WORD        SizeOfOptionalHeader;       // IMAGE_OPTIONAL_HEADER32 结构大小 
	WORD        Characteristics;            // 文件属性 						
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

      NumberOfSection          代表区块的数目,区块表紧跟在IMAGE_NT_HEADERS后面,区块表大概是一个链表结构,链表长度由NumberOfSection的数值决定。
      TimeDataStamp              表明文件的创建时间
      SizeOfOptionalHeader 是IMAGE_NT_HEADERS的另一个子结构IMAGE_OPTIONAL_HEADER的大小,32位的PE文件这个值一般是00E0,64位的PE文件一般是00F0
     Characteristics                 代表文件的属性EXE文件一般是0100h DLL文件一般是210Eh,多种属性可以用或运算同时拥有。


         IMAGE_OPTIONAL_HEADER结构是对IMAGE_FILE_HEADER的一个补充,如下: 

typedef struct _IMAGE_OPTIONAL_HEADER
{
	// 
	// Standard fields.   
	// 
	WORD    Magic;				// 标志字, ROM 映像(0107h),普通可执行文件(010Bh) 
	BYTE    MajorLinkerVersion;		// 链接程序的主版本号 
	BYTE    MinorLinkerVersion;		// 链接程序的次版本号 
	DWORD   SizeOfCode;			// 所有含代码的节的总大小 
	DWORD   SizeOfInitializedData;      	// 所有含已初始化数据的节的总大小 
	DWORD   SizeOfUninitializedData;    	// 所有含未初始化数据的节的大小 
	DWORD   AddressOfEntryPoint;		// 程序执行入口RVA 
	DWORD   BaseOfCode;			// 代码的区块的起始RVA 
	DWORD   BaseOfData;			// 数据的区块的起始RVA 
	// 
	// NT additional fields.    以下是属于NT结构增加的领域。 
	// 
	DWORD   ImageBase;			// 程序的首选装载地址 
	DWORD   SectionAlignment;		// 内存中的区块的对齐大小 
	DWORD   FileAlignment;			// 文件中的区块的对齐大小 
	WORD    MajorOperatingSystemVersion;	// 要求操作系统最低版本号的主版本号 
	WORD    MinorOperatingSystemVersion;	// 要求操作系统最低版本号的副版本号 
	WORD    MajorImageVersion;		// 可运行于操作系统的主版本号 
	WORD    MinorImageVersion;		// 可运行于操作系统的次版本号 
	WORD    MajorSubsystemVersion;		// 要求最低子系统版本的主版本号 
	WORD    MinorSubsystemVersion;		// 要求最低子系统版本的次版本号 
	DWORD   Win32VersionValue;		// 莫须有字段,不被病毒利用的话一般为0 
	DWORD   SizeOfImage;			// 映像装入内存后的总尺寸 
	DWORD   SizeOfHeaders;			// 所有头+ 区块表的尺寸大小 
	DWORD   CheckSum;			// 映像的校检和 
	WORD    Subsystem;			// 可执行文件期望的子系统 
	WORD    DllCharacteristics;		// DllMain()函数何时被调用,默认为0 
	DWORD   SizeOfStackReserve;		// 初始化时的栈大小 
	DWORD   SizeOfStackCommit;		// 初始化时实际提交的栈大小 
	DWORD   SizeOfHeapReserve;		// 初始化时保留的堆大小 
	DWORD   SizeOfHeapCommit;		// 初始化时实际提交的堆大小 
	DWORD   LoaderFlags;			// 与调试有关,默认为0  
	DWORD   NumberOfRvaAndSizes;		// 下边数据目录的项数,这个字段自Windows NT 发布以来        // 一直是16 
	IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
	// 数据目录表 
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;



         AddressOfEntryPoint                           指出文件执行时的入口地址,是一个RVA地址,就是大家常说的OEP,常常各种寻找的OEP,如果你有什么代码要先于程序主体执行,只需要将这个入口指向这段代码就行啦~
         ImageBase                                           指向文件的优先装入地址,一般情况EXE文件不需要重定位,DLL文件可能需要重定位。
        SectionAlignment 和FileAlignment  确定了内存中的节对齐单位和在磁盘中的节对齐单位。
        DataDirectory                                      成员是一个比较牛逼的成员,它由16个IMAGE_DATA_DIRCTORY结构组成,用来定义多种不通用处的数据块。这个结构体的内容很简单,只有相对虚拟地址和大小两个成员: 

typedef struct _IMAGE_DATA_DIRECTORY {
	DWORD VirtualAddress; //相对虚拟地址
	DWORD Size;      //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

data directory数据目录在WINNT.H中定义为 
#define IMAGE_DIRECTORY_ENTRY_EXPORT		 0 导出表
#define IMAGE_DIRECTORY_ENTRY_IMPORT		 1 导入表 
#define IMAGE_DIRECTORY_ENTRY_RESOURCE		 2 资源目录
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION		 3 异常目录
#define IMAGE_DIRECTORY_ENTRY_SECURITY		 4 安全目录
#define IMAGE_DIRECTORY_ENTRY_BASERELOC	         5 重定位基本表
#define IMAGE_DIRECTORY_ENTRY_DEBUG		 6 调试目录
#define IMAGE_DIRECTORY_ENTRY_COPYRIGHT		 7 描术字串
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR		 8 机器值
#define IMAGE_DIRECTORY_ENTRY_TLS		 9 TLS目录
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG	 10 载入配值目录
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT       11 绑定输入表
#define IMAGE_DIRECTORY_ENTRY_IAT		 12 导入地址表
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT	 13 延迟载入描述
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR     14 COM信息


      


布衣僧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言pe结构分析
07-22
易语言pe结构分析源码,pe结构分析,AnalysisPE,RVAToOffset,GetRVASection,GetText,OpenFile,加入文本,Close,判断处理器,判断文件系统,取标准八位十六进制文本,处理文本,后加空格,GetDword,GetWord,GetApiAddress,shl...
笔记:PE结构(2)NT文件解析
Q324411601的博客
08-29 181
笔记:PE结构(2)NT文件解析
PE文件结构 - NT学习
bcbobo21cn的专栏
03-20 804
PE文件基本结构如下; 学习一下NTNT,包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件)和IMAGE_OPTIONAL_HEADER(扩展)。 NT:Signature,文件,扩展; 其定义如下; 这个是微软定义的; typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_H...
PE结构】2.NT文件、扩展
SMOne
06-22 2912
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表四、NT图4.1起始地址:0x0158H,和上一篇DOS里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件)和IMAGE_OPTIONAL_...
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5328
PE Header 是PE相关结构NT映像(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE总结5---PE文件结构NT文件--IMAGE_FILE_HEADER
oBuYiSeng的博客
12-09 1286
我们在上一篇中已经介绍了NT相关的结构,接下来分别具体的介绍里面的数据。 首先介绍IMAGE_FILE_HEADER 的结构,如下: typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 运行平台 WORD Numb
windows PE文件结构
05-11
PE(“portable executable”,可移植的可执行文件文件格式,是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件的格式;在WindowsNT中,驱动程序也是这种格式。它还能被应用于各种目标文件②和库文件...
PE文件格式详解
03-23
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。  然而这...
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
PEDUMP是一个命令行程序,不带任何选项对我刚刚描述的文件类型去运行,将会有一个包括许多有用数据结构的缺省导出。几个可以有额外输出的选项列在如下: ============================...
《黑客免杀攻防学习笔记》——PE文件结构1
Traxer的学习之路
12-17 1673
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。 1.MS-DOS          DOS主要就是为了兼容之前的DOS操作系统,DOS后面便是DOS Stub,这两部分构成了MS-DOS可执行文件的基本要素,如果PE文件运行在DOS系统中便会执行Stub中的代码,一般上都是“Thisprogram cannot run in DOS
DOSNTPE结构及移位(小白文详细篇)
Doub1's Blog
06-11 2094
DOSNTPE结构及移位(x86 x64 小白文详细篇)DOSPEPE移位 DOS 一个PE文件起始的部分开始就是DOS,不要觉得难理解,这和GIT,BMP,JPG,RAR等等都一样,只是在文件起始部位标识这个文件属于什么文件类型。 下面是DOS在winnt.h中的定义: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic
PE文件格式详解(上)
08-04 986
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。    然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个的
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件
PE文件-NT
weixin_45012273的博客
11-06 312
DOSNT之间 存储着一些被DOS使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS的最后一个成员指向了新PE的位置 NT格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件 IMAGE_OPTIONAL_HEADER32.
PE总结1---在010Editor中使用二进制模板
oBuYiSeng的博客
11-18 9941
1、010Editor模板获取,有两种方式 1)直接访问http://www.sweetscape.com/010editor/templates/获取相应的模板即可 2)点击Templates选项--Online Template Repository...会跳转到1)中的网址中,根据需要获取并保持到本地即可 2、将模板导入到010Editor中       点击Template
PE总结12---PE文件结构之资源表 (IMAGE_RESOURCE_DIRECTORY)
oBuYiSeng的博客
12-11 7118
资源在PE中是以目录的形式存在的,一般有3层:资源类型,目标资源ID与资源代码页 都是以IMAGE_RESOURCE_DIRECTORY结构部的,并且后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。 IMAGE_RESOURCE_DIRECTORY,负责指出后面数组中的成员个数 IMAGE_RESOURCE_DIRECTORY_ENTRY,数组成员分
PE总结7---PE文件结构NT之数据目录表 IMAGE_DATA_DIRECTORY
oBuYiSeng的博客
12-09 6753
IMAGE_DATA_DIRCTORY结构如下: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //相对虚拟地址 DWORD Size;      //大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;   data directory数据目录在WINNT.H中定义为
PE总结14---PE文件结构之重定位表 (IMAGE_BASE_RELOCATION)
oBuYiSeng的博客
12-11 5684
重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位。 // 【基址重定位位于数据目录表的第六项,共8 + N字节】 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; //重定位数据开始的RVA 地址 DWORD SizeOfBloc
写一段分析PE文件的基本结构的实验结论
最新发布
06-12
根据我的实验结论,PE文件是一种可执行文件格式,其基本结构由DOSNT、节表和数据组成。DOS是一个64字节的结构,其中包含了一些用于DOS模式下运行程序的信息。NT是一个248字节的结构,其中包含了PE文件的重要信息,如文件类型、入口点地址、节表的数量和位置等。节表是一个可变长度的结构,用于描述PE文件的各个节的信息,如节的名称、大小、位置等。数据部分则包含了PE文件的所有代码和数据。 通过对PE文件结构的分析,可以了解到PE文件的内部结构,从而帮助开发者更好地理解和调试PE文件。同时,也可以通过对PE文件结构的分析,来进行反病毒、漏洞利用等方面的研究和开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值