MS-DOS头部

最新推荐文章于 2021-11-06 08:58:11 发布
最新推荐文章于 2021-11-06 08:58:11 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/php_fly/article/details/8858824
版权

每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header之后的DOS stub(DOS块)。DOS stub实际上是一个有效的EXE,在不支持PE文件格式的操作系统中,他将简单显示一个错误提示,类似于字符串“This program cannot be run in MS-DOS mode”。程序员也可以根据自己的意图实现完整的DOS代码。

PE文件头的第一个字节起始于一个传统的MS-DOS头部,被称作IMAGE_DOS_HEADER,大小为64B。

IMAGE_DOS_HEADERIMAGE_NT_HEADERS之间一个DOS Stub,这段程序用于在DOS环境中显示一个字符串,“This program cannot be run in DOS mode”,现在DOS早已灭绝,这段数据由编译器生成,可以用0填充或者删除(删除的话要移动很多数据)。

IMAGE_DOS_HEADER结构如下所示:

(注:左边的数字是到文件头的偏移量)

IMAGE_DOS_HEADER STRUCT 

+00h WORD e_magic      // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 
+02h  WORD e_cblp        // Bytes on last page of file   
+04h WORD e_cp            // Pages in file
+06h WORD e_crlc          // Relocations
+08h WORD e_cparhdr   // Size of header in paragraphs
+0ah WORD e_minalloc   // Minimun extra paragraphs needs
+0ch WORD e_maxalloc  // Maximun extra paragraphs needs
+0eh WORD e_ss            // intial(relative)SS value     DOS代码的初始化堆栈SS 
+10h WORD e_sp           // intial SP value                DOS代码的初始化堆栈指针SP 
+12h WORD e_csum       // Checksum 
+14h WORD e_ip           //   intial IP value                    DOS代码的初始化指令入口[指针IP] 
+16h WORD e_cs           // intial(relative)CS value                    DOS代码的初始堆栈入口 
+18h WORD e_lfarlc       // File Address of relocation table 
+1ah  WORD e_ovno      //   Overlay number 
+1ch WORD e_res[4]     // Reserved words 
+24h WORD e_oemid    //   OEM identifier(for e_oeminfo) 
+26h WORD e_oeminfo   //  OEM information;e_oemid specific  
+29h WORD e_res2[10]  //  Reserved words 
+3ch LONG   e_lfanew    // Offset to start of PE header             指向PE文件头 
} IMAGE_DOS_HEADER ENDS

这里面有两个重要的数据成员。

  • e_magic,这个必须为MZ,即0x5A4D(大小:2个字节)
  • e_lfanew,这个成员的值为IMAGE_NT_HEADERS的偏移(大小:4个字节)

曾是土木人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件结构(一) MS-DOS头 ,PE头
jzz5072的博客
10-31 530
漏洞 漏洞具体介绍 漏洞类型 漏洞价值 对于安全从业者而言可以用来止损
MS_DOS头部 IMAGE_DOS_HEADER
Relaxpeng
07-03 871
MS_DOS头部IMAGE_DOS_HEADER STRUCT{   +00H WORD e_magic ;DOS可执行文件标记字符串MZ(4D 5A)   +3CH DWORD e_1fanew ;指向PE文件头   } IMAGE_DOS_HEADER ENDS 用十六进制编辑器打开一个EXE文件 如QQ.EXE e_magic=5A 4De_1fanew=000001
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2373
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
grub4dos-V0.4.6a-2017-02-04更新
03-05
3.two variables boot_drive and install_partition can be preset to a value before transferring control to grub4dos. (tinybit) 4.修正屏蔽 map 信息。(yaya) 2014-10-09(yaya) 1.屏蔽 map 信息。 2014...
DOS-EXE--File-Format.rar_atldos.exe
最新发布
09-21
1. **文件标识**:前两个字节通常是`MZ`,表示这是个MS-DOS可执行文件。 2. **文件头大小**:指示头部的字节数,通常为64字节。 3. **可选头部地址**:指向程序的PE(Portable Executable)头部,这在Windows环境下...
rich 结构,dos_stub
09-13
当一个PE文件在MS-DOS环境下运行时,DOS Stub会捕获错误并显示一条友好的消息告知用户这不是一个标准的MS-DOS程序,而是在更高版本的操作系统(如Windows)上运行的应用程序。 #### 三、Rich结构详解 Rich结构之...
DOS高速成
09-30
1. DOS的历史:DOS是由微软公司为IBM PC开发的操作系统,最初是基于CP/M进行改造的,经历了MS-DOS和PC-DOS等多个版本,是个人电脑早期广泛使用的系统。 2. DOS的启动:通过BIOS设置,可以设置计算机从软盘、硬盘或...
PE文件格式(大家可以参考一下)
09-10
1. **MS-DOS头部**:位于PE文件的起始位置,用于兼容MS-DOS环境。 2. **程序残余**:紧跟MS-DOS头部之后,包含了早期操作系统启动时使用的程序信息。 3. **PE文件标志**:标识文件为PE格式。 4. **PE文件头**:描述...
DOS头结构
aod83029的博客
10-04 304
DOS头结构typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header +0h WORD e_magic; // *****DOS可执行文件标记***** +2h WORD e_cblp; // Byt...
PE文件-DOS
weixin_45012273的博客
11-06 390
概述 PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等.... PE文件整体的格式图: DOS头 IMAGE_DOS_HEADER头格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ" .
13.3 DOS
FZHXZHT的博客
09-01 366
13.3.1 dos 头 记忆结构体 typedef struct _IMAGE_DOS_HEADER{ WORD e_magic; //DOS signature : 4D5A("MZ") WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD e_minalloc; WORD e_maxalloc; WORD e
PE总结3---PE文件结构DOS文件头
oBuYiSeng的博客
11-24 2207
PE文件结构DOS文件头,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT头部在文件中的偏移,新的exe文件
PE文件学习笔记(一):DOS头与PE头解析
热门推荐
Apollon_krj的博客
08-10 1万+
在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
【PE结构】1.PE文件结构、DOS
SMOne
06-22 1376
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表一、前言PE(PortableExecutable)文件,也就是Windows操作系统上的可执行文件,不仅仅是扩展名为EXE的文件,还包括DLL、SYS、COM、OCX等多种文件。Windows操作系统树大招风,运行在上面的各种应用程序(PE文件)自然成了很多...
PE的DOS头部(总结于小甲鱼)
imHaoHao的博客
10-29 398
上次粗略说到PE的结构,这次说下PE结构中的DOS头部;ok请看下图: 对呀!DOS头部就是一个结构体,内部成员都是指针;前面的‘+0H’什么的是我加上去的内存地址编号,上次说过每个PE程序映射到内存 地址都是从0开始。 你可以把DOS头部看成是打上win的钢印,不然win是不认你的 这里重点记住两个成员就可以啦! >e_magic //标记了这是DOS一个可执行文件 >
PE格式之DOS头+PE头
Miibotree
04-06 5661
清明节回来乘车到学校,没想到竟然做错了公交车。来回竟然多花了3个小时。。。。。。车子又挤。真的快无语了。 所以写下代码来泄愤。。。。 首先给大家推广下小甲鱼的网站 http://fishc.com/  小甲鱼是个大帅锅(。。。。) 这个网站做的很齐全,里面讲汇编,PE,破解等很多好的资源。小甲鱼的视频讲解也是很详细的。自己看完书再看一遍小甲鱼的视频,最后自己再写代码巩固一下,感觉学习效果还
第一课 PE的介绍与手写DOS
xuenixiang.com
07-18 559
这个头文件包含了所有PE相关的结构 首先创建一个小的可执行程序 选择一个小的应用程序 编译好之后,我们看一下他的区段(text是放代码的,rdata段是放导入表的,data用来放全局函数的) 把头文件放到编译的目录下可以精简我们的程序 只要在源码中包含一下这个头文件即可 右键查看头文件 合并区段的部分被注释掉了 加上合并区段的代码 编译出来会发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值