IMAGE_DOS_HEADER

最新推荐文章于 2022-10-30 21:43:11 发布
最新推荐文章于 2022-10-30 21:43:11 发布
阅读量1.5k 收藏
点赞数
分类专栏: API 其它
API 同时被 2 个专栏收录
82 篇文章 2 订阅
订阅专栏
其它
12 篇文章 0 订阅
订阅专栏 
IMAGE_DOS_HEADER STRUCT 

{ 
+00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 
+02h WORD e_cblp // Bytes on last page of file 
+04h WORD e_cp // Pages in file 
+06h WORD e_crlc // Relocations 
+08h WORD e_cparhdr // Size of header in paragraphs 
+0ah WORD e_minalloc // Minimun extra paragraphs needs 
+0ch WORD e_maxalloc // Maximun extra paragraphs needs 
+0eh WORD e_ss // intial(relative)SS value DOS代码的初始化堆栈SS 
+10h WORD e_sp // intial SP value DOS代码的初始化堆栈指针SP 
+12h WORD e_csum // Checksum 
+14h WORD e_ip // intial IP value DOS代码的初始化指令入口[指针IP] 
+16h WORD e_cs // intial(relative)CS value DOS代码的初始堆栈入口 
+18h WORD e_lfarlc // File Address of relocation table 
+1ah WORD e_ovno // Overlay number 
+1ch WORD e_res[4] // Reserved words 
+24h WORD e_oemid // OEM identifier(for e_oeminfo) 
+26h WORD e_oeminfo // OEM information;e_oemid specific 
+29h WORD e_res2[10] // Reserved words 
+3ch LONG e_lfanew // Offset to start of PE header 指向PE文件头 
} IMAGE_DOS_HEADER ENDS
复制代码

 


1.该结构有两个重要的成员

DWORD e_magic和LONG e_lfanew。DWORD e_magic为"MZ",定义为IMAGE_DOS_SIGNATURE。LONG e_lfanew存放PE头的文件偏移量。

#define IMAGE_DOS_SIGNATURE 0x4D5A // MZ
#define IMAGE_OS2_SIGNATURE 0x4E45 // NE
#define IMAGE_OS2_SIGNATURE_LE 0x4C45 // LE
#define IMAGE_NT_SIGNATURE 0x50450000 // PE00



2.DOS Stub
它是一个总是由大约100个字节所组成的和MS-DOS 2.0兼容的可执行体,用来输出
“this program needs windows NT”之类的错误信息win32系统都直接跳过DOS Stub定
位到PE头。

pjz969
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言PE输出表模块
07-18
易语言PE输出表模块源码,PE输出表模块,取输出表,LoadLibrary,RtlMoveMemory_IMAGE_DOS_HEADER,RtlMoveMemory_IMAGE_NT_HEADERS,RtlMoveMemory_IMAGE_EXPORT_DIRECTORY,RtlMoveMemory,lstrlen,FreeLibrary
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2812
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
PE文件详解一:M_DOS头部IMAGE_DOS_HEADER STRUCT结构
weixin_34341117的博客
01-11 262
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0...
PE格式详细讲解2 - 系统篇02|解密系列
weixin_34221773的博客
04-06 149
PE格式详细讲解2-系统篇02 让编程改变世界 Change the world by program PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~ 首先是IMAGE_NT_HEADERS 结构的定义:(啥?结构不会,先看看小甲鱼童鞋的《零基础入门学习C语言...
DOS头部IMAGE_DOS_HEADER
07-09 364
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOS程序包含一个DOS头和一个DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
1.PE文件之DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 8482
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
易语言[项目开发]-插件信息提取程序源码,易语言获取DLL文件信息
07-22
易语言获取DLL文件信息源码,获取DLL文件信息,载入动态链接库_,呼叫窗口函数地址_,取进程地址_,FreeLibrary,系统接口_取版本信息,系统接口_取接口信息,外部接口_加载窗口
ehlib_vcl_src_9_3.26
04-26
Ability to print/preview page header and page footer where you can specify macros for current page, current date, current time and/or static text. Automatically print/preview multiselected area ...
CDIMAGE 2.52
12-13
CDIMAGE 2.52 CD-ROM and DVD-ROM Premastering Utility ... All rights reserved. ... in the image volume header, so don't use this program to generate CDs for companies other than Microsoft.
使用程序判断一个文件是否是有效的PE文件.pdf
12-24
} // 若都通过的话再获取NT头所在的位置,并判断Signature字段是否为0x00004550,或者是IMAGE_NT_SIGNATURE //auto NtHeader = (PIMAGE_NT_HEADERS)(dwFileAddr + DosHeader->e_lfanew); PIMAGE_NT_HEADERS Nt...
PE文件解析
爱上了她的猫~
05-28 2957
标题:PE文件解析 作者:流浪的野指针 1 IMAGE_DOS_HEADER MS-DOS 头部存在于每个 PE 文件中,它的存在完全是出于兼容性的考虑,MS-DOS 头部紧接的是 DOS-STUB,这两部分构成了可执行文件的基本要素,当该程序运行在 MS-DOS 系统中,并不会出现不可预料的错误,因为它会执行 DOS-STUB 中的代码,如果不行它也仅仅是提示你 This program c...
PE文件解析(1):Dos头与NT头
ylh的博客
10-30 834
什么是PE文件?PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
动态获取API函数地址---对抗win7 aslr安全机制
gudujianjsk的专栏
03-11 1685
本人近期在研究缓冲区溢出,在学习中发现,win7下系统关键函数的地址随机化了(每次重启后地址有变),为了解决地址定位问题,在偌大的互联网上找了好久,贴来分享下,以作备用。 -----------------------------------------------------------------------------------------------------------------
PE文件结构详解
leolewin的博客
08-23 2872
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
IMAGE_DOS_HEADER STRUCT小记
weixin_33725722的博客
10-27 315
IMAGE_DOS_HEADER STRUCT{+00h WORD e_magic// Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+02hWORD e_cblp // Bytes on last page of file +04h WORD e_cp // Page...
IMAGE_DOS_HEADER解析
ChuMeng1999的博客
10-17 931
目录预备知识一、C32Asm二、PEiD三、StudPE四、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.e_magic字段2.e_lfanew字段 预备知识 一、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。 二、PEiD PEiD是一款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
乘风的专栏
07-21 1228
(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h   WORD e_cblp  // Bytes on last page of file    +4h WORD e_cp  //
DOSIMAGE_DOS_HEADER
dengjiatao9832的博客
09-21 125
1 IMAGE_DOS_HEADER STRUCT 2 { 3 +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 4 +2h WORD e_cblp // Bytes on last page of file 5 +4h WORD e_cp // Pages in ...
PE文件格式--------------基本结构信息
weixin_30376083的博客
07-30 305
一)win32下PE文件格式的文件有:*.exe;*.dll;*.scr;*.fon;*.drv;*.sys 二)pe文件基本结构 附加数据 其它节区 .reloc节区 .rsrc节区 .data节区 .text节区 节表 数据目录 ...
_get_next_member_name怎么实现
最新发布
06-09
`_get_next_member_name` 函数的实现需要用到一些Windows API,具体来说是 `ImageNtHeader`、`ImageDirectoryEntryToData`、`ImageRvaToVa` 等函数。以下是一个简单的实现示例代码: ```c++ #include <Windows.h> #include <DbgHelp.h> const char* _get_next_member_name(const char* className, size_t* offset) { const char* memberName = nullptr; IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)GetModuleHandle(nullptr); IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((DWORD_PTR)pDosHeader + pDosHeader->e_lfanew); IMAGE_SECTION_HEADER* pSectionHeader = IMAGE_FIRST_SECTION(pNTHeader); for (int i = 0; i < pNTHeader->FileHeader.NumberOfSections; i++) { if (strcmp((char*)pSectionHeader->Name, ".rdata") == 0) { DWORD_PTR rdataBase = (DWORD_PTR)GetModuleHandle(nullptr) + pSectionHeader->VirtualAddress; DWORD_PTR rdataEnd = rdataBase + pSectionHeader->Misc.VirtualSize; PIMAGE_SECTION_HEADER pRdataHeader = pSectionHeader; PIMAGE_SECTION_HEADER pRsrcHeader = pSectionHeader + 1; DWORD_PTR rsrcBase = (DWORD_PTR)GetModuleHandle(nullptr) + pRsrcHeader->VirtualAddress; DWORD_PTR rsrcEnd = rsrcBase + pRsrcHeader->Misc.VirtualSize; IMAGE_RESOURCE_DIRECTORY* pRootDirectory = (IMAGE_RESOURCE_DIRECTORY*)rsrcBase; IMAGE_RESOURCE_DIRECTORY_ENTRY* pRootEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pRootDirectory + 1); int typeOffset = 0x0; IMAGE_RESOURCE_DIRECTORY* pTypeDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pTypeEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pNameDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pNameEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pLanguageDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pLanguageEntry = nullptr; for (int rootIndex = 0; rootIndex < pRootDirectory->NumberOfIdEntries + pRootDirectory->NumberOfNamedEntries; rootIndex++) { if (pRootEntry[rootIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pRootEntry[rootIndex].NameOffset); if (wcsncmp(pName->NameString, L"TYPEINFO", pName->Length) == 0) { typeOffset = pRootEntry[rootIndex].OffsetToDirectory; break; } } } if (typeOffset > 0) { pTypeDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + typeOffset); pTypeEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pTypeDirectory + 1); for (int typeIndex = 0; typeIndex < pTypeDirectory->NumberOfIdEntries + pTypeDirectory->NumberOfNamedEntries; typeIndex++) { if (!pTypeEntry[typeIndex].NameIsString) { if (pTypeEntry[typeIndex].Id == 0x7) { pNameDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pTypeEntry[typeIndex].OffsetToDirectory); pNameEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pNameDirectory + 1); for (int nameIndex = 0; nameIndex < pNameDirectory->NumberOfIdEntries + pNameDirectory->NumberOfNamedEntries; nameIndex++) { if (pNameEntry[nameIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pNameEntry[nameIndex].NameOffset); if (strcmp((char*)pName->NameString, className) == 0) { pLanguageDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pNameEntry[nameIndex].OffsetToDirectory); pLanguageEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pLanguageDirectory + 1); for (int languageIndex = 0; languageIndex < pLanguageDirectory->NumberOfIdEntries + pLanguageDirectory->NumberOfNamedEntries; languageIndex++) { if (!pLanguageEntry[languageIndex].NameIsString) { DWORD_PTR symbolAddress = (DWORD_PTR)ImageDirectoryEntryToData(GetModuleHandle(nullptr), TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT); PIMAGE_EXPORT_DIRECTORY pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)symbolAddress; DWORD_PTR* pFuncAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfFunctions); DWORD_PTR* pNameAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNames); WORD* pOrdinalAddress = (WORD*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNameOrdinals); DWORD_PTR classVTableAddress = 0; for (int i = 0; i < pExportDirectory->NumberOfFunctions; i++) { if (strcmp((char*)(symbolAddress + pNameAddress[i]), className) == 0) { classVTableAddress = (DWORD_PTR)pFuncAddress[pOrdinalAddress[i]]; break; } } if (classVTableAddress > 0) { DWORD_PTR* pVTable = (DWORD_PTR*)*(DWORD_PTR*)classVTableAddress; int memberIndex = 0; while (true) { DWORD_PTR* pMemberAddress = (DWORD_PTR*)(pVTable[memberIndex]); if (*pMemberAddress == 0) { break; } if (*pMemberAddress >= rdataBase && *pMemberAddress < rdataEnd) { DWORD_PTR memberOffset = *pMemberAddress - rdataBase; if (memberOffset == *offset) { memberName = (const char*)(pMemberAddress + 1); *offset += sizeof(DWORD_PTR); break; } } memberIndex++; } } } if (memberName != nullptr) { break; } pLanguageEntry++; } } } if (memberName != nullptr) { break; } pNameEntry++; } } } if (memberName != nullptr) { break; } pTypeEntry++; } } break; } pSectionHeader++; } return memberName; } ``` 需要注意的是,由于这个函数的实现依赖于一些Windows API,因此在使用前需要先添加相关的头文件和库文件,并且在调用该函数时需要保证程序已经加载了相关的模块。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值