PE头部IMAGE_NT_HEADERS

最新推荐文章于 2021-11-06 09:19:36 发布
最新推荐文章于 2021-11-06 09:19:36 发布
阅读量4.5k 收藏 2
点赞数 1
分类专栏: 逆向 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pxm2525/article/details/39896023
版权
PE头部IMAGE_NT_HEADERS是Win32程序装载的关键,包括PE标识符、文件头和可选头。32位结构体中,Signature定义PE标识符,接着是20字节的IMAGE_FILE_HEADER,然后是IMAGE_SECTION_HEADER详细说明节区。
摘要由CSDN通过智能技术生成

PE头部是真正用来装载Win32程序的头部,PE头的定义为IMAGE_NT_HEADERS,该结构体包含PE标识符、文件头与可选头这三部分。

该头部具有32位和64位之分。

32位的PE文件格式,IMAGE_NT_HEADERS32定义如下:

typedef struct _IMAGE_NT_HEADERS {       
	DWORD Signature;                              //位置在e_lfanew上
	IMAGE_FILE_HEADER FileHeader;				  //e_lfanew + 0x4         文件头结构体
	IMAGE_OPTIONAL_HEADER32 OptionalHeader;       //e_lfanew + 0x18        可选头结构体
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

该结构体中的Signature就是PE标识符,该部分占四个字节,在Winnt.h头文件中的宏定义为:

#define IMAGE_NT_SIGNATURE 0x50450000 // PE00

在PE头中,除了IMAGE_NT_HEADERS 以外,还有两个重要的结构体,分别是IMAGE_FILE_HEADER(文件头) 和 IMAGE_OPTIONAL_HEADER32(可选头)。


IMAGE_FILE_HEADER(文件头)

该结构体是IMAGE_NT_HEADERS中的第一个结构体,该结构体紧接在PE标识符的后面。该结构体大小为20个字节。

typedef struct _IMAGE_FILE_HEADER {
	WORD Machine;					//位置为 e_lfanew + 0x4 //该字段表示可执行文件的目标CPU类型
	WORD NumberOfSections;			//e_lfanew + 0x6		//
最低0.47元/天 解锁文章
termonitor
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)
07-29 2165
上一讲:小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~(视频教程:http://fishc.com
学破解 <二> PE格式之IMAGE_NT_HEADERS
weixin_34358365的博客
04-18 143
这个IMAGE_NT_HEADERS其实就是PE相关结构的映像头,NT据我揣测应该是New Technology的缩写,区分于DOS WIN9X的新技术,您老要是非觉得是NTR什么的也没关系。IMAGE_NT_HEADERS的结构是这个样子的 IMAGE_NT_HEADERS STRUCT  {  +0h     DWORD    Signature +4h         IMAGE_FILE_...
PE文件之IMAGE_NT_HEADERS
jiangqin115的专栏
03-30 1516
继续看PE文件格式:IMAGE_NT_HEADERS紧接在DOS Stub之后,其位置由IMAGE_DOS_HEADER中的e_lfanew所指;IMAGE_NT_HEADERS由三部分组成,他们分别是DWORD类型的PE签名Signature;IMAGE_FILE_HEADER类型的FileHeader;以及IMAGE_OPTIONAL_HEADER32类型的OptionalHeader。IMA...
NTIMAGE_NT_HEADER
dengjiatao9832的博客
09-21 107
typedef struct_IMAGE_NT_HEADERS{ DWORD Signature; // 固定为 0x00004550 “PE00" IMAGE_FILE_HEADER FileHeader;//IMAGE_FILE_HEADER文件头结构 IMAGE_OPTIONAL_HEADER32 OptionalHeade...
2.PE文件之NT头(IMAGE_NT_HEADERS)
kernelhack
10-25 4921
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
PE 头文件 IMAGE_NT_HEADER
Relaxpeng
07-03 1258
PE HeaderPE相关结构NT映像头IMAGE_NT_HEADER的简称 PE头文件开始是一个字符串PE00(50 45 00 00) 由MS_DOS头部的e_1fanew字段指向 IMAGE_NT_HEADERS STRUCT{   +00H DWORD Signature   +04H IMAGE_FILE_HEADER FileHeader   +18H IMAG
PE头之IMAGE_FILE_HEADER解析
ChuMeng1999的博客
10-17 904
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA) 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2957
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT头结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5432
PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
[PE格式分析] 3.IMAGE_NT_HEADER
weixin_33898233的博客
08-14 184
源代码如下: typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature; // 固定为 0x00004550 根据小端存储为:"PE.." +04h IMAGE_FILE_HEADER FileHeader; +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_N...
PE文件详解二:PE文件头IMAGE_NT_HEADERS STRUCT结构
weixin_33778778的博客
01-11 146
MAGE_NT_HEADERS STRUCT结构体包含了两个子结构体 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS...
MAGE_NT_HEADERS STRUCT结构
pjz969的专栏
02-26 865
MAGE_NT_HEADERS STRUCT结构体包含了两个子结构体 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS
PE文件-NT
weixin_45012273的博客
11-06 332
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
windows PE Image 文件分析
ymzhou117的专栏
03-10 3536
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
小甲鱼PE结构详解:从IMAGE_DOS_HEADER到理解PE文件
通过学习这些内容,读者可以理解PE文件的基本结构,为后续学习PE文件的其他组成部分如IMAGE_NT_HEADERS和IMAGE_SECTION_HEADER打下坚实基础。这有助于理解系统加载和执行PE文件的过程,以及如何进行逆向工程和系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值