PE头部IMAGE_NT_HEADERS

最新推荐文章于 2023-05-18 22:40:47 发布
最新推荐文章于 2023-05-18 22:40:47 发布
阅读量4.5k 收藏 2
点赞数 1
分类专栏: 逆向 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pxm2525/article/details/39896023
版权
PE头部IMAGE_NT_HEADERS是Win32程序装载的关键,包括PE标识符、文件头和可选头。32位结构体中,Signature定义PE标识符,接着是20字节的IMAGE_FILE_HEADER,然后是IMAGE_SECTION_HEADER详细说明节区。
摘要由CSDN通过智能技术生成

PE头部是真正用来装载Win32程序的头部,PE头的定义为IMAGE_NT_HEADERS,该结构体包含PE标识符、文件头与可选头这三部分。

该头部具有32位和64位之分。

32位的PE文件格式,IMAGE_NT_HEADERS32定义如下:

typedef struct _IMAGE_NT_HEADERS {       
	DWORD Signature;                              //位置在e_lfanew上
	IMAGE_FILE_HEADER FileHeader;				  //e_lfanew + 0x4         文件头结构体
	IMAGE_OPTIONAL_HEADER32 OptionalHeader;       //e_lfanew + 0x18        可选头结构体
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

该结构体中的Signature就是PE标识符,该部分占四个字节,在Winnt.h头文件中的宏定义为:

#define IMAGE_NT_SIGNATURE 0x50450000 // PE00

在PE头中,除了IMAGE_NT_HEADERS 以外,还有两个重要的结构体,分别是IMAGE_FILE_HEADER(文件头) 和 IMAGE_OPTIONAL_HEADER32(可选头)。


IMAGE_FILE_HEADER(文件头)

该结构体是IMAGE_NT_HEADERS中的第一个结构体,该结构体紧接在PE标识符的后面。该结构体大小为20个字节。

typedef struct _IMAGE_FILE_HEADER {
	WORD Machine;					//位置为 e_lfanew + 0x4 //该字段表示可执行文件的目标CPU类型
	WORD NumberOfSections;			//e_lfanew + 0x6		//
最低0.47元/天 解锁文章
termonitor
关注
专栏目录
PE_explorer.rar_Windows编程_Visual_C++_
08-12
在C++中,可以通过IMAGE_DOS_HEADERIMAGE_NT_HEADERS结构体来访问这些信息。 2. **节区表**:PE文件被划分为多个节(Section),每个节包含了一定的数据或代码。"SectionTable.cpp"文件中可能实现了对这部分的...
2.PE文件之NT头(IMAGE_NT_HEADERS)
kernelhack
10-25 4943
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5435
PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE文件结构——NT Headers
最新发布
QXinHan的博客
05-18 459
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“头”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择头,它一共有31个成员而64位的可选择头有30个成员。7.SizeOfHaeders:所有头的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
PE文件之IMAGE_NT_HEADERS
jiangqin115的专栏
03-30 1520
继续看PE文件格式:IMAGE_NT_HEADERS紧接在DOS Stub之后,其位置由IMAGE_DOS_HEADER中的e_lfanew所指;IMAGE_NT_HEADERS由三部分组成,他们分别是DWORD类型的PE签名Signature;IMAGE_FILE_HEADER类型的FileHeader;以及IMAGE_OPTIONAL_HEADER32类型的OptionalHeader。IMA...
收藏.PE文件详解
_CHRYTHON
10-08 1488
PE文件头分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE signature IMAGE_FILE_HEADER IMAGE_OPTIONAL_HEADER(其中包含Data Direcotry) 文件头后紧跟着为 Section Table (array of IMAGE_SECTION_HEADERs)
PE文件导入表解析(C++)
05-01
PE文件头部,有一个称为NT Headers的部分,它包含了Image Dos HeaderImage_NT_Headers。其中,Image_NT_Headers又包含了Image_FILE_HEADERImage_OPTIONAL_HEADER,后者包含了导入表的起始地址。 导入表是PE...
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位   debug目录   延迟装入输入表   绑定输入描述符   IA-64异常处理表   TLS初始化数据   .NET运行时头部 除了可导出PE可执行文件外,PEDUMP也能导出...
小甲鱼PE结构详解课件.pdf
05-03
当DOS头部执行完毕后,会跳转到PE文件的真正头部——NT头部IMAGE_NT_HEADERS)。NT头部PE结构的核心,它包括了文件签名、文件头(IMAGE_FILE_HEADER)和可选头(IMAGE_OPTIONAL_HEADER)。文件头部分记录了基础...
PE文件格式剖析
10-18
头部包含了一个特殊的字段`e_lfanew`,用于指示IMAGE_NT_HEADERS的位置。 ##### 2. IMAGE_NT_HEADERS `IMAGE_NT_HEADERS`是PE文件的关键部分,用于描述文件的高级信息,包括PE签名、文件头(`IMAGE_FILE_HEADER`)...
学破解 <二> PE格式之IMAGE_NT_HEADERS
weixin_34358365的博客
04-18 145
这个IMAGE_NT_HEADERS其实就是PE相关结构的映像头,NT据我揣测应该是New Technology的缩写,区分于DOS WIN9X的新技术,您老要是非觉得是NTR什么的也没关系。IMAGE_NT_HEADERS的结构是这个样子的 IMAGE_NT_HEADERS STRUCT  {  +0h     DWORD    Signature +4h         IMAGE_FILE_...
小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)
07-29 2168
上一讲:小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~(视频教程:http://fishc.com
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件-
weixin_63051469的博客
02-13 913
PE文件
PE格式详细讲解3 - 系统篇03|解密系列
weixin_34111790的博客
04-11 193
PE格式详细讲解3-系统篇03 让编程改变世界 Change the world by program 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE...
PE文件详解二:PE文件头IMAGE_NT_HEADERS STRUCT结构
weixin_33778778的博客
01-11 146
MAGE_NT_HEADERS STRUCT结构体包含了两个子结构体 typedef struct _IMAGE_NT_HEADERS { +00h DWORD Signature +04h IMAGE_FILE_HEADER FileHeader +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader } IMAGE_NT_HEADERS...
小甲鱼PE结构详解:从IMAGE_DOS_HEADER到理解PE文件
通过学习这些内容,读者可以理解PE文件的基本结构,为后续学习PE文件的其他组成部分如IMAGE_NT_HEADERS和IMAGE_SECTION_HEADER打下坚实基础。这有助于理解系统加载和执行PE文件的过程,以及如何进行逆向工程和系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值