PE结构学习(二)

最新推荐文章于 2022-05-19 16:28:40 发布
最新推荐文章于 2022-05-19 16:28:40 发布
阅读量376 收藏 1
点赞数
分类专栏: PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29263207/article/details/86160251
版权

https://mp.csdn.net/postedit/86154806 

上一篇,我们已经知道了PE结构分为两大部分,PE头和PE数据区。现在我们从PE头开始说起:

PE文件头

     顾名思义这是PE文件头部,他的组成是DOS头,PE头和节表。现在我们进入DOS头。

DOS头

  DOS头又分为两部分,DOS MZ头 和DOS Stub

   

这就是第一章PE结构图中DOS头的部分,所以说非常直观,我们可以看到有许多的字段。但是只有两个是有用的,那就是第一个MZ字段和最后一个偏移字段!

在010editor里面是这个样子,PE文件第一个字段是EXE的标志,最后一个是起始地址到PE头的偏移地址。

 DOS头的定义如下

 再来DOS头还有DOS Stub部分,这部分现在也是用不到了,他的作用是在DOS的环境下输出一行文字(我这时候想假设我在这段写入一些代码,应该也可以在DOS下执行),在windows环境是没有用的,所以连这个图都已经直接上了一条黑条

所以DOS头就这样学完了,是不是肥肠开心。

接下来就是要进入PE头了!

PE头

首先PE头由三个部分组成,分别是PE标志,PE标准头,PE拓展头。

他们的定义长这样子:

signature就是PE标志,这个值是固定的,4550。

接下来就是标准PE头了,

标准PE头可以看到是个结构体

大小为20个字节,记录的是PE文件的全局属性,在PE格式图中的深蓝位置

 现在开始逐字段解释一下有什么用。

Machine表示运行在哪一个CPU平台,占两个字节,一般是014C表示I386,intel32位平台

NumberOfSections,pE中节的数量

现在就要解释一下什么是

首先为了保护数据和代码的安全,所以一般代码和数据都会分离,为了实现操作的安全和内核稳定,所以数据都会有不同的权限,比如说可读可写,可读不可写这种。

然后windows加载数据的时候就会把相同属性的数据放在一页,所以就出现了节的概念。

所以说节就是存放相同属性数据的一个位置。所以PE中节的数量就是有多少种不同属性的数据。

sizeofOptionalHeader:拓展头的大小

Characteristics:PE文件的属性,例如,DLL是0x0210,这个是属于查询性的东西,查就好,现在暂时不管。

就这样,重要的已经讲完了。

接下来就是将PE拓展头

PE拓展头

      虽然叫拓展头,但是并不是可有可无的,他是非常重要的存在。

      现在让我们看看他长什么狗样子     /滑稽

      

卧槽,这也太长了,当场去世的节奏。

https://blog.csdn.net/qq_29263207/article/details/86212841

小俊000
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE结构学习
字节跳动
12-12 263
学习网页 PE文件格式详解(一) PE文件格式详解( PE文件格式 三 DOS头部 四 PE文件头
PE结构学习(一)
qq_29263207的博客
01-09 1137
最近在学习PE结构,刚开始的第一天非常头疼,感觉很复杂,不知所云,难以产出,现在是第三天,虽然说感觉还是很晕,但是再不产出感觉就要废了,所以把这两天学的PE内容进行一个整理。   什么是PEPE的全称是Portable Executable,直译就是可移植的可执行文档。它是windows下的一种程序的格式(我是这么理解的)。本质上是一个数据组织的方法。 为什么要学习PE? 首先如果从...
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
PEPE文件结构学习
dr0op's blog
03-31 1276
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件结构学习
Tracy_yi的博客
05-19 452
PE文件 Ⅰ PE文件的结构 1.概论 DOS系统中的COM文件:仅仅包含可执行代码,没有附加数据来指定文件入口,因此第一行执行指令必须在文件头部。没有重定位信息,因此代码中不能有跨段操作数据的指令。 EXE文件:在代码前加了一个文件头,包含各种说明数据,操作系统根据文件头中的信息将代码部分装入内存,根据重定位表修正代码,从文件头中指定的入口开始执行。 PE文件:代码、已初始化的数据、资源和重定位信息按照属性分类到不同的节中,每个节的属性和位置信息用一个IMAGE_SECTION_HEADER结构来描述,
PE结构查看.rar
04-05
学习PE结构对于软件逆向工程、病毒分析、系统编程以及安全研究等领域都至关重要。掌握这部分知识能帮助我们更好地理解和修改Windows程序,提高解决问题的能力。而分析源码则提供了实践经验,加深理论理解,提升编程...
PE结构详解1
06-19
**PE结构详解1** 在Windows操作系统中,可执行文件(如.exe和.dll)采用了一种称为Portable Executable(PE)的文件格式。...通过学习和研究PE结构,你可以提升自己在系统级编程和逆向工程方面的专业技能。
pe结构分析.rar
04-05
PE(Portable Executable)...总的来说,"pe结构分析.rar"提供的易语言源码将引导我们探索PE文件的内部结构,理解Windows程序的运行机制,同时也为我们提供了一种实践性的学习方法,以编程的形式去解构和分析PE文件。
PE结构图和PE结构
12-28
**PE结构图和PE结构详解** PE(Portable Executable)结构是Windows操作系统中可执行文件和动态链接库(DLL)的格式。这个结构是Windows执行程序的基础,它定义了文件的布局,包括代码、数据、资源和元数据等。本文...
PE结构详解
whl0071的专栏
02-20 2614
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头(PE文件签名的偏移地址就是大小) 3.2 NT头(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
雨化于画
02-13 9243
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件(PE,Portable...
PE文件结构学习笔记
abc_670的博客
01-26 1108
PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32
PE结构详解(加壳脱壳必备知识)
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
PE结构学习-----PE头移位
笔记本
09-25 1562
刚开始学pe结构的时候,是为了搞XXXXX的,那时瑞星和江民还有希望,那时卡饭论坛还常驻各个杀毒软件厂商的工程师,想想还有些怀念,初中基本啥也不懂,就上论坛看别人是怎么搞的,有一次看到一个免杀技术叫pe头移位,后来这个技术也用了蛮久。刚好现在上了操作系统这门课,作业就是要研究下pe结构,所以就以pe头移位为目标,看看其中的原理到底是啥。 PE头是一个 IMAGE_NT_HEADERS的结构。...
Windows PE结构学习
q1uTruth的博客
03-16 585
文件和内存的直观不同 开始位置不一样 中间的0块大小不一样 数据基本一样 .dll,.sys,.exe都是4D5A(MZ)开头 .txt,.doc自己没法运行,是exe把它打开的 为什么要分节 节省硬盘空间 硬盘间隙小,内存间隙大,相同数据硬盘废的空间小 空隙也能一样(硬盘对齐=内存对齐,就不用拉伸了,节省时间,之前硬盘对齐小是因为硬盘贵,书的页,为了增加读写速度),拉伸,但都是分节了 任何exe...
PE文件学习
热门推荐
giantbranch的专栏
05-21 1万+
1.介绍 什么是PE文件? PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PEPE32,64位的就PE+或PE32+,注意不是PE64哦!!!! 学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等 初识PE文件 看看大概包括那些结构体吧 2.PE
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
最新发布
08-14
【独家首发】基于蜣螂优化算法DBO-GMDH的风电数据回归预测研究Matlab实现.rar
深入解析Windows PE文件结构与实用工具
- 作者通过实际操作举例,如使用EXEVIEW.EXE工具来观察和理解PE文件的特定部分,如.idata段的构成,强调了实践在理解PE结构中的重要性。 4. **实用工具**: - 提供了一个名为PEFILE.DLL的动态链接库,它是理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小俊000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值