PE文件格式

最新推荐文章于 2024-07-11 21:47:44 发布
最新推荐文章于 2024-07-11 21:47:44 发布
阅读量149 收藏
点赞数
文章标签: PE格式 x64 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31932681/article/details/116148485
版权 
struct IMAGE_DOS_HEADER{
	WORD MZSignature,
	WORD UsedBytesInThrLastPage,
	WORD FileSizeInPages,
	WORD NumberOfRelocationItems,
	WORD HeaderSizeInParagraphs,
	WORD MinimumExtraParagraphs,
	WORD MaximumExtraParagraphs,
	WORD InitialRelativeSS,
	WORD InitialISP,
	WORD Checksum,
	WORD InitialIP,
	WORD InitialRelativeCS,
	WORD AddressOfRelocationTable,
	WORD OverlayNumber,
	WORD Reserved[4],
	WORD OEMid,
	WORD OEMinfo,
	WORD Reserved2[10],
	LONG AddressOfNewExeHeader
};
struct IMAGE_DOS_STUB DosStub{
	UCHAR Data[64];
	struct RICH_HEADER_ENTRY Entry[9]{
		struct RICH_HEADER_ENTRY Entry[0~8]{
		DWORD IdVersion;
		DWORD Count;
		};
		DWORD EndMarker;
		DWORD XorKey;
	};
};
struct IMAGE_NT_HEADERS NtHeader{
	DWORD Signature;
	struct IMAGE_FILE_HEADER FileHeader{
		enum IMAGE_MACHINE Machine;//machine_bits
		WORD NumberOfSections;
		time_t TimeDateStamp;
		DWORD PointerToSymbolTable;
		DWORD NumberOfSymnols;
		WORD SizeOfOptionalHeader;
		struct FILE_CHARATERISTICS Characteristics{
			WORD IMAGE_FILE_RELOCS_STRIPPED;
			WORD IMAGE_FILE_EXECUTABLE_IMAGE;
			WORD IMAGE_FILE_LINE_NUMS_STRIPPED;
			WORD IMAGE_FILE_LOCAL_SYMS_STRIPPED;
			WORD IMAGE_FILE_AGGRESIVE)WS_TRIM;
			WORD IMAGE_FILE_LARGE_ADDRESS_AWARE;
			WORD IMAGE_FILE_BYTES_REVERSED_LO;
			WORD IMAGE_FILE_32BIT_MACHINE;
			WORD IMAGE_FILE_DEBUG_STRIPPED;
			WORD IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP;
			WORD IMAGE_FILE_NET_RUN_FROM_SWAP;
			WORD IMAGE_FILE_SYSTEM;
			WORD IMAGE_FILE_DLL;
			WORD IMAGE_FILE_UP_SYSTEM_ONLY;
			WORD IMAGE_FILE_BYTES_REVERSED_HI;
		};
	};
	struct IMAGE_OPTIONAL_HEADER64 OptionalHeader{
		enum OPTIONAL_MAGIC Magic;//bits
		BYTE MajorLinkerVersion;
		BYTE MinorLinkerVersion;
		DWORD SizeOfInitializeData;
		DWORD SizeOfUninitializeData;
		DWORD AddressOfEntrypoint;
		DWORD BaseOfCode;
		ULONGLONG ImageBase;
		DWORD SectionAlignment;
		WORD FileAlignment;
		WORD MajoroperatingSystemVersion;
		WORD MinorOperatingSystemVersion;
		WORD MajorImageVersion;
		WORD MinorImageVersion;
		WORD MajorSubsystemVersion;
		WORD MinorSubsystemVersion;
		DWORD Win32VersionValue;
		DWORD SizeOfImage;
		DWORD SizeOfHeaders;
		DWORD CheckSum;
		enum IMAGE_SUBSYSTEM Subsystem;//care
		struct DLL_CHARACTERISTICS DllCharacteristics{
			ULONGLONG SizeOfStackReserve;
			ULONGLONG SizeOfStackCommit;
			ULONGLONG SizeOfHeapReserve;
			ULONGLONG SizeOfHeapCommit;
			DWORD LoadFlags;
			DWORD NumberOfRvaAndSizes;	
		};
		struct IMAGE_DATA_DIRECTORY_ARRAY DataDirArray{
			struct IMAGE_DATA_DIRECTORY Export{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY Import{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY Resource{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY Exception{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY Security{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY BaseRelocationTable{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY DebugDirectory{
				DWORD VirtualAddress;
				DWORD Size;
			};struct IMAGE_DATA_DIRECTORY CopyrightOrArchitectureSpecificData{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY GlobalPtr{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY TLSDirectory{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY LoadConfigurationDirectory{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY BoundImportDirectory{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY ImportAddressTable{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY DelayLoadImportDescriptors{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY COMRuntimedescriptors{
				DWORD VirtualAddress;
				DWORD Size;
			};
			struct IMAGE_DATA_DIRECTORY Reserved{
				DWORD VirtualAddress;
				DWORD Size;
			};
		};
	};
};
struct IMAGE_SECTION_HEADER SectionHeaders[1]{
	struct IMAGE_SECTION_HEADER SectionHeaders[0]{//.text;.data;.rsrc;.reloc
		BYTE Name[8];//.text
		union Misc{
			DWORD PhysicalAddress;
			DWORD VirtualSize;
		};
		DWORD VirtualAddress;
		DWORD SizeOfRawData;
		DWORD PointerRawData;
		DWORD PointerToRelocations;
		DWORD PointerToLinenumbers;
		WORD NumberOfRelocations;
		WORD NumberOfLinenumbers;
	};
	struct SECTION_CHARACTERISTIC Characteristics{
		ULONG IMAGE_SCN_TYPE_NO_PAD[1];
		ULONG IMAGE_SCN_CNT_CODE[1];
		ULONG IMAGE_SCN_CNT_INITIALZED_DATA[1];
		ULONG IMAGE_SCN_CNT_UNINITIALIZED_DATA[1];
		ULONG IMAGE_SCN_LNK_OTHER[1];
		ULONG IMAGE_SCN_LNK_INFO[1];
		ULONG IMAGE_SCN_LNK_REMOVE[1];
		ULONG IMAGE_SCN_LNK_COMDAT[1];
		ULONG IMAGE_SCN_GPREL[1];
		ULONG IMAGE_SCN_MEM_16BIT[1];
		ULONG IMAGE_SCN_MEM_LOCKED[1];
		ULONG IAMGE_SCN_MEM_RELOAD[1];
		ULONG IMAGE_SCN_ALIGN_1BYTES[1];
		ULONG IMAGE_SCN_ALIGN_2BYTES[1];
		ULONG IMAGE_SCN_ALIGN_8BYTES[1];
		ULONG IMAGE_SCN_ALIGN_128BYTES[1];
		ULONG IMAGE_SCN_LNK_NERLOC_OVFL[1];
		ULONG IMAGE_SCN_MEM_DISCARDABLE[1];
		ULONG IMAGE_SCN_MEM_NOT_CACHED[1];
		ULONG IMAGE_SCN_MEM_NOT_PAGED[1];
		ULONG IMAGE_SCN_MEM_SHARED[1];
		ULONG IMAGE_SCN_MEM_EXECUTE[1];
		ULONG IMAGE_SCN_MEM_READ[1];
		ULONG IMAGE_SCN_MEM_WRITE[1];
	};
};
struct IMAGE_SECTION_HEADER SetionHeaders[0]{
	UCHAR Data[2323224];
}
struct IMAGE_IMPORT_DESCRIPTOR ImportDescriptor[0]{
	union DUMMYUNIONAME{
		ULONG Charactertics;
		ULONG OriginalFirstThunk;
	};
	ULONG TimeDataStamp;
	ULONG ForwarderChain;
	ULONG Name;
	ULONG FirstThunk;
	struct IMAGE_IMPORT_BY_NAME ImportByName[0]{
		WPRD Hint;
		BYTE NAME[24];
	}
}
struct BASE_RELOCATION_TABLE RelocTable{
	struct IMAGE_BASE_RELOCATION BASEReloc[0]{
		DWORD VirtualAddress;
		DWORD SizeOfBlock;
	};
	WORD Block[86];
}

看不懂再看图解:
在这里插入图片描述
在这里插入图片描述

qaxd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE修改节属性
跃然实验室
06-12 917
节属性更改-----可执行 //修改节属性,使之属于可执行节 pLastSectionInfo->Characteristics |= IMAGE_SCN_MEM_EXECUTE |IMAGE_SCN_MEM_WRITE ;
加壳原理及实现流程与导入表结构分析(C++源代码)
Tokameine的博客
05-29 1527
参考文章: 《加密与解密》 https://blog.csdn.net/qq_31507523/article/details/89438410
学习记录: 010 Editor 注册机分析
Old_Dri_Yue的博客
05-02 1002
以前一直没有写博客,今天开始版本:  010 Editor 8.0.1,32位,官网下载:点击打开链接 环境:win7_32,虚拟机1,干掉随机基址用 010Editor 打开安装目录下的 010Editor.exe(可能你需要2个),将扩展头中的struct DLL_CHARACTERISTICS DllCharacteristics 的值 40 81 改为 00 81,ps:如果修改不了,可能...
PE手工编辑EXE(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 )
贺昌锋的博客,, 西安,陕西,Chang Feng He
10-23 1748
PE手工编辑EXE(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 ) 本文档最后是,本文档最后是,通过解析一个EXE文件的完整过程,达到对PE文件的学习和理解 1.在ollydbg.exe编辑中, 打开文件EP Test - 副本.exe 滚动到代码段第1行,注意观察00401000 - 0040103C区间的代码: 2.在010 Editor编辑中, 打开文件EP ...
PE文件区块表IMAGE_SECTION_HEADER
huninglei3333的博客
12-05 1129
typedef struct _IMAGE_SECTION_HEADER {     BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];     union {             DWORD   PhysicalAddress;             DWORD   VirtualSize; //虚拟内存区块数据或代码的实际大小     } Misc;
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件在文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
PE文件格式详解
09-26
PE文件格式详解 超详细 图文并貌
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5294
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
pe文件中的3处Characteristics
yellow的博客
02-09 2745
首先:pe文件结构 1、DOS头,对应结构体IMAGE_DOS_HEADER。 2、DOS存根,大小不定,由编译器决定,没有对应的结构体。 3、NT头,对应结构体IMAGE_NT_HEADER,包括3部分定义如下: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEAD...
Windows PE文件各个节(Section)分析
fw72fw72的博客
03-30 3714
PE(Portable Executable),即可移植的执行体。PE文件通常包括以下节(Section).textbss/BSS,text/CODE,.rdata,.data,.idata,.edata,.rsrc,.reloc
PE文件中各种Section的含义
zoudaokou2006的专栏
06-28 2735
转自http://hi.baidu.com/hardcorn/blog/item/0bc4d2ca55851843f21fe7ee.html未能在MSDN上找到此表,有找到的通知一下,谢谢。NameDescription.textThe default code section..dataThe default read/write data section. Global variables typically go here..rdataThe default read-only data sectio
PE文件学习--Section头部
KOOKNUT的博客
03-25 411
IMAGE_NT_HEADERS后紧跟着节表,节表中节的数量由IMAGE_FILE_HEADER.NumberOfSections来定义,它由许多个节表项IMAGE_SECTION_HEADER组成: #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE ...
PE可选头
BiCai2的博客
09-16 1288
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像 BYTE MajorLinkerVersion; 链接器版本号 BYTE MinorLinkerVersion; 链接器副版本号 DWORD
PE文件中的DllCharacteristics属性
迪迦 • 奥特曼
10-11 2497
#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move. #define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity Image #define IMAGE_DLLCHARACTER...
1.0.2、Docker Machine
enumlin
11-17 652
安装Docker Machine 在 OS X 和 Windows上,Machine 一般随着其他Docker 产品一起被安装。比如,当你安装Docker Toolbox的时候。更多关于Docker Toolbox的安装细节,请移步到 Mac OS X 安装指南或Windows 安装指南。  如果你只需要Docker Machine,你可以使用下一个小节的指令,直接安装Machin
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 244
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
Python中的null是什么?
最新发布
分享Python、数据分析、人工智能前沿知识
07-11 145
null正确的发音是/n^l/,有点类似四声‘纳儿’,在计算机中null是一种类型,代表空字符,没有与任何一个值绑定并且存储空间也没有存储值。检查 None 的唯一性,它返回某一对象的唯一标识符,如果两个变量的 id 相同,那么它们实际上指向的是同一个对象。Python中其实没有null这个词,取而代之的是None对象,即特殊类型NoneType,代表空、没有。在Python中,None的用处有很多,比如作为变量初始值、作为函数默认参数、作为空值等等。总得来说,None是一个对象,而null是一个类型。
[AHK V2]AHK能取消正常窗口的双击标题栏最大化事件吗?
liuyukuan的专栏
07-08 196
这段脚本首先定义了消息拦截,然后创建了一个函数OnNcLbuttonDblclk 来处理WM_ NCLBUTTONDBLCLK事件。当双击标题栏时,这个函数会被调用,并且通过返回0来阻止窗口最大化的默认行为。AutoHotkey (AHK)是一个强大的脚本语言,可以用来自定义键盘快捷键、鼠标操作等。如果你想阻止双击Windows标题栏进行最大化操作,你可以编写一个脚本来拦截这个动作。请注意,这个脚本需要在AutoHotkey中运行,并且可能需要根据你的具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值