PE头结构说明及C语言解析

最新推荐文章于 2023-09-04 15:55:06 发布
最新推荐文章于 2023-09-04 15:55:06 发布
阅读量1.7k 收藏 13
点赞数 2
分类专栏: C语言 PE文件结构 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35289660/article/details/106058233
版权

PE头结构说明及C语言解析

文章目录

0.说明

看滴水初期视频PE部分的笔记

1.PE的整个结构

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bwi14YUk-1589188277430)(D:\user\Desktop\学习笔记\2020.5.11_PE头结构说明及C语言解析\image-20200511163113125.png)]

2.PE结构详解

我这里只没有写数据项,因为还不怎么会0.0

有些数据也没写,因为现阶段还没用

DOS头

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dNzagKsv-1589188277434)(E:\Typora\image\image-20200511170612245.png)]

WORD e_magic *“MZ标记” 用于判断是否为可执行文件.
DWORD e_lfanew; *PE头相对于文件的偏移,用于定位PE文件

NT头

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aQKaU3Px-1589188277435)(E:\Typora\image\image-20200511170630256.png)]

PE标签(PE_NT_SIGNATURE)
DWORD Signature; *“PE”标记,也用于判断是否为PE文件
PE文件头(PE_FIEL_HEADER)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hSr0SB4K-1589188277437)(E:\Typora\image\image-20200511170654163.png)]

WORD Machine; *程序运行的CPU型号:0x0 任何处理器/0x14C 386及后续处理器
WORD NumberOfSections; *文件中存在的节的总数,如果要新增节或者合并节 就要修改这个值.
DWORD TimeDateStamp; *时间戳:文件的创建时间(和操作系统的创建时间无关),编译器填写的.
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader; *可选PE头的大小,32位PE文件默认E0h 64位PE文件默认为F0h 大小可以自定义.
WORD Characteristics; *每个位有不同的含义,可执行文件值为10F 即0 1 2 3 8位置1
PE可选头(PE_OPTIONAL_HEADER)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1TzP5JZI-1589188277439)(E:\Typora\image\image-20200511170712849.png)]

WORD Magic; *说明文件类型:10B 32位下的PE文件 20B 64位下的PE文件
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;*所有代码节的和,必须是FileAlignment的整数倍 编译器填的 没用
DWORD SizeOfInitializedData;*已初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的 没用
DWORD SizeOfUninitializedData;*未初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的 没用
DWORD AddressOfEntryPoint;*程序入口
DWORD BaseOfCode;*代码开始的基址,编译器填的 没用
DWORD BaseOfData;*数据开始的基址,编译器填的 没用
DWORD ImageBase;*内存镜像基址
DWORD SectionAlignment;*内存对齐
DWORD FileAlignment;*文件对齐
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;*内存中整个PE文件的映射的尺寸,可以比实际的值大,但必须是SectionAlignment的整数倍
DWORD SizeOfHeaders;*所有头+节表按照文件对齐后的大小,否则加载会出错
DWORD CheckSum;*校验和,一些系统文件有要求.用来判断文件是否被修改.
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;*初始化时保留的堆栈大小
DWORD SizeOfStackCommit;*初始化时实际提交的大小
DWORD SizeOfHeapReserve;*初始化时保留的堆大小
DWORD SizeOfHeapCommit;*初始化时实践提交的大小
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;*目录项数目

节表头

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xrTy05uT-1589188277440)(E:\Typora\image\image-20200511170728735.png)]

1、Name8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义.
注意:该名称并不遵守必须以"\0"结尾的规律,如果不是以"\0"结尾,系统会截取8个字节的长度进行处理.
2、Misc 双字 是该节在没有对齐前的真实尺寸,该值可以不准确。
3、VirtualAddress 节区在内存中的偏移地址。加上ImageBase才是在内存中的真正地址.
4、SizeOfRawData 节在文件中对齐后的尺寸.
5、PointerToRawData 节区在文件中的偏移.
6、PointerToRelocations 在obj文件中使用 对exe无意义
7、PointerToLinenumbers 行号表的位置 调试的时候使用
8、NumberOfRelocations 在obj文件中使用 对exe无意义
9、NumberOfLinenumbers 行号表中行号的数量 调试的时候使用
10、Characteristics 节的属性

3.C语言实现解析PE头文件

也没有解析数据项,因为不会0.0

可能不是很好看,但是功能算是实现了0.0

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GehsQWJX-1589188277441)(E:\Typora\image\image-20200511170908412.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QOj6QRkU-1589188277442)(E:\Typora\image\image-20200511170920314.png)]

直接贴源码
编译环境:vc++6.0

#include<stdio.h>
#include<string.h>
#include<windows.h>
	
char FileName[100]={0};



	
void PrintNTHeaders();
LPVOID ReadPEFile();	
	
int main()
{	
	printf("Please input:   (for example:  D:/user/Desktop/PE文件对齐、内存对齐/解析pe头文件/实验.exe   )\n");
	gets(FileName);
	
	PrintNTHeaders();

	puts(FileName);
	return 0;
}	
	
	
void PrintNTHeaders()
{	
	LPVOID pFileBuffer = NULL;//文件缓冲区
	PIMAGE_DOS_HEADER pDosHeader = NULL;//DOS头
	PIMAGE_NT_HEADERS32 pNTHeader = NULL;//NT头
	PIMAGE_FILE_HEADER pFileHeader =NULL;//文件头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;//可选头
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;//节表头

	size_t i;//循环打印 节区头
	size_t j;
	
	//读取文件进缓冲区
	pFileBuffer = ReadPEFile();
	if(!pFileBuffer)
	{
		printf("file read failure!\n");
		return ;
	}
	
	//判断是否有效的MZ标志
	if(*(PWORD)pFileBuffer != IMAGE_DOS_SIGNATURE)
	{
		printf("not a void 'MZ' flag!\n");
		free(pFileBuffer);
		return ;
	}

	//打印DOC头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	
	printf("\n*****************DOC Header*******************\n");
	printf("'MZ' Flag: %x\n",pDosHeader->e_magic);
	printf("PE Offset: %x\n",pDosHeader->e_lfanew);
	
	//判断是否有效的PE标志
	if( *((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE )
	{	
		printf("not a void PE flag\n");
		free(pFileBuffer);
		return ;
	}

//打印NT头
	pNTHeader = (PIMAGE_NT_HEADERS32)((DWORD)pFileBuffer + pDosHeader->e_lfanew );//DWORD强转 很重要
	
	printf("\n**********************************************************************\n");
	printf("\n********************************NT Header*****************************\n");
	printf("NT Flag: %x\n",pNTHeader->Signature);
	
	//打印PE文件头
	pFileHeader = (PIMAGE_FILE_HEADER)((DWORD)pNTHeader+4);//DWORD强转 很重要
	
	printf("*************************File Header****************\n");
	printf("Machine: %x\n",pFileHeader->Machine );
	printf("NumberOfSections: %x\n",pFileHeader->NumberOfSections );
	printf("TimeDateStamp: %x\n",pFileHeader->TimeDateStamp );
	printf("PointerToSymbolTable: %x\n",pFileHeader->PointerToSymbolTable );
	printf("NumberOfSymbols: %x\n",pFileHeader->NumberOfSymbols );
	printf("SizeOfOptionalHeader: %x\n",pFileHeader->SizeOfOptionalHeader );
	printf("Characteristics: %x\n",pFileHeader->Characteristics );

	//打印PE 可选头
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pFileHeader+IMAGE_SIZEOF_FILE_HEADER);//DWORD强转 很重要
	
	printf("***********************Optional Header******************\n");
	printf("Magic: %x\n",pOptionHeader->Magic);
	printf("MajorLinkerVersion: %x\n",pOptionHeader->MajorLinkerVersion);
	printf("MinorLinkerVersion: %x\n",pOptionHeader->MinorLinkerVersion);
	printf("SizeOfCode: %x\n",pOptionHeader->SizeOfCode);
	printf("SizeOfInitializedData: %x\n",pOptionHeader->SizeOfInitializedData);
	printf("SizeOfUninitializedData: %x\n",pOptionHeader->SizeOfUninitializedData);
	printf("AddressOfEntryPoint: %x\n",pOptionHeader->AddressOfEntryPoint);
	printf("BaseOfCode: %x\n",pOptionHeader->BaseOfCode);
	printf("BaseOfData: %x\n",pOptionHeader->BaseOfData);
	printf("ImageBase: %x\n",pOptionHeader->ImageBase);
	printf("SectionAlignment: %x\n",pOptionHeader->SectionAlignment);
	printf("FileAlignment: %x\n",pOptionHeader->FileAlignment);
	printf("MajorOperatingSystemVersion: %x\n",pOptionHeader->MajorOperatingSystemVersion);
	printf("MinorOperatingSystemVersion: %x\n",pOptionHeader->MinorOperatingSystemVersion);
	printf("MajorImageVersion: %x\n",pOptionHeader->MajorImageVersion);
	printf("MinorImageVersion: %x\n",pOptionHeader->MinorImageVersion);
	printf("MajorSubsystemVersion: %x\n",pOptionHeader->MajorSubsystemVersion);
	printf("MinorSubsystemVersion: %x\n",pOptionHeader->MinorSubsystemVersion);
	printf("Win32VersionValue: %x\n",pOptionHeader->Win32VersionValue);
	printf("SizeOfImage: %x\n",pOptionHeader->SizeOfImage);
	printf("SizeOfHeaders: %x\n",pOptionHeader->SizeOfHeaders);
	printf("CheckSum: %x\n",pOptionHeader->CheckSum);
	printf("Subsystem: %x\n",pOptionHeader->Subsystem);
	printf("DllCharacteristics: %x\n",pOptionHeader->DllCharacteristics);
	printf("SizeOfStackReserve: %x\n",pOptionHeader->SizeOfStackReserve);
	printf("SizeOfStackCommit: %x\n",pOptionHeader->SizeOfStackCommit);
	printf("SizeOfHeapReserve: %x\n",pOptionHeader->SizeOfHeapReserve);
	printf("SizeOfHeapCommit: %x\n",pOptionHeader->SizeOfHeapCommit);
	printf("LoaderFlags: %x\n",pOptionHeader->LoaderFlags);
	printf("NumberOfRvaAndSizes: %x\n",pOptionHeader->NumberOfRvaAndSizes);

	//打印节表
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pFileHeader->SizeOfOptionalHeader );//DWORD强转 很重要

	printf("\n***************************************************************\n\n");
	printf("***********************Section Header****************************\n");
	
	for(i = pFileHeader->NumberOfSections ; i>0 ; i--)
	{
		printf("Name: ");
		for(j=0 ; j<IMAGE_SIZEOF_SHORT_NAME ; j++)	
			printf("%c",pSectionHeader->Name[j]);
		printf("\n");

	//	printf("VirtualSize(Misc): %x\n",pSectionHeader->Misc.VirtualSize  );
		printf("VirtualAddress: %x\n",pSectionHeader->VirtualAddress );
		printf("SizeOfRawData: %x\n",pSectionHeader->SizeOfRawData);
		printf("PointerToRawData: %x\n",pSectionHeader->PointerToRawData);
		printf("PointerToRelocations: %x\n",pSectionHeader->PointerToRelocations);
		printf("PointerToLinenumbers: %x\n",pSectionHeader->PointerToLinenumbers);
		printf("NumberOfRelocations: %x\n",pSectionHeader->NumberOfRelocations);
		printf("NumberOfLinenumbers: %x\n",pSectionHeader->NumberOfLinenumbers);
		printf("Characteristics: %x\n",pSectionHeader->Characteristics);

		pSectionHeader = (PIMAGE_SECTION_HEADER)( (DWORD)pSectionHeader + IMAGE_SIZEOF_SECTION_HEADER );
		printf("\n");
	}
	
	



	
	//释放内存
	free(pFileBuffer);
}	


LPVOID ReadPEFile()
{
	FILE* pFile = NULL;
	DWORD FileSize = 0;
	LPVOID pFileBuffer = 0;
	size_t flag = 0;

//	size_t i ;
	
	//打开文件
	pFile = fopen(FileName , "rb");
	if(!pFile)
	{
		printf("open file failure!\n");
		return NULL;
	}
	
	//读取文件大小
	fseek(pFile , 0, SEEK_END);
	FileSize = ftell(pFile);
	
	fseek(pFile , 0 , SEEK_SET);

	//分配缓冲区
	pFileBuffer = malloc(FileSize);
	if(!pFileBuffer)
	{
		printf("allocation space failure!\n");
		fclose(pFile);
		return NULL;
	}
	
	//将文件数据读取到缓冲区
	flag = fread(pFileBuffer , FileSize , 1 , pFile);
	if(!flag)
	{
		printf("read data failure!\n");
		fclose(pFile);
		free(pFile);
		return NULL;
	}
/*输出16进制数据
	for(i=0 ; i<FileSize;i++)
	{
		printf("%x",*((byte*)pFileBuffer+i));
	}
*/
	//关闭文件
	fclose(pFile);

	//返回指针 指向文件数据
	return pFileBuffer;
}

欢迎大家留言交友^ & ^

C4cke
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PE结构解析
Hello_MyDream的博客
06-16 2万+
一. DOS原来为DOS系统使用,现在只需要记住如下两项。 1、DOC: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE相对于文件的偏移,用于定位PE文件 如上图所示,DOS一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7646
此次PE文件解析的内容:PE、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; IMAGE_DOS_HEADER DosHeader; PIMAGE_...
2.2 PE结构:文件详细解析
最新发布
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOSPE文件开的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件的位置,该文件是由`IMAGE_NT_HEAD
PE文件详解(C制作PE格式解析器)
CharlesGodX的博客
03-27 5569
0x00:前言 PE文件可以说是在逆向的各个领域都有涉及,特别是病毒领域,如果你是一名病毒制造者,那你肯定是对PE文件有详细的了解,那么这里我就详细介绍一下PE文件,最后我们用C来写一个PE格式解析器。 0x01:PE格式 要了解PE文件,首先要知道PE格式,那么什么是PE格式呢,既然是一个格式,那肯定是我们都需要遵循的定理,下面这张图就是PE文件格式的图片(来自看雪),非常大一张图片,其实PE格...
C/C++ PeView 结构解析
CSDN
07-19 7226
前段时间推出过一款PETools命令行版本的PE文件解析器,由于命令行参数较多且每次输出文件都要重新读取一遍效率较低,故今天我终于抽出时间来继续完善这个小工具,由于PETools工具与其他工具重名,故本次更名为PEView,且使用了交互式结构解析,让解析结果更加清晰,在使用上更加的易用,同时默认支持上下箭查询历史命令,非常方便。【GetHexAscii】这是一个独立模块,可以独立使用,通常传入的是文件路劲,文件偏移,以及读取大小,即可实现文件的十六进制读取展示。【add/sub】简单的十六进制计算器。
PE结构学习-----PE移位
笔记本
09-25 1557
刚开始学pe结构的时候,是为了搞XXXXX的,那时瑞星和江民还有希望,那时卡饭论坛还常驻各个杀毒软件厂商的工程师,想想还有些怀念,初中基本啥也不懂,就上论坛看别人是怎么搞的,有一次看到一个免杀技术叫pe移位,后来这个技术也用了蛮久。刚好现在上了操作系统这门课,作业就是要研究下pe结构,所以就以pe移位为目标,看看其中的原理到底是啥。 PE是一个 IMAGE_NT_HEADERS的结构。...
PE文件解析器的原理(C语言代码)
01-16
此外,解析器应具有良好的错误处理机制,遇到无法识别或无效的PE结构时,应能优雅地退出并报告错误。 总的来说,通过C语言编写PE文件解析器,不仅需要理解PE文件的内部结构,还要掌握文件I/O操作和Win32 API的使用...
PE解析器(C语言).zip
08-19
C语言PE解析器的核心任务是读取并解析这些结构。以下是实现这个解析器需要掌握的关键知识点: 1. 文件I/O操作:C语言中的fopen、fread、fwrite等函数用于读取和写入文件。你需要用它们来读取PE文件的二进制数据。 ...
C语言怎么获得进程的PE文件信息
09-02
了解如何通过C语言读取并解析这些信息,有助于理解程序的内存布局、资源分配以及代码行为。 首先,我们要知道PE文件由多个部分组成,包括DOS、NT、节表(Section Table)等。以下是从提供的代码中提炼出的关键...
PEInfo.zip_peinfo_pe解析
09-23
C语言和SDK环境下解析PE文件,我们需要理解Windows API,特别是那些涉及到文件I/O、内存映射和PE结构的函数,例如`CreateFile`、`MapViewOfFile`和`ImageHlp`库。我们还需要熟悉PE文件的文件(如`winnt.h`),...
PE信息解析 c源码
12-05
辛苦搬运解释 ,结合而成的PE解析器,目前只解析文件,在内存中只是镜像基址和RVA FOA不一样其他都一样的
PE文件解析
12-01
- **找到NT**: 在DOS的末尾,有PE的偏移量,解析器跳转到这个位置开始解析NT。 - **解析COFF和NT**: 从中获取文件类型、入口点、节表位置等信息。 - **处理节表**: 节表包含节数组,每个节都描述...
C语言编写控制台下PE分析工具(二)
CHkylin的博客
08-26 1134
C语言编写PE格式分析工具
windows PE Image 文件分析
ymzhou117的专栏
03-10 3526
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件、NT 文件、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
PE文件格式分析及修改
lxslove的专栏
11-06 1731
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识
C++ 获取 PE 文件的各种信息
CSDN
07-16 7817
首先感谢 cyxvc 老哥,他的代码可读性超高,精简有用以理解,我找这方面的资料好久了,这篇文章对我帮助很大。参考代码: 效果图:另外附上我的代码。😕 获取某指定区段的信息:
PE结构详解(一)
本博客所有内容都是转的前辈们的
04-13 1255
本系列主要是参考英文原本ARTeam的PE File Format Tutorial并加以注解,以最简洁的语言来阐述PE格式,帮助大家快速入门。在开始之前,请确定您懂得C语言,至少是基本数据类型、数组和结构体,以及会WinHEX的基本使用方法。任何错误都欢迎指出,感激不尽! (一)介绍PE 格式     PE格式(Portable Executable,可移植可执行文件)是原生的Win32
手动解析PE文件(含打印PE文件信息的C练习代码)
lygl35的博客
06-17 999
1、DOS _IMAGE_DOS_HEADER(共40个字节) WORD e_magic // 5A4D *EXE标志,“MZ” WORD e_cblp //0090 WORD e_cp //0003 WORD e_crlc //0000 WORD e_cparhdr //0004 WORD e_minalloc //0000 WORD e_maxalloc //FFFF WORD e_ss
数据结构_dfs深度优先算法入门(C语言
qq_35289660的博客
03-30 4630
数据结构_dfs深度优先算法入门(C语言) 文章目录数据结构_dfs深度优先算法入门(C语言)0.闲话1.个人理解2.全排列问题(1到n的排列组合)2.八皇后问题求解二维迷宫(1)只输走出迷宫解的个数(2)输出解的个数和路径 0.闲话 ​ 才学习数据结构的dfs,做一下笔记记录一下,加深理解-.- ​ 我这里就简单讲一下我的理解和一下例子 ​ 推荐学习资源(B站视频,原理和实例): 洛谷 普及组...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值