PE 结构解析

最新推荐文章于 2024-04-13 22:44:13 发布
最新推荐文章于 2024-04-13 22:44:13 发布
阅读量255 收藏
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36088602/article/details/106159955
版权

取之网络,还于网络,请大家多多指点,多数都是在网上看到的,手抄不易,多谢!

PE文件是什么?
PE(Protable Execute) 是Windows下可执行的文件,常见有DLL(动态库)Exe(可直接运行的程序)OCX(络,还于网络,请大家多多指点,多数都是在网上看到的,手抄不易,多谢!
PE文件是什么?PE(Protable Execute) 是Windows下可执行的文件,常见有DLL(动态库)Exe(可直接运行的程序)OCX(组件)SYS(驱动程序)等…,一个文件是否是PE文件与其扩展名无关,PE可以是任何扩展名。
PE文件的结构一般来说 分为起始位置DOS头,DOS块,NT头节表,及具体的节。

先来看ODS头结构:

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    USHORT e_magic;                     // Magic number
    USHORT e_cblp;                      // Bytes on last page of file
    USHORT e_cp;                        // Pages in file
    USHORT e_crlc;                      // Relocations
    USHORT e_cparhdr;                   // Size of header in paragraphs
    USHORT e_minalloc;                  // Minimum extra paragraphs needed
    USHORT e_maxalloc;                  // Maximum extra paragraphs needed
    USHORT e_ss;                        // Initial (relative) SS value
    USHORT e_sp;                        // Initial SP value
    USHORT e_csum;                      // Checksum
    USHORT e_ip;                        // Initial IP value
    USHORT e_cs;                        // Initial (relative) CS value
    USHORT e_lfarlc;                    // File address of relocation table
    USHORT e_ovno;                      // Overlay number
    USHORT e_res[4];                    // Reserved words
    USHORT e_oemid;                     // OEM identifier (for e_oeminfo)
    USHORT e_oeminfo;                   // OEM information; e_oemid specific
    USHORT e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

DOS头是用来兼容MS-DOS操作系统的,及指明NT的位置 目前DOS头只用到USHORT e_magic; //'MZ’头标识 和LONG e_lfanew; //定义到NT头的位置,跳过DOS和DOS块之间找到NT头。_IMAGE_DOS_HEADER结构体有64字节

DOS块 省略…

NT 头(PE头)先来看一下结构体

typedef struct _IMAGE_NT_HEADERS {
    ULONG Signature;
    IMAGE_FILE_HEADER FileHeader;//PE文件头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;//PE可选头(其实是必不可少的头)
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

ULONG Signature;//类似DOS头的标识,以十六进制查看为字母’PE’

看一下IMAGE_FILE_HEADER 结构体:

typedef struct _IMAGE_FILE_HEADER {
    USHORT  Machine;//该文件运行的平台
    USHORT  NumberOfSections;
    ULONG   TimeDateStamp;
    ULONG   PointerToSymbolTable;
    ULONG   NumberOfSymbols;
    USHORT  SizeOfOptionalHeader;
    USHORT  Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

不想写了 By

归途醉染
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6395
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE结构解析
Hello_MyDream的博客
06-16 2万+
一. DOS头原来为DOS系统使用,现在只需要记住如下两项。 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 如上图所示,DOS头一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
PE结构详解(加壳脱壳必备知识)
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
PE结构详解
whl0071的专栏
02-20 2597
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头(PE文件签名的偏移地址就是大小) 3.2 NT头(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE文件结构解析
eli的博客
12-01 6540
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
逆向工程——PE(一)
weixin_33751566的博客
12-06 482
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32),PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll动...
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
PE文件结构
南宫封清的博客
04-19 3746
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
PE结构&整体叙述
寻梦&之璐
01-31 5507
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,节在内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的节在文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字节,十六进制是200h 处于节约资源考虑,操作系统允许节在内存和文件
2.2 PE结构:文件头详细解析
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOS头是PE文件开头的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS头包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件头的位置,该文件头是由`IMAGE_NT_HEAD
pe文件结构 基础篇
weixin_50217210的博客
07-08 806
转自看雪学院
PE结构
weixin_43754657的博客
12-11 407
PE结构
PE文件的分析和构造超详细过程
最新发布
m0_62574258的博客
04-13 1720
本文详细讲述如何从0构造一个PE文件,运行该文件会弹出一个HelloPE的窗口。
PE(Portable Execute)学习
weixin_34375054的博客
06-14 119
最近做逆向破解的学习需要有关PE格式的相关知识,之前看过一点但还是模模糊糊的,刚好借这个机会来个彻底的学习,对PE结构争取有个更深刻一点的认识 下面是我自己的学习笔记. 1. DOS文件头,这是PE文件最开始的一个结构体,定义了一个DOS小程序(注意在磁盘中是0x200对齐而内存中0x1000对齐,所以DOS文件头中不足的地方补0)_IMAGE_DOS_HEADER{    WORD   e...
PE文件格式学习
qin_code的博客
04-08 4040
目录 IMAGE_DOS_HEADER_STRUCT e_lfanew IMAGE_NT_HEADER Signature IMAGE_FILE_HEADER Machine NumberOfSections TimeDateStamp PointerToSymbolTable &NumberOfSymbols SizeOfOptionalHeader Characteristics IMAGE_OPTIONAL_HEADER Magic MajorLinkerV...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值