PE文件格式详解(1)

最新推荐文章于 2021-12-15 19:12:20 发布
最新推荐文章于 2021-12-15 19:12:20 发布
阅读量2.4k 收藏 6
点赞数 1
分类专栏: 逆向 文章标签: PE PE文件 PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36294382/article/details/77036944
版权
PE头由许多结构体组成,接下来分别解释一下各部分。
1.DOS头
    微软最初创建PE格式的时候,DOS文件被人们广泛的使用,为了实现PE文件对DOS文件的兼容性。结果是在PE头的最前面添加了一个 IMAGE_DOS_HEADER 结构体,用来扩展已有的DOS EXE头
代码IMAGE_DOS_HEADER结构体

typedef strucet _IMAGE_DOS_HEADER{
     WORD e_magic;               //DOS  signature : 4D5A ("MZ")
    WORD e_cblp;
    WORD e_cp;
    WORD e_crlc;
    WORD e_cparhdr;
    WORD e_minalloc;
    WORD e_maxalloc;
    WORD e_ss;
    WORD e_sp;
    WORD e_csum;
    WORD e_ip;
    WORD e_cs;
    WORD e_lfarlc;
    WORD e_ovno;
    WORD e_res[4];
    WORD e_oemid;
    WORD e_oeminfo;
    WORD e_res2[10];
    LONG e_lfanew;               //offset to NT header
} IMAGE_DOS_HEADER,*PIMAGE_DOS_HEADER;

IMAGE_DOS_HEADER结构体的大小为40个字节。该结构体有两个重要的"成员": e_magic e_lfanew .
                  e_magic  :   DOS签名(signature,4d5a=>ASCII值"MZ")。
                   e_lfanew :  指示NT头的偏移(根据不同文件拥有可变值)。
    所有的PE文件在开始部分(e_magic)都有DOS签名( "MZ" )。e_lfanew值指向NT头所在位置。(NT头的全称为IMAGE_NT_HEADERS)
              PS:     Mark Zbikowski在微软设计了DOS可执行文件,MZ即取自其名字的首字母。

使用010 Editor打开notepad.exe,查看IMAGE_DOS_HEADERS结构体,如图。

根据PE规范,文件开始的两个字节为4D5A,e_lfanew值为000000F0(intel的CPU以逆序储存数据,即小段序标识法)。
2.DOS存根
DOS存根(stub)在DOS头的下方,是个可选项,并且大小不固定(即有无DOS存根,文件均可正常运行)。DOS存根由代码与数混合而成,下图就是notepad.exe的DOS存根。

上图中,文件偏移40~4D区域为16位的汇编指令。32位windows OS中不会运行该命令(由于被识别为PE文件,所以完全忽视该代码)。在DOS环境中运行Notepad.exe文件,或者使用DOS调试器(debug.exe)运行他,可使其执行该代码(不识别PE文件格式,所以被识别为DOS EXE文件)。

界面中输出字符串"This program cannot be run in DOS mode"后便退出了,即notepad.exe文件虽然是32位的PE文件,但是带有MS-DOS兼容模式,可以在DOS环境中运行,执行DOS EXE代码,输出"This program cannot be run in DOS mode"后终止。根据该特性便可在一个可执行文件(EXE)中创建出另一个文件,使它在DOS与Windows中都能运行(在DOS环境中运行16位DOS代码,在Windows环境中运行32位Windows代码)。

0x4154304D
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件详解(C制作PE格式解析器)
CharlesGodX的博客
03-27 5575
0x00:前言 PE文件可以说是在逆向的各个领域都有涉及,特别是病毒领域,如果你是一名病毒制造者,那你肯定是对PE文件有详细的了解,那么这里我就详细介绍一下PE文件,最后我们用C来写一个PE格式解析器。 0x01:PE格式 要了解PE文件,首先要知道PE格式,那么什么是PE格式呢,既然是一个格式,那肯定是我们都需要遵循的定理,下面这张图就是PE文件格式的图片(来自看雪),非常大一张图片,其实PE格...
PE文件结构详解
神棍之路
07-20 9899
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件格式详解
钞sir的博客
03-17 1万+
三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间,所有的代码和数据都合并在一起,组成了一个很大的结构文件被分为不同的区块(Section,又成为区段或节等),区块中包含代码和数据,各个区块按页边界对齐; 区块没有大小限制,是一个连续结构;每一个块都有其自己的属性,如是否包含代码,是否可读可写等; PE文件的构成 MS-DOS头部 每个...
PE文件格式分析
shitdbg的博客
11-09 8289
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
windows PE文件格式详解
04-21
PE文件格式详解
PE文件格式详解(一)
12-26 3555
转载地址点击打开链接
PE格式解析.zip
09-09
一个操作系统的可执行文件格式在很多方面是这个系统的一面镜子。虽然学习一个可执行文件格式通常不是一个程序员的首要任务,但是你可以从这其中学到大量的知识。在这篇文章中,我会给出 Microsoft 的所有基于win32系统(如winnt,win9x)的可移植可执行(PE文件格式的详细介绍。在可预知的未来,包括Windows2000, PE文件格式在 MicroSoft 的操作系统中扮演一个重要的角色。如果你在使用 Win32 或 Winnt ,那么你已经在使用 PE 文件了。甚至你只是在 Windows3.1 下使用 Visual C++编程,你使用的仍然是 PE 文件(Visual C++ 的
PE文件头两个字节MZ的含义
qq_43470425的博客
07-13 2458
PE文件有一个共同特点:前两个字节为4D 5A(MZ)。 幻数(魔数)是一些文件格式规范所要求的特殊标签值,它表示文件符合这种规范。有时候,人们在选择幻数时加入了幽默的因素。例如,MS-DOS的可执行文件头中的MZ标签是MS-DOS原架构师Mark Zbikowski姓名的首字母缩写。 众所周知,Java的.class文件的幻数为十六进制数Oxcafebabe,选择它作为幻数,仅仅是因为它是一个容易记忆的十六进制数字符串。 ...
PE文件格式详解(下)
08-04 986
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
[系统安全] PE文件格式详解1
H4ppyD0g的博客
12-15 2893
PE文件格式是微软Windows NT内核系列系统和 Win32子集中可执行的二进制文件格式。这种文件格式是微软基于COFF 文件格式的设计思想设计的。 COFF (Common Object File Format,通用目标文件格式)是应用于数种 UNIX系统中的目标文件和可执行文件的格式。 对应的,在linux下的可执行文件格式采用ELF(Executable and Linkable Format)。 MS-DOS头、DOS Sub MS-DOS头存在于每个PE文件中,它的存在完全是出于兼容性的考虑。
PE文件格式详解(六)
weixin_30527323的博客
10-21 368
0x00 前言 前面两篇讲到了输出表的内容以及涉及如何在hexWorkShop中找到输出表及输入DLL,感觉有几个地方还是没有理解好,比如由数据目录表DataDirectory[16]找到输出表表后以为找到输入DLL就完了,其实这一流程的最终功能是通过输入DLL找到输入DLL调用的函数,这一步骤是通过输出表结构中的OriginalFristThunk或者OriginalFristThunk所...
windows PE Image 文件分析
ymzhou117的专栏
03-10 3528
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式
PE格式详解(九)
LewisCheng的专栏
08-31 1411
          好了,如果你确实按进程看到了这里,那么我首先要钦佩你的毅力,感谢你的支持,同时也恭喜你已经对PE格式有了比较全面的了解。回想起来,其实PE格式的理解并不很困难,只是比较复杂,也容易搞混结构关系,所以我写了这第九篇,把PE格式的总体结构按研究的顺序给出,让这个轮廓清晰地出现在脑中。         好,如果我们拿到一个EXE,想要去分析它的格式,我们可以按下面的步骤进行:
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件格式——基础知识
脚踏实地的做自已
10-25 932
转载自madengyao_super 点击打开链接 PE文件格式――基础知识 什么是PE文件格式:     我们知道所有文件都是一些连续(当然实际存储在磁盘上的时候不一定是连续的)的数据组织起来的,不同类型的文件肯定组织形式也各不相同;PE文件格式便是一种文件组织形式,它是32位Window系统中的可执行文件EXE以及动态连接库文件DLL的组织形
Windows PE文件格式详解
"PE文件结构-PE文件格式" 在个人计算机系统中,特别是Windows操作系统上,可执行文件的格式至关重要。PE(Portable Executable)文件格式是微软为Win32平台设计的一种标准,用于存放应用程序的机器代码和数据。本文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值