pe文件格式

最新推荐文章于 2024-05-15 03:13:11 发布
最新推荐文章于 2024-05-15 03:13:11 发布
阅读量121 收藏
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/114673197
版权

总的来说 pe文件结构 比elf全面多了 dos头 pe nt头 file头 可选头, 区块表

开头

IMAGE_DOS_HEADER_STRUCT{
         +0 e_imagic  "MZ"
         +2 e_cblp
         +4 e_cp
         +6 e_crlc
         +8 e_cparhdr
         +0a e_minalloc
         +0c e_maxalloc
         +0e e_ss
         +10 e_sp
         +12 e_csum
         +14 e_ip
         +16 e_cs
         +18 e_lfarlc
         +1a e_ovno
         +1c e_res
         +24 e_oemid
         +26 e_oeminfo
         +28 e_res2
         +3c e_lfanew //pe的相对偏移
}
接着是pe文件头
IMAGE_NT_HEADERS_STRUCT{
     +0h Signature  "PE\0\0"
     +4h FileHeader  IMAGE_FILE_HEADER
     +18h optionalHeader  IMAGE_OPTIONAL_HEADER

}
其中的FileHeader
IMAGE_FILE_HEADER_STRUCT{
    +04  Machine  //运行平台
    +06 NumberOfSections //文件的区块数? 块表紧跟在nt_headers后
    +08h TimeDateStamp //文件的创建日期和时间
    +0ch PointerToSymbolTable  //指向符号表
    +10h NumberOfSymbols  //符号表中符号的个数
    +14h SizeOfOptionalHeader //IMAGE_OPTIONAL_HEADER32结构的大小
    +16h Characteristics //文件属性
}

在这里插入图片描述
在这里插入图片描述
其中DataDirectory是指向输出表,输入表,资源块等资源

IMAGE_DATA_DIRECTORY_STRUCT{
  VirtualAddress //数据块的起始RVA
  Size           //数据块的长度
}

区块

紧跟在IMAGE_NT_HEDERS的区块表,IMAGE_SECTION_HEADER结构数组 (相对于elf的programheader 不过更加全面)

IMAGE_SECTION_HEADER_STRUCT{
 name //8字节的块名
 VitrtualAddress   // 区块的rva地址
 SizeOfRawData   //在文件中对齐的尺寸
 PointerToRawData  //在文件中的偏移
 PointerToRelocations // 在OBJ文件中使用,重定位的偏移
 PointerToLinenumbers  //行号表中的偏移
 NumberOfRelocations //在OBJ文件中使用,重定位数目
 NumberOfLinenumbers 
 Characteristics    //区块的属性
}

输入表

是一个IMAGE_IMPORT_DESCRIPTOR(iid)数组开始

IMAGE_IMPORT_DESCRIPTOR_STRUCT{
    union
      Characteristics
      OriginalFirstThunk //指向INT数组
    ends
    TimeDateStamp   //不重要
    ForwarderChain //不重要
    Name // Dll名字的指针
    FirstThunk// 指向iat的rva
}
int和iat都是IMAGE_THUNK_DATA结构数组
```c
IMAGE_THUNK_DATA_STRUCT{
   union u1
   ForwarderString  //指向一个转向者字符串的rva
   Function         //被输入的函数的内存地址
   Ordinal          //被输入的api的序数值
   AddressOfData    //指向IMAGE_IMPORT_BY_NAME
   end
}

iat和got表还满像的,。。。
还有就是输出表,资源,基址重定位(.reloc)这和linux下的静态链接满像的,,
Image_base_relocation{
virtualAddress //重定位数据的开始rva地址
sizeOfBlock .//重定位块的长度
TypeOffset //重定位项数组
}

不就是elf的重定位表吗,,,
20000s
关注
专栏目录
PE文件格式详解
音视频图形编程学习乐园
09-01 1734
本文描述了Windows系统的PE文件格式
PE文件格式
weixin_61154173的博客
03-30 1841
PE文件是Windows操作系统下使用的可执行文件。PE文件是指32位的可执行文件,也称为PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式。
PE文件格式分析
SWC0619的博客
03-21 3899
PE文件格式解析
PE 文件格式
HWP
02-08 902
PE(Portable Exec utable)是 Win32 平台下可执行文件遵守的数据格式。 Utable:是用来标示类型用户的字段 常见的可执行文件(如“*.exe”文件和“*.dll”文件)都是典型的 PE 文件。 一个可执行文件不光包含了二进制的机器代码,还会自带许多其他信息,如字符串、菜单、图标、位图、字体等。 PE 文件格式规定了所有的...
PE文件格式全解读
凌阳的博客
06-08 5056
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件格式(一)
周星星的博客
10-18 8273
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
最详细PE文件格式讲解(完结篇)
SXXYNHHXX的博客
02-07 1478
/ 未使用,总为0// 文件创建时间戳// 未使用,总为0// 未使用,总为0DWORD Name;// **重要 指向一个代表此 DLL名字的 ASCII字符串的 RVADWORD Base;// **重要 函数的起始序号// **重要 导出函数地址表的个数// **重要 以函数名字导出的函数个数// **重要 导出函数地址表RVA// **重要 导出函数名称表RVA// **重要 导出函数序号表RVA输出表(ExportTable)
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 2118
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
第十三章 PE文件格式
最新发布
qq_45850212的博客
05-15 923
PE文件是Windows下的可执行文件格式,一般来说指的是32位的可执行文件,而64位的可执行文件称为PE+或PE32+。PE文件分为以下几种:1.可执行系列(.exe, .scr);2. 库系列(.dll, .ocx, .cpl, .drv);3.驱动程序系列(.sys, .vxd);4.对象文件系列(.obj)。除了对象文件之外的其他PE文件都是可执行的,所以我们需要重点关注除了对象文件之外的其他文件,下面是PE文件的结构图。
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 6019
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
**Windows PE文件格式详解** Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统中的可执行文件格式,用于存储编译后的程序代码、数据和元数据。PE文件是Windows平台的核心组成部分,包括.exe...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
本压缩包包含的资源是关于使用VC++(Visual C++)编写的源码,用于判断一个文件是否符合PE文件格式。这个功能在软件开发、系统分析以及安全领域有着广泛的应用。 首先,我们需要了解PE文件的基本结构。PE文件由多个...
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件在文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
The_PE_file_format.zip_PE_Format_pe_pe文件_pe文件格式
09-14
PE文件格式,全称为Portable Executable,是Windows操作系统中用于执行程序的标准文件格式。它包含了代码、数据、元数据以及程序运行所需的其他信息。在Windows系统中,无论是.exe可执行文件、.dll动态链接库还是....
2021虎符ctf-逆向题解
qq_37439229的博客
04-04 3188
red… mips架构,nmsl GoEncrypt 输入符合正则格式的flag:flag{11111111-1111-1111-1111-111111111111}, 除了”-“的其他hex编码 ,之后分成2组 xtea,脚本 抄百度就行 #include<stdio.h> #include<stdlib.h> #define uint32_t unsigned int void encipher(unsigned int num_rounds, uint32_t v[2], ui
HWS计划2021硬件安全冬令营线上选拔赛 re wp
qq_37439229的博客
02-01 2327
感觉这比赛比较简单。。。花了一天时间做,直接ak逆向了 decription 弱智题,爆破就行 a = [ 0x12, 0x45, 0x10, 0x47, 0x19, 0x49, 0x49, 0x49, 0x1A, 0x4F, 0x1C, 0x1E, 0x52, 0x66, 0x1D, 0x52, 0x66, 0x67, 0x68, 0x67, 0x65, 0x6F, 0x5F, 0x59, 0x58, 0x5E, 0x6D, 0x70, 0xA1, 0x6E, 0x70, 0xA3] b
湖湘杯-re
qq_37439229的博客
11-02 1199
re1 ibm s/390 看逻辑就是个解方程,z3试一下,原本用bitvec,发现看上去就不怎么对,用int 就好了,真奇怪 from z3 import * table = [0x00, 0x00, 0xB2, 0xB0, 0x00, 0x00, 0x6E, 0x72, 0x00, 0x00, 0x60, 0x61, 0x00, 0x00, 0x56, 0x5D, 0x00, 0x00, 0x94, 0x2D, 0x00, 0x00, 0xAC, 0x79, 0x00, 0x00, 0x39, 0x1
针对vmp和ollvm的解决方法
qq_37439229的博客
11-25 1074
自我总结 1.angr 2.gdb脚本测试 3.pin插桩 (目前的学习经历知道这几种方法,如果有别的,欢迎师傅们补充,其中pin还没用过,angr就只会写模板,gdb还写不来。一般都动调。。。有待学习,补充) ...
祥云杯-re复现 (未完待续)
qq_37439229的博客
11-23 693
周末祥云杯没打,主要是自己想摸了。。(就是这么直白)还有就是nctf举办,我出题,我到比赛那天还没出完。。。(太咕了。。) 比赛后就想来复现这比赛,看解题人数,感觉满难的,应该很有质量,就跟着null的wp复现吧,一天复现一题 re1 动态调试,发现对flag的每一位进行相同的操作,慢慢看太多了,因此可以gdb脚本爆破, null的脚本写错了把。。程序开了pie,第一句就不对。。。而且while也没让程序重新启动,这里给出我写的 pwndbg> define f1 Type commands for
深入解析PE文件格式
"这篇文章深入解析了PE文件格式,旨在帮助开发者理解并处理PE文件。PE文件格式最初在Windows NT 3.1中引入,结合了UNIX的COFF规范和MS-DOS的MZ头部,以确保与旧版操作系统的兼容性。文章通过自顶向下的方式详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值