PE头解析

最新推荐文章于 2022-10-27 14:14:14 发布
最新推荐文章于 2022-10-27 14:14:14 发布
阅读量600 收藏 2
点赞数
分类专栏: PE 文章标签: PE解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41129854/article/details/88598907
版权

这两天对于PE的学习总结:

1.PE结构的应用

(1)windows下exe文件

(2)动态链接库(大部分是以dll为扩展名得文件)

2.关于PE分节

(1)节省硬盘空间   (2)一个应用程序多开

对齐 旧式的电脑新款
硬盘对齐   200h   1000h
内存对齐 1000h   1000h

3.PE整体结构

DOS头              NT头              节表/块表              .text块               .rdata块                 data块

(后面这几个快不确定位置和数量,这些由节表确定)

 

下面介绍的都是几个头中重点的几个标识,所以详细的自己百度

 

4.    DOS头(一般运用在16位系统中 )

                        
WORD   e_magic                *                  "MZ标记" 用于判断是否为可执行文件.  (即判断是否在windows上执行)          
DWORD  e_lfanew;             *                  PE头相对于文件的偏移,用于定位PE文件 

DOS头和NT头之间由垃圾数据填充

5.NT头

NT头分为三部分(1)PE标记(2)标准PE头(3)可选PE头

1)PE标记   

dword   signature   (由DoS头里e_lfanew确定位置)

2)标准PE头     fileheader 

          WORD    Machine;              *                程序运行的CPU型号:0x0 任何处理器/0x14C 386及后续处理器                        
          WORD    NumberOfSections;     *        文件中存在的节的总数,如果要新增节或者合并节 就要修改这个值.                   
          DWORD   TimeDateStamp;        *        时间戳:文件的创建日期和时间(和操作系统的创建时间无关),编译器填写的.  
          DWORD   PointerToSymbolTable;                                         
          DWORD   NumberOfSymbols;                                         
          WORD    SizeOfOptionalHeader; *       可选PE头的大小32位PE文件默认E0h 64位PE文件默认为F0h  大小可以自定义.  
          WORD    Characteristics;      *              文件属性,每个位有不同的含义,普通exe文件值为10Fh 即0 1 2 3 8位置1                                                                                                                                            Dll文件一般是210Eh

(3)可选pe头   optionalheader(由标准pe头里sizeOfOptionalHeader确定)

WORD    Magic;        *                说明文件类型:10B 32位下的PE文件     20B 64位下的PE文件                        
BYTE    MajorLinkerVersion;                                        
BYTE    MinorLinkerVersion;                                        
DWORD   SizeOfCode;*                所有代码节的和,必须是FileAlignment的整数倍 编译器填的  没用                        
DWORD   SizeOfInitializedData;*                已初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的  没用                      
DWORD   SizeOfUninitializedData;*                未初始化数据大小的和,必须是FileAlignment的整数倍 编译器填的  没用                 
DWORD   AddressOfEntryPoint;*                程序入口                        
DWORD   BaseOfCode;*                代码开始的基址,编译器填的   没用                        
DWORD   BaseOfData;*                数据开始的基址,编译器填的   没用                        
DWORD   ImageBase;*                内存镜像基址                        
DWORD   SectionAlignment;*                内存对齐                        
DWORD   FileAlignment;*                文件对齐                        
WORD    MajorOperatingSystemVersion;                                        
WORD    MinorOperatingSystemVersion;                                        
WORD    MajorImageVersion;                                        
WORD    MinorImageVersion;                                        
WORD    MajorSubsystemVersion;                                        
WORD    MinorSubsystemVersion;                                        
DWORD   Win32VersionValue;                                        
DWORD   SizeOfImage;*             内存中整个PE文件的映射的尺寸,可以比实际的值大,但必须是SectionAlignment的整数倍     
DWORD   SizeOfHeaders;*          所有头+节表按照文件对齐后的大小,否则加载会出错                        
DWORD   CheckSum;*                校验和,一些系统文件有要求.用来判断文件是否被修改.                        
WORD    Subsystem;                                        
WORD    DllCharacteristics;                                        
DWORD   SizeOfStackReserve;*                初始化时保留的堆栈大小                         
DWORD   SizeOfStackCommit;*                初始化时实际提交的大小                     DOS    
DWORD   SizeOfHeapReserve;*                初始化时保留的堆大小                     ...    
DWORD   SizeOfHeapCommit;*                初始化时实践提交的大小                     PE标记    
DWORD   LoaderFlags;                                    标准PE    
DWORD   NumberOfRvaAndSizes;*                目录项数目                    可选PE头    


6.节表(由标准PE头里NumberOfsections可知节表数目)

#define IMAGE_SIZEOF_SHORT_NAME      8                                       
typedef struct _IMAGE_SECTION_HEADER {                    
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];                    
    union {                    
            DWORD   PhysicalAddress;                    
            DWORD   VirtualSize;                    
    } Misc;                    
    DWORD   VirtualAddress;                    
    DWORD   SizeOfRawData;                    
    DWORD   PointerToRawData;                    
    DWORD   PointerToRelocations;                    
    DWORD   PointerToLinenumbers;                    
    WORD    NumberOfRelocations;                    
    WORD    NumberOfLinenumbers;                    
    DWORD   Characteristics;                    
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

                    
1、Name    8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义.    
注意:该名称并不遵守必须以"\0"结尾的规律,如果不是以"\0"结尾,系统会截取8个字节的长度进行处理.
2、Misc  双字 是该节在没有对齐前的真实尺寸,该值可以不准确。               
3、VirtualAddress 节区在内存中的偏移地址。加上ImageBase才是在内存中的真正地址.    
4、SizeOfRawData  节在文件中对齐后的尺寸                    
5、PointerToRawData 节区在文件中的偏移.                    
6、PointerToRelocations 在obj文件中使用 对exe无意义            
7、PointerToLinenumbers 行号表的位置 调试的时候使用            
8、NumberOfRelocations 在obj文件中使用  对exe无意义
9、NumberOfLinenumbers 行号表中行号的数量 调试的时候使用
10、Characteristics   *       节的属性    

(这是一个节表信息,几个节表信息连续)

7.三种不同的地址

文件中的地址(FA): 在文件地址空间中,文件载入的起始位置总是等于0,FA地址表现为一个偏移地址;

虚拟地址(VA):PE文件被映射到内存中时,在内存中的映射地址;

相对偏移地址(RVA):程序某一结构的VA减去FA的结果;

程序被装载入内存中时,由文件结构不变,故其RVA不变,但装载起始地址不变,因为很难保证计算机的运行状态时时刻刻都是一致的。

滴滴肥猫
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE_02-----PE解析
tell_me_404的博客
08-09 625
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
PE结构-Nt
小喇叭儿滴滴的吹
02-11 369
首先,我们需要知道如何定位到Nt部,这个在上篇博客中Dos部的e_lfanew字段中,该字段可定位到Nt部 先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件 IMA...
PE文件(一)PE
qq_63329753的博客
02-13 3647
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE解析(仅限于PE
qq_58405021的博客
11-30 1628
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5277
PEIMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件解析PE文件解析
06-08
PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件解析PE文件...
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
08-15
pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析pe文件解析
PE文件解析
12-01
- PE解析器通常提供图形用户界面(GUI),以可视化方式展示PE文件的各个部分,例如节的大小和位置、导入导出函数列表、资源树等。 - 用户可以通过GUI进行交互式操作,如搜索特定函数、查看资源、检查重定位项等。 ...
headerParser:PE,ELF,DEX,MachO,ZIP(JAR,DocX)的标信息解析
04-11
解析二进制(可执行)文件的信息。 对PE,ELF,DEX,MachO,ZIP(JAR,DocX)进行深度解析。 可以识别Java.class,ART,.NET,NE,MS-DOS。 重点是PE和ELF。 其他类型的处理不太仔细,但将来可能会扩展。 以及PE...
PE 输入表 解析 python
11-03
PE文件可选映像中数据目录表的第二成员指向输入表,输入表以一个 IAMGE_IMPORT_DESCRITPTOR 数组开始,每个被PE文件隐式地链接进来的DLL都有一个IID,在这个数组中没有字段指出该结构数组的项数,但他最后一个...
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
小甲鱼 OllyDbg 教程系列 (二) :从一个简单的实例来了解PE文件
墨鱼菜鸡
07-11 1628
小甲鱼视频讲解:https://www.bilibili.com/video/av6889190?p=6https://www.bilibili.com/video/av6889190?p=7 从一个简单的实例来了解PE文件:https://www.freebuf.com/articles/system/86596.htmlhttps://blog.c...
PE部的解析(总结于小甲鱼)
imHaoHao的博客
10-29 1222
上次讲到DOS现在讲下紧跟在DOS部后面的PEPE映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
COFF文件格式
weixin_30323631的博客
06-28 677
链接器 目录 一 COFF-Common Object File Format-通用对象文件格式... 3 COFF的文件格式与结构体... 4 文件... 5 numberOfSections(区段数):. 5 timeDateStamp(时间戳) :. 5 pointerToSymbolTable(符号表文件偏移) :. 5 numberOfSymbols(符号总个数) :...
UPack文件分析学习笔记
qq_45444695的博客
02-17 1345
前言:UPack是一款对PE文件进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一雾水,无从下手,因为它颠覆了很多人对PE传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPack对PE进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。 UPack压缩notepad 我们使用upack 0.39.exe对w...
PE解析-字段说明
qq_51600802的博客
10-27 2148
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
pe结构分析-解析pe(一)
freshfox的博客
09-28 711
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
vc编写pe文件解析工具
最新发布
08-29
VC编写PE文件解析工具是一项非常有挑战性的任务,需要深入理解Windows操作系统以及PE文件格式的结构和内容。 首先,我们需要使用VC编写一个能够读取二进制文件的程序。通过使用WinAPI中的相关函数,我们可以打开并读取PE文件的内容。 接下来,我们需要解析PE文件的部信息。PE文件的部包含了一些关键信息,例如文件类型、节表、导入表、导出表等。通过读取并解析这些信息,我们可以获取到PE文件的一些基本属性和区段信息。 在解析PE文件的过程中,我们还需要处理可选部信息,如DLL特性、数据目录等。这些信息对于理解和使用PE文件是非常重要的。 此外,我们还需要处理节表信息。PE文件的节表记录了PE文件中的各个区段,如代码段、数据段等。通过解析节表,我们可以获取到更加详细的关于各个区段的信息。 最后,我们可以结合以上解析的内容,提供一些实用的功能。例如,我们可以通过解析导入表,查找和打印出PE文件中使用的外部函数和库文件;我们还可以通过解析导出表,获取到PE文件中自身的导出函数等。 总的来说,VC编写PE文件解析工具需要通过对PE文件结构和内容的深入理解,使用相关函数和库来实现对PE文件的读取和解析。这样就可以开发一个功能丰富、实用的PE文件解析工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值