PE头

最新推荐文章于 2022-05-02 13:43:44 发布
最新推荐文章于 2022-05-02 13:43:44 发布
阅读量302 收藏
点赞数
分类专栏: 笔记 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41232519/article/details/108277144
版权
笔记 同时被 2 个专栏收录
94 篇文章 3 订阅
订阅专栏
PE
26 篇文章 2 订阅
订阅专栏

文章目录


· 在这里插入图片描述

一、PE头

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;				//PE标识(4字节)
    IMAGE_FILE_HEADER FileHeader;			//标准PE头(20字节)
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;	//扩展PE头(默认224字节)
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

PE标识:

PE标识不能破坏,操作系统在启动一个程序的时候会检测这个标识。

二、标准PE头

ypedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;			//可以运行在什么样的CPU上   任意:0    Intel 386以及后续:14C   x64:8664  
    WORD    NumberOfSections;	//表示节的数量
    DWORD   TimeDateStamp;		//编译器填写的时间戳 与文件属性里面(创建时间、修改时间)无关
    DWORD   PointerToSymbolTable;//调试相关
    DWORD   NumberOfSymbols;	//调试相关
    WORD    SizeOfOptionalHeader;//可选PE头的大小(32位PE文件:0xE0  64位PE文件:0xF0)
    WORD    Characteristics;	//文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

WORD Characteristics含义表
在这里插入图片描述

三、扩展PE头

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;		//PE32:10B     PE32+:20B
    BYTE    MajorLinkerVersion;		//链接器版本号
    BYTE    MinorLinkerVersion;		//链接器版本号
    DWORD   SizeOfCode;		//所有代码节的总和   文件对齐后的大小  编译器填的  没用
    DWORD   SizeOfInitializedData;	//包含所有已经初始化数据的节的总大小  文件对齐后的大小 编译器填的  没用
    DWORD   SizeOfUninitializedData;	//包含未初始化数据的节的总大小 文件对齐后的大小 编译器填的  没用
    DWORD   AddressOfEntryPoint;	//程序入口
    DWORD   BaseOfCode;		//代码开始的基址,编译器填的   没用
    DWORD   BaseOfData;		//数据开始的基址,编译器填的   没用
    DWORD   ImageBase;		//内存镜像基址  
    DWORD   SectionAlignment;		//内存对齐
    DWORD   FileAlignment;		//文件对齐
    WORD    MajorOperatingSystemVersion;	//标识操作系统版本号 主版本号
    WORD    MinorOperatingSystemVersion;	//标识操作系统版本号 次版本号
    WORD    MajorImageVersion;		//PE文件自身的版本号 
    WORD    MinorImageVersion;		//PE文件自身的版本号
    WORD    MajorSubsystemVersion;	//运行所需子系统版本号
    WORD    MinorSubsystemVersion;	//运行所需子系统版本号
    DWORD   Win32VersionValue;	//子系统版本的值,必须为0
    DWORD   SizeOfImage;		//内存中整个PE文件的映射的尺寸,可比实际的值大,必须是SectionAlignment的整数倍
    DWORD   SizeOfHeaders;		//所有头+节表按照文件对齐后的大小,否则加载会出错
    DWORD   CheckSum;		//校验和,一些系统文件有要求.用来判断文件是否被修改.
    WORD    Subsystem;		//子系统	驱动程序(1)  图形界面(2)  控制台、DLL(3)
    WORD    DllCharacteristics;		//文件特性 不是针对DLL文件的
    DWORD   SizeOfStackReserve;	//初始化时保留的栈大小 
    DWORD   SizeOfStackCommit;	//初始化时实际提交的大小 
    DWORD   SizeOfHeapReserve;	//初始化时保留的堆大小
    DWORD   SizeOfHeapCommit;	//初始化时实践提交的大小 
    DWORD   LoaderFlags;		//调试相关
    DWORD   NumberOfRvaAndSizes;	//目录项数目
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
lnterpreter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Pe 第三章 PE文件(下)
天使也掉毛
10-07 1021
Windows Pe 第三章 PE文件(下)
PE文件(一)PE
qq_63329753的博客
02-13 3647
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE文件
满天星专栏
10-20 2319
大体上,PE文件由下面几个部分组成,DOSPE,可选,节表,以及各节的数据。这些数据结构在文件中的位置如下图所示。 PE文件的第一部分是一个DOS,一般我们称之为DOS STUB。 这个DOS实际上就是一个完整的DOS应用程序。这样当你在DOS下试图运行这个程序的时候,DOS将会把它识别成一个DOS可执行程序。一般这个DOS STUB会在屏幕上打印一条信息“该程序需要W
PE解析
qq_41129854的博客
03-16 600
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS...
Windows Pe 第三章 PE文件(上)
天使也掉毛
09-11 2651
Windows Pe 第三章 PE文件(上)
PE_header.rar_PE_pe文件修改
09-24
"PE_header.rar_PE_pe文件修改"的主题聚焦于PE文件的修改技术,这涉及到对可执行文件的深入理解和定制。 PE文件PE文件格式的关键部分,它包含了运行时操作系统用来加载和执行程序所需的信息。主要包含以下...
delphi版本修改PE源码
08-28
本主题将深入探讨如何使用Delphi编程语言修改PE,以便在EXE或DLL文件中插入代码。 首先,我们需要了解PE的基本结构。PE由两个主要部分组成:COFF(Common Object File Format)和NT(New Technology)。...
mz.rar_MZ_PE_mz与pe_文件mz?
09-24
标题"MZ.RAR_MZ_PE_mz与pe_文件mz?"涉及的是关于Windows操作系统中的可执行文件格式,特别是PE(Portable Executable)文件格式的基础知识。在这个主题下,我们将深入探讨MZPE,以及它们在可执行文件结构...
一个清除windows文件PE中的垃圾字节来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
01-17
标题和描述中提到的"清除windows文件PE中的垃圾字节来缩短PE文件大小的演示程序"是一个关于Windows操作系统中的可执行文件格式(Portable Executable, PE)优化的知识点。PE格式是Microsoft Windows操作系统用于...
PE信息清除器 PE信息清除器
04-18
PE信息清除器是一款专门针对PE(Portable Executable)格式的可执行文件设计的工具,其主要功能是移除或修改PE文件中的特定信息。在深入探讨这个工具之前,我们首先需要理解PE文件格式的基本概念。 PE文件格式...
PE解析(仅限于PE
qq_58405021的博客
11-30 1628
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
PE部的解析(总结于小甲鱼)
imHaoHao的博客
10-29 1222
上次讲到DOS现在讲下紧跟在DOS部后面的PEPE映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
pe结构分析-解析pe(一)
freshfox的博客
09-28 711
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
PE_02-----PE解析
tell_me_404的博客
08-09 625
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
PE文件解析-文件与整体介绍
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE文件的结构
qq_45944873的博客
05-16 1139
PE文件是windows下可移植的可执行文件,常见的有exe、dll后缀文件都是PE文件。PE文件是对整个PE文件数据存储的说明和文件信息的阐述,是一种数据组织方式。32位系统的PE包括以下结构:DOS MZ,DOS Stub,PEPE,节表和节内容。 DOS ...
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 940
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5277
PEIMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件格式总结 - DOS文件PE文件、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
windows PE结构可选PE
最新发布
06-04
PE(Portable Executable)文件的可选部(Optional Header)位于PE部(PE Header)之后,它包含了一些可选信息,例如程序运行时需要的基本信息、PE文件的属性、数据目录等等。可选部的结构如下: ``` typedef...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值