Re----PE文件格式

最新推荐文章于 2024-07-22 17:58:09 发布
最新推荐文章于 2024-07-22 17:58:09 发布
阅读量799 收藏
点赞数 1
分类专栏: 逆向工程基础 文章标签: Re PE 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42192672/article/details/82496943
版权
本文详细介绍了PE文件的结构,包括DOS部首、PE头、区块表、输入表、输出表、基址重定位和资源结构。PE文件是Windows下的可执行文件,如.exe、.dll等,其内存中的虚拟地址由基地址和相对虚拟地址决定。重点讨论了Address of Entry Point、Image Base等关键属性,并解释了为何需要基址重定位和资源结构的重要性。
摘要由CSDN通过智能技术生成

          

以上两张图是PE文件的基本概况,在Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。

 

在可执行文件中,要指定内存的地址,在PE文件中的地址是虚拟地址(为了避免有确定的的内存地址而带来的问题,如空间利用和移植性)

Visual C++ 建立的EXE文件基地址默认是00400000h,DLL文件基地址是10000000h

在PE文件中,虚拟地址=基地址+相对虚拟地址

以上是一种映射关系,大家可以自己悟一下,任何在执行的虚拟地址都是映射而来的

 

基本概念已经清楚了,我们按照图10.1逐步开始分析

1. DOS部首

主要是两部分 DOS stub、DOS MZ,DOS部首具体如下

最低0.47元/天 解锁文章
xiaoyuyulala
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式(一)
周星星的博客
10-18 8110
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件格式详解
音视频图形编程学习乐园
09-01 1633
本文描述了Windows系统的PE文件格式
PE文件结构
最新发布
2301_80096119的博客
07-22 580
可执行文件:可以由操作系统进行加载并执行的文件称为可执行文件格式:windows:采用 PE(Portable Executable)文件结构。Linux:采用 ELF(Executable and Linking Format)文件结构。
谷歌chrome更新服务器hosts
wpyok168的博客
10-10 7975
【代码】谷歌chrome更新服务器hosts。
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5758
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式PE
PE文件格式全解读
凌阳的博客
06-08 4926
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件格式
Mi1k7ea
06-04 3205
PE即Portable Executable,是Windows OS下使用的可执行文件格式PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。PE文件种类如下表:PE文件基本结构:从DOS头至节区头是PE头部分,下面的节区合称PE体。文件的内容一般分为代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。VA&am...
CAD步骤-cad入门学习.doc
11-23
M(移动)、AL(对齐)、TR(打断)、O(偏移)、RO(旋转)、X(分解)...格式刷)、ID(量取点坐标)、B(定义块)、PE(多段线编辑)、DI(测两点间距)、I(插入块)、RE(重新生成图形)、ED(修改文本或标注)、...
re-for-beginners 逆向工程入门指南
04-29
这涉及到文件格式的理解,如PE(Windows)、ELF(Linux)或Mach-O(macOS)。 3. **反汇编与调试**:使用反汇编器(如IDA Pro、OllyDbg或Ghidra)将机器代码转换成人类可读的汇编语言是逆向工程的关键步骤。同时,...
CAD画图技巧-你都了解吗?.doc
11-21
3. **默认保存为低版本**:为了确保其他用户能打开你的CAD文件,可以在绘图界面输入`OP`,选择“打开和保存”选项卡,在“文件保存-另存为”处选择低版本格式。 4. **多段线合并**:使用`PE`指令,选择需要合并的...
cad快捷键命令表-最实用的-1.pdf
03-16
- PE:多段线编辑(Pedit) 3. 视图操作: - P:平移(Pan) - Z:缩放,Z+空格+空格为实时缩放,Z+P回到上一视图,Z+E显示全图,Z+W显示窗选部分 4. 尺寸标注: - DLI:线性标注(Linear Dimension) - DAL...
(完整word版)CAD快捷键-CAD常用快捷键命令大全.doc
11-15
- `EXP` 或 `*EXPORT`:输出其他格式文件。 - `IMP` 或 `*IMPORT`:输入文件。 - `OP` 或 `PR` `*OPTIONS`:自定义CAD设置。 - `PRINT` 或 `*PLOT`:打印。 - `PU` 或 `*PURGE`:清除未使用的对象。 - `RE` 或...
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 1705
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
谷歌翻译配置hosts
性感的小君君
10-16 1万+
什么是host,如何查询host,如何配置host
解决google翻译无法使用的问题(亲测有用)
Cdasdas的博客
03-07 9579
解决谷歌翻译无法使用的问题,解决idea谷歌翻译插件不可用,解决谷歌浏览器无法翻译网页
掌握WindowsPE:从入门到精通
- **故障排除**:当主操作系统无法正常启动时,Windows PE可以自动或手动启动,提供故障排除工具,如Windows恢复环境(Windows RE)。 - **系统恢复**:OEM和ISV可以利用Windows PE创建定制的恢复解决方案,用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值