【逆向】【PE入门】使用PEView分析PE文件

最新推荐文章于 2024-10-29 19:59:09 发布
最新推荐文章于 2024-10-29 19:59:09 发布
阅读量2w 收藏 163
点赞数 35
分类专栏: 软件安全与逆向分析 文章标签: 逆向 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43633973/article/details/102378477
版权

目录

什么是PE?

什么是PEView? 

分析PE文件

什么是DOS头?

 IMAGE_DOS_HEADER是干嘛的?

 DOS块是干嘛的?

什么是NT头?

Signatrue?

 IMAGE_FILE_HEADER?

 IMAGE_OPTIONAL_HEADER?

section头?

 

1.找到 NT 头的起始偏移地址、结束地址?

什么是PE?

参考博客:https://blog.csdn.net/hou09tian/article/details/100397525

PE文件是Portable Executable(可移植的可执行文件)的简写。EXE、DLL、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件

PE的结构:

什么是PEView? 

PEview.exe工具是一款可以进行PE文件解析的强大PE文件解析工具。通过PEview软件,我们一起来分析PE文件的详细格式。

分析PE文件

参考博客:https://blog.csdn.net/hou09tian/article/details/100404142,(都是一个博主写的,很简练,跟着学习)。

在VS2015中,新建一个控制台程序,不输入任何代码,编译生成exe文件,该exe文件就是一个PE文件。

我没有安装VS2015,用codeblocks去试一下, 额,不知道对不对,新建了个helloworld初始的exe:

用PEView打开看:

左侧的树形控件显示了PE文件的格式,而右侧则显示的是PE文件的头部和数据的具体内容。 

什么是DOS头?

PE文件头部中的DOS头分为MZ文件头和DOS块,分别对应的是IMAGE_DOS_HEADER和MS-DOS Stub Program。

 IMAGE_DOS_HEADER是干嘛的?

IMAGE_DOS_HEADER STRUCT
{
+0h WORD e_magic    // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记
+2h WORD e_cblp    // Bytes on last page of file
+4h WORD e_cp    // Pages in file
+6h WORD e_crlc    // Relocations
+8h WORD e_cparhdr   // Size of header in paragraphs
+0ah WORD e_minalloc   // Minimun extra paragraphs needs
+0ch WORD e_maxalloc  // Maximun extra paragraphs needs
+0eh WORD e_ss            // intial(relative)SS value        DOS代码的初始化堆栈SS
+10h WORD e_sp     // intial SP value                       DOS代码的初始化堆栈指针SP
+12h WORD e_csum     // Checksum
+14h WORD e_ip     // intial IP value               DOS代码的初始化指令入口[指针IP]
+16h WORD e_cs     // intial(relative)CS value         DOS代码的初始堆栈入口
+18h WORD e_lfarlc     // File Address of relocation table
+1ah WORD e_ovno         // Over
最低0.47元/天 解锁文章
[网络安全自学篇] 六十二.PE文件逆向PE文件解析、PE编辑工具使用PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法
杨秀璋的专栏
02-09 7456
作者前文介绍了什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己
PE分析工具
08-19
PE分析工具, 这个PE分析工具功能挺全的.
PeView 命令行PE文件解析工具
最新发布
CSDN
10-29 2276
PeView 是一款基于C/C++开发的命令行版PE文件解析工具,专门用于解析Windows可执行文件并提供详尽的文件结构和交互式查询功能,帮助用户理解和分析目标程序的内部构成,是逆向分析和软件调试中的重要工具,本次分享工具源代码及使用方法,读者可根据自己的需要参考学习,并以此来更好的理解PE文件格式的构成。
PE文件解析器
宇丁加
06-29 1208
暂时先将代码贴出来。关于基础的知识,后续发。 /* ***************************** 这是逆向课程中老师讲过PE结构的一个实验,老师让参考博客的源码。但是我想着,好好熟悉一下,自己动手跟着博客的思路自己写下。 环境VS2010 ***************************** */ #include<stdio.h> #include<stdlib.h> #include<Windows.h> //#include"pe.h"
PE解析器
Starr
10-10 1185
文章目录mainPE.hPE.c构造函数RVA转文件偏移判断PEDOS&NT头文件头可选头区块头表导出表导入表资源表重定位表TLSdll延迟载入 PE解析这东西,记着所有RVA转file offset然后加上缓冲区地址就行了。 main #include <iostream> #include "PE.h" int main() { TCHAR path[MAX_PATH]...
PE格式分析工具
PE_Hacker的博客
04-20 3151
经过大半个月参考和学习网上各位大神的文案,自己研发了一款*.dll和*.exe的PE格式分析工具,此工具可以分析32位和64位系统下可执行文件。1.0版本略显粗造,请各路大神多多指导,也欢迎大家多多交流。 File Offset:相对偏移量 VA:虚拟地址 RVA:相对虚拟地址 ImageBase :基地址 目前有5大板块:【DOS头信息】、【NT头信息】、【节表信息】、【数据目录表】、【地址计算】。(*含中文注解) 第一板块:【DOS头信息】 DOS头表的所有信息,以十六进制显示DOS表下各成员的VA 第
PE文件查看器(MFC实现).zip
07-21
PE文件是windows常见的可执行文件,也是常见的病毒攻击的载体与执行体,所以PE文件的格式解析是非常重要的,该工程的实现类似于CFF Explorer的实现,这个代码是基于MFC框架的实现,可以实现文件拖拽等操作,解析出PE文件的关键字段,以MFC可视化的方式展现。
逆向PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1471
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
PE view 详细查看PE文件工具
01-09
用这个工具能容易看得到PE文件的详细结构
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE解析器,纯手工制作,用于分析可执行文件逆向破解必备工具
07-18
用于解析windows系统平台的可执行文件解析 运行平台:WIN7 64bit/32bit,WIN8 64bit/32bit,WIN10 64bit/32bit; 暂不支持64位PE文件
PE文件查看器(PEInfo)v1.0.0.1绿色免费版
07-28
PE文件查看器(PEInfo)是一款Windows可执行文件信息查看软件,可查看.exe .dll .sys .ocx等PE格式的程序内部信息。
64位/32位PE文件查看器,类似于eXeScope工具
12-04
64位/32位PE文件查看器,类似于eXeScope工具,可以查看64位或者32位程序文件信息
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
热门推荐
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
Total PE (take 2):一款强大的PE文件查看器
gitblog_00827的博客
09-28 1075
Total PE (take 2):一款强大的PE文件查看器 TotalPE2 PE Viewer 项目地址: https://gitcode.com/gh_mirrors/to/TotalPE2 ...
PE文件分析
LoveQuietly
01-20 886
PE文件分析
PE格式:手写PE结构解析工具
CSDN
11-15 6456
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值