PE文件格式(逆向工程核心原理第13章)

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量3.7k 收藏
点赞数 1
分类专栏: 逆向工程 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44514541/article/details/123985295
版权
本文详细介绍了PE文件格式,包括PE头、PE体的基本结构,以及文件种类、节区头、导入地址表(IAT)、动态链接库(DLL)等相关概念。重点解析了PE头中的关键字段,如AddressOfEntryPoint、ImageBase等,并阐述了RVA到RAW的转换过程。
摘要由CSDN通过智能技术生成

PE文件格式

  • 介绍
    • Windows系统下使用的可执行文件格式
    • Unix :  COFF
    • 32位:PE32 ; 64位:PE32+/PE+
  • PE文件格式
    • 文件种类:
      • 可执行系列:EXE、SCR
      • 库系列:DLL、OCX、CPL、DRV
      • 驱动程序系列:SYS、VXD
      • 对象文件系列:OBJ(不可执行)
    • 基本结构:
      • PE头:DOS头到节区头
      • PE体:头下节区
      • 文件中使用偏移(offset),内存中使用VA来表示位置
      • 文件内容:代码,数据,资源节
    • VA & RVA
      • VA:进程虚拟内存的绝对地址
      • RVA:相对虚拟地址,从某个基准位置开始的相对地址
      • RVA + ImageBase = VA
  • PE头
    • DOS头
      • 结构体:40字节 

        • e_magic

Dos签名("MZ")

        • e_lfanew

         

指示NT头的偏移

    • Dos存根(可选)代码+数据
    • NT头
      • 结构体

        • 签名

50450000h("PE"00)

最低0.47元/天 解锁文章
CD就是韩得瑟姆
关注
专栏目录
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6158
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这篇文将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
热门推荐
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
PE文件格式
Mi1k7ea
06-04 3222
PE即Portable Executable,是Windows OS下使用的可执行文件格式PE文件是指32位的可执行文件,亦称为PE32。64位的可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。PE文件种类如下表:PE文件基本结构:从DOS头至节区头是PE头部分,下面的节区合称PE体。文件的内容一般分为代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。VA&am...
pe文件结构
最新发布
2303_81165358的博客
07-29 832
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式
PE文件格式详解(上)
08-04 1008
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。    然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个的
逆向工程核心原理》学习笔记4 PE文件学习——PE头总结
EloflyS的博客
02-16 325
逆向工程核心原理》学习笔记4 PE文件学习——PE头总结 1.DOS头 typedef struct _IMAGE_DOS_HEADER //DOS头 { WORD e_magic; //DOS signature :4D5A ("MZ",是确定的值, 被称为DOS签名,如果值被改变,程序无法运行) WORD e_cblp; WORD e_c...
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文,希望对您有所帮助~
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文,希望对您有所帮助~
深入解析PE文件格式
PE文件的核心结构源自Common Object File Format (COFF),这是一个在多种UNIX系统中广泛使用的文件格式。然而,为了适应Windows环境,PE文件格式在COFF的基础上进行了扩展,添加了如NT头、节区、数据目录等特性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CD就是韩得瑟姆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值