PE文件格式

最新推荐文章于 2024-06-17 11:17:53 发布
最新推荐文章于 2024-06-17 11:17:53 发布
阅读量353 收藏
点赞数
分类专栏: CTF 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59700927/article/details/128313489
版权

PE文件格式

种类

种类主扩展名
可执行系列EXE,SCR
库系列DLL,OCX,CPL,DRV
驱动程序系列SYS,VXD
对象文件系列OBJ

零碎点

  1. PE文件分PE头与PE体
  2. PE头由各种结构体构成,说明了文件大小、执行地址等等信息,PE体分多个节区,如代码段、数据段、资源段等。
  3. PE文件在内存中和在磁盘中大小不同
  4. RVA(相对虚拟地址) VA(虚拟内存绝对地址) RAW(文件偏移)

PE头分解

DOS头

核心参数:

  • e_magic:DOS签名,“MZ”(DOS可执行文件设计者)
  • e_lfanew:指示NT头的偏移

DOS存根

一个可忽略项,可理解为DOS下执行的数据

例如notepad.exe中的提示语:This program cannot be run in DOS mode

NT头

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;                             //签名“PE”
    IMAGE_FILE_HEADER FileHeader;                //文件头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;      //可选头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
文件头
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;                  //机器码(每种CPU都有各自的固定值,如intel x86的14C)
    WORD    NumberOfSections;         //节区数量
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;     //指示可选头的大小
    WORD    Characteristics;          //标识文件属性(是否为DLL等等)
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER
可选头(直接把64位的搬过来了)
typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;                       //32-10B, 64-20B
    BYTE        MajorLinkerVersion;          
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;         //PE的RVA值,指出代码起始位置
    DWORD       BaseOfCode;
    ULONGLONG   ImageBase;                   //基准,VA = RVA + ImageBase
    DWORD       SectionAlignment;            //节区内存最小单位
    DWORD       FileAlignment;               //节区磁盘最小单位
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;                 //指定在虚拟内存中所占空间大小
    DWORD       SizeOfHeaders;               //PE头大小(第一节区所在位置与该值距文件开始偏移量相同)
    DWORD       CheckSum;
    WORD        Subsystem;                   //区分文件
                                              1 Driver文件(系统驱动)
                                              2 GUI文件(窗口应用程序)
                                              3 CUI文件(控制台应用程序)
    WORD        DllCharacteristics;
    ULONGLONG   SizeOfStackReserve;
    ULONGLONG   SizeOfStackCommit;
    ULONGLONG   SizeOfHeapReserve;
    ULONGLONG   SizeOfHeapCommit;
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;         //
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;

节区头

属性
类别访问权限
code执行,读取权限
data非执行,读写权限
resource非执行,读取权限
内容
#define IMAGE_SIZEOF_SHORT_NAME              8

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;            //内存中节区大小
    } Misc;
    DWORD   VirtualAddress;                 //内存中节区起始地址(RVA)
    DWORD   SizeOfRawData;                  //磁盘中节区大小
    DWORD   PointerToRawData;               //磁盘中节区起始地址
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;                //节区属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

计算

  • RAW = RVA - (VA)VirtualAddress + PointerToRawData

附表:

DataDirectory结构体数组(64)[01239为重点]

#define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
#define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
#define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
#define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
#define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
#define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
        IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
#define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
#define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
#define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

Machine值

#define IMAGE_FILE_MACHINE_UNKNOWN           0
#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
#define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
#define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
#define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
#define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
#define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
#define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
#define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
#define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
#define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
#define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
#define IMAGE_FILE_MACHINE_THUMB             0x01c2
#define IMAGE_FILE_MACHINE_AM33              0x01d3
#define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian
#define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64
#define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS
#define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64
#define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS
#define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS
#define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64
#define IMAGE_FILE_MACHINE_TRICORE           0x0520  // Infineon
#define IMAGE_FILE_MACHINE_CEF               0x0CEF
#define IMAGE_FILE_MACHINE_EBC               0x0EBC  // EFI Byte Code
#define IMAGE_FILE_MACHINE_AMD64             0x8664  // AMD64 (K8)
#define IMAGE_FILE_MACHINE_M32R              0x9041  // M32R little-endian
#define IMAGE_FILE_MACHINE_CEE               0xC0EE

Characteristics值

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // Relocation info stripped from file.
#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // File is executable  (i.e. no unresolved externel references).
#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // Line nunbers stripped from file.
#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // Local symbols stripped from file.
#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set
#define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // App can handle >2gb addresses
#define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.
#define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32 bit word machine.
#define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // Debugging info stripped from file in .DBG file
#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // If Image is on removable media, copy and run from the swap file.
#define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // If Image is on Net, copy and run from the swap file.
#define IMAGE_FILE_SYSTEM                    0x1000  // System File.
#define IMAGE_FILE_DLL                       0x2000  // File is a DLL.
#define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // File should only be run on a UP machine
#define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.
UmVfX1BvaW50
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE文件格式详解
音视频图形编程学习乐园
09-01 1479
本文描述了Windows系统的PE文件格式
PE文件结构小结
qq_42814021的博客
12-05 653
文章目录DOS头NT头文件头判断一个文件是不是PE文件判断一个PE文件是不是dll判断一个PE文件是不是exe判断一个PE文件是32位还是64位(方法1,2)可选头判断一个PE文件是32位还是64位(方法3)数据目录导出表三个数组根据函数名称获得函数地址导入表双桥结构判断一个PE文件是不是sys节表通过RVA获得FOA PE文件结构图: DOS头 Dos头一共64个字节 typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // DOS头
PE文件格式分析
SWC0619的博客
03-21 3821
PE文件格式解析
PE 文件格式
HWP
02-08 863
PE(Portable Exec utable)是 Win32 平台下可执行文件遵守的数据格式。 Utable:是用来标示类型用户的字段 常见的可执行文件(如“*.exe”文件和“*.dll”文件)都是典型的 PE 文件。 一个可执行文件不光包含了二进制的机器代码,还会自带许多其他信息,如字符串、菜单、图标、位图、字体等。 PE 文件格式规定了所有的...
PE文件格式全解读
凌阳的博客
06-08 4790
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件格式(一)
周星星的博客
10-18 8014
PE文件Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 1309
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存的其他数据结构。基地址的值是由PE文件本身设定的。
PE文件格式-PE文件头部
Sciurdae的博客
12-14 1911
PE(Portable Executeable File Format, 可移植的执行体文件格式),是一种用于可执行目标文件和动态链接库的文件格式,主要是用于windows操作系统,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。在Windows的可执行程序有很多种,例如COM,PIF,SCR,EXE。但这些文件的格式大多继承自PE,其,EXE是最常见的PE文件,动态链接库(dll)文件也是PE格式。在Linux,最常见的文件格式则是ELF文件格式PE结构简图。
《逆向工程核心原理》读书笔记——第13章 PE文件格式
Onlyone_1314的博客
09-29 1355
第13章 PE文件格式13.1 介绍13.2、PE文件格式13.2.1基本结构13.2.2 VA&RVA13.3 PE头13.3.1 DOS头13.3.2 DOS存根13.3.3 NT头13.3.4 NT头文件头1.Machine2.NumberOfSections3.SizeOfOptionalHeader4.Characteristics13.3.5 NT头的可选头1.Magic2.AddressOfEntryPoint3.ImageBase4.SectionAlignment, File
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件文件系统,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
JAVA 替代SWITCH 枚举值 CASE 的 策略模式
chengmin123456789的博客
06-17 199
在java 实际开发功能时候,我想绝大多数人应该是倾向于使用case when 的,而设计模式大部分用于架构层,至于该怎么用,我觉得还是黑猫白猫都行。
Java学习-MyBatis学习(五)
丢爸
06-13 890
【代码】Java学习-MyBatis学习(五)
Vue 简单自定义标签
weixin_44167504的博客
06-13 315
思路:1、计算每个项离父级左侧宽 left2、计算当前滑块的宽,绝对定位3、下一个项的宽/2-滑块的宽/2+下一项离父级左侧的宽 left。
数据结构笔记-2、线性表
qq_66013948的博客
06-12 933
​ 线性表是具有相同数据类型的 n (n>=0) 个数据元素的有限序列,其 n 为表长,当 n = 0 时线性表是一个空表。La1a2a3aixi1anLa1​a2​a3​...ai​xi1​...an​式,a1a_1a1​是唯一的“第一个元素”,又称表头元素;ana_nan​是唯一的“最后一个元素”,又称表尾元素。除第一个元素外,每个元素有且仅有一个直接前驱。
LinkedHashMap详解
最新发布
落日的博客
06-17 301
LinkedHashMap 是 HashMap 的子类,与 HashMap 类似,它也基于哈希表来存储键值对。但是,LinkedHashMap 维护了一个双向链表来记录插入顺序或者访问顺序,因此具备一些特有的特性和功能。双向链表在LinkedList详解这篇文章有介绍。LinkedHashMap 使用双向链表维护顺序的图示:绿色连线表示 双向链表的 pre和next指针。
Python3 数据结构
weixin_45953332的博客
06-12 1022
使用列表时,如果频繁地在列表的开头插入或删除元素,性能会受到影响,因为这些操作的时间复杂度是 O(n)。列表提供了一些方法,使其非常适合用于栈操作,特别是。在 Python ,列表(list)可以用作队列(queue),但由于列表的特点,直接使用列表来实现队列并不是最优的选择。Python列表是可变的,这是它区别于字符串和元组的最重要的特点,一句话概括即:列表可以修改,而字符串和元组不能。序列是以连续的整数为索引,与此不同的是,字典以关键字为索引,关键字可以是任意不可变类型,通常用字符串或数值。
winhex打开pe文件格式
01-28
WinHex是一款功能强大的十六进制编辑器和数据恢复工具,它支持打开并分析各种文件格式,包括PE文件。 当我们使用WinHex打开PE文件时,它可以以十六进制视图显示文件的二进制数据,使用户能够直接查看文件的内容和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

UmVfX1BvaW50

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值