使用Windbg认识Windows PE结构

最新推荐文章于 2023-04-13 16:27:32 发布
最新推荐文章于 2023-04-13 16:27:32 发布
阅读量318 收藏 1
点赞数
分类专栏: PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sankernel/article/details/104262247
版权

0:000> lm

start    end        module name
00590000 005c0000   notepad    (deferred)             
0f2f0000 0f2f8000   DAVHLPR    (deferred)             
3f380000 3f389000   VERSION    (deferred)             
6cea0000 6cef1000   WINSPOOL   (deferred)             
73900000 73b0f000   COMCTL32   (deferred)             
744e0000 744ea000   CRYPTBASE   (deferred)             
744f0000 7450e000   SspiCli    (deferred)             
74510000 7465e000   GDI32      (deferred)             
74660000 746b8000   bcryptPrimitives   (deferred)

0:000> !dh -f notepad

File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
     14C machine (i386)
       4 number of sections
559EA6FF time date stamp Fri Jul 10 00:53:19 2015

       0 file pointer to symbol table
       0 number of symbols
      E0 size of optional header
     102 characteristics
            Executable
            32 bit word machine

OPTIONAL HEADER VALUES
     10B magic #
    9.00 linker version
    A800 size of code
   22400 size of initialized data
       0 size of uninitialized data
    31C9 address of entry point
    1000 base of code
         ----- new -----
**00400000 image base**
    1000 section alignment
     200 file alignment
       2 subsystem (Windows GUI)
    6.01 operating system version
    6.01 image version
    6.01 subsystem version
   30000 size of image
     400 size of headers
   385B1 checksum
00040000 size of stack reserve
00011000 size of stack commit
00100000 size of heap reserve
00001000 size of heap commit
    8140  DLL characteristics
            Dynamic base
            NX compatible
            Terminal server aware
       0 [       0] address [size] of Export Directory
    A0A0 [     12C] address [size] of Import Directory
    F000 [   1F168] address [size] of Resource Directory
       0 [       0] address [size] of Exception Directory
       0 [       0] address [size] of Security Directory
   2F000 [     E38] address [size] of Base Relocation Directory
    B69C [      38] address [size] of Debug Directory
       0 [       0] address [size] of Description Directory
       0 [       0] address [size] of Special Directory
       0 [       0] address [size] of Thread Storage Directory
    6D78 [      40] address [size] of Load Configuration Directory
     270 [     128] address [size] of Bound Import Directory
    1000 [     404] address [size] of Import Address Table Directory
       0 [       0] address [size] of Delay Import Directory
       0 [       0] address [size] of COR20 Header Directory
       0 [       0] address [size] of Reserved Directory

0:000> dt -n (_IMAGE_DOS_HEADER)00400000

ntdll!_IMAGE_DOS_HEADER
   +0x000 e_magic          : 0x5a4d
   +0x002 e_cblp           : 0x90
   +0x004 e_cp             : 3
   +0x006 e_crlc           : 0
   +0x008 e_cparhdr        : 4
   +0x00a e_minalloc       : 0
   +0x00c e_maxalloc       : 0xffff
   +0x00e e_ss             : 0
   +0x010 e_sp             : 0xb8
   +0x012 e_csum           : 0
   +0x014 e_ip             : 0
   +0x016 e_cs             : 0
   +0x018 e_lfarlc         : 0x40
   +0x01a e_ovno           : 0
   +0x01c e_res            : [4] 0
   +0x024 e_oemid          : 0
   +0x026 e_oeminfo        : 0
   +0x028 e_res2           : [10] 0
   +0x03c e_lfanew         : 0n216

0:000> dt -n (_IMAGE_NT_HEADERS)00400000+0n216

ntdll!_IMAGE_NT_HEADERS
   +0x000 Signature        : 0x4550
   +0x004 FileHeader       : _IMAGE_FILE_HEADER
   +0x018 OptionalHeader   : _IMAGE_OPTIONAL_HEADER
0:000> dx -r1 (*((ntdll!_IMAGE_FILE_HEADER *)0x4000dc))
(*((ntdll!_IMAGE_FILE_HEADER *)0x4000dc))                 [Type: _IMAGE_FILE_HEADER]
    [+0x000] Machine          : 0x14c [Type: unsigned short]
    [+0x002] NumberOfSections : 0x4 [Type: unsigned short]
    [+0x004] TimeDateStamp    : 0x559ea6ff [Type: unsigned long]
    [+0x008] PointerToSymbolTable : 0x0 [Type: unsigned long]
    [+0x00c] NumberOfSymbols  : 0x0 [Type: unsigned long]
    [+0x010] SizeOfOptionalHeader : 0xe0 [Type: unsigned short]
    [+0x012] Characteristics  : 0x102 [Type: unsigned short]

*0:000> dx -r1 (*((ntdll!_IMAGE_OPTIONAL_HEADER )0x4000f0))

(*((ntdll!_IMAGE_OPTIONAL_HEADER *)0x4000f0))                 [Type: _IMAGE_OPTIONAL_HEADER]
    [+0x000] Magic            : 0x10b [Type: unsigned short]
    [+0x002] MajorLinkerVersion : 0x9 [Type: unsigned char]
    [+0x003] MinorLinkerVersion : 0x0 [Type: unsigned char]
    [+0x004] SizeOfCode       : 0xa800 [Type: unsigned long]
    [+0x008] SizeOfInitializedData : 0x22400 [Type: unsigned long]
    [+0x00c] SizeOfUninitializedData : 0x0 [Type: unsigned long]
    [+0x010] AddressOfEntryPoint : 0x31c9 [Type: unsigned long]
    [+0x014] BaseOfCode       : 0x1000 [Type: unsigned long]
    [+0x018] BaseOfData       : 0xc000 [Type: unsigned long]
    [+0x01c] ImageBase        : 0x400000 [Type: unsigned long]
    [+0x020] SectionAlignment : 0x1000 [Type: unsigned long]
    [+0x024] FileAlignment    : 0x200 [Type: unsigned long]
    [+0x028] MajorOperatingSystemVersion : 0x6 [Type: unsigned short]
    [+0x02a] MinorOperatingSystemVersion : 0x1 [Type: unsigned short]
    [+0x02c] MajorImageVersion : 0x6 [Type: unsigned short]
    [+0x02e] MinorImageVersion : 0x1 [Type: unsigned short]
    [+0x030] MajorSubsystemVersion : 0x6 [Type: unsigned short]
    [+0x032] MinorSubsystemVersion : 0x1 [Type: unsigned short]
    [+0x034] Win32VersionValue : 0x0 [Type: unsigned long]
    [+0x038] SizeOfImage      : 0x30000 [Type: unsigned long]
    [+0x03c] SizeOfHeaders    : 0x400 [Type: unsigned long]
    [+0x040] CheckSum         : 0x385b1 [Type: unsigned long]
    [+0x044] Subsystem        : 0x2 [Type: unsigned short]
    [+0x046] DllCharacteristics : 0x8140 [Type: unsigned short]
    [+0x048] SizeOfStackReserve : 0x40000 [Type: unsigned long]
    [+0x04c] SizeOfStackCommit : 0x11000 [Type: unsigned long]
    [+0x050] SizeOfHeapReserve : 0x100000 [Type: unsigned long]
    [+0x054] SizeOfHeapCommit : 0x1000 [Type: unsigned long]
    [+0x058] LoaderFlags      : 0x0 [Type: unsigned long]
    [+0x05c] NumberOfRvaAndSizes : 0x10 [Type: unsigned long]
    [+0x060] DataDirectory    [Type: _IMAGE_DATA_DIRECTORY [16]]

0:000> dx -r2 (((ntdll!_IMAGE_DATA_DIRECTORY ()[16])0x400150))

(*((ntdll!_IMAGE_DATA_DIRECTORY (*)[16])0x400150))                 [Type: _IMAGE_DATA_DIRECTORY [16]]
    [0]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [1]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xa0a0 [Type: unsigned long]
        [+0x004] Size             : 0x12c [Type: unsigned long]
    [2]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xf000 [Type: unsigned long]
        [+0x004] Size             : 0x1f168 [Type: unsigned long]
    [3]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [4]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [5]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x2f000 [Type: unsigned long]
        [+0x004] Size             : 0xe38 [Type: unsigned long]
    [6]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xb69c [Type: unsigned long]
        [+0x004] Size             : 0x38 [Type: unsigned long]
    [7]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [8]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [9]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [10]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x6d78 [Type: unsigned long]
        [+0x004] Size             : 0x40 [Type: unsigned long]
    [11]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x270 [Type: unsigned long]
        [+0x004] Size             : 0x128 [Type: unsigned long]
    [12]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x1000 [Type: unsigned long]
        [+0x004] Size             : 0x404 [Type: unsigned long]
    [13]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [14]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [15]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
sankernel
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 16万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4219
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
使用windbg查看PE结构
TMS_LI的专栏
07-15 4806
使用windbg查看PE结构 实验环境: WIN7 32bit  编译器: Microsoft (R) Macro Assembler Version 6.14.8444 Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.01 for 80x86 查看模块PE结构大体情况: 查看模块P
WinDbg查看notepad的PE结构
hahaha233330的博客
06-02 250
打开notepad,再打开windbg,File → Attach to a Process,选择notepad.exe,连接进程。 输入命令 !dh -f notepad 查看进程号。 输入命令 !db 进程号 l400 查看notepad的PE结构
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1568
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbgPE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbgwindows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
2.windbg-PE完整分析
hgy413的专栏
04-03 2884
1.PE结构常用的结构体 0:001> dt ntdll!*IMAGE* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_IMA
使用WinDbg —— .NET篇 (一)
ecjtu_luowei的专栏
02-27 5891
一、前言 WinDBG作为Microsoft的御用工具,其强大之处使我这等小辈难以望其项背,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、dump文件调试、远程调试等。其灵活性和可扩展性能极大满足调试要求。所以对于WinDBG,读者非常有必要花费一些业余时间来学习研究。 本文主要是通过调试C#编写的NET程序来对WinDBG作一个片面的介绍,由于笔者真正开始使用Wind
易语言pe反汇编源码-易语言
06-13
学习这个源码,你需要具备一定的汇编语言基础,理解基本的计算机体系结构,并且对PE文件有一定的认识。通过实践和研究,你可以提升自己的逆向工程技能,这对于软件开发、安全分析以及故障排查等领域都是非常有价值的...
认识二进制安全与漏洞攻防技术 (Windows平台)
墨鱼菜鸡
01-14 386
二进制漏洞是指程序存在安全缺陷,导致攻击者恶意构造的数据(如Shellcode)进入程序相关处理代码时,改变程序原定的执行流程,从而实现破坏或获取超出原有的权限。 0Day漏洞 在计算机领域中,0day漏洞通常是指还没有补丁的漏洞,或是已经被少数人发现的,但还没被传播开来,官方还未修复的漏洞,也称为“零日漏洞”或“零时差漏洞”,主要强调即时性。由0day衍生出1day的概念,就是指刚被公开或...
PE文件结构简析-windbg
06-15
PE文件结构简析,pe头文件是学习windows的一个重要过程,关于pe可以使用windbg调试器。
Windbgwindows api调用的逆向分析
weixin_34082177的博客
01-13 226
用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,b...
windbg API 跟踪
weixin_33713503的博客
07-01 167
!logexts.loge !logexts.logc e * !logexts.logo e v !logexts.logb p     !logexts.loge    enables logging   !logexts.logc e   displays all API categories   !logexts.logo e v     debugger...
WinDBG详解进程初始化dll是如何加载的
一线码农的专栏
11-09 662
INT 是 Windows 需要加载的函数名列表。IAT 是存放 GetProcAddress 返回函数地址的列表。
使用windbg查看进程导入表
最新发布
momodeconger的博客
04-13 325
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
学习WinDbg - (1)查看内核数据结构
darkbasic的专栏
05-03 7106
学习WinDbg - (1)查看内核数据结构darkbasic 2007.05.03首先进入本地内核调试,菜单“File” -- “Kernel Debug..”,选“Local”项,确定。然后要设定好符号文件,WinDbg就是通过符号文件才能显出内核数据结构。对于查看内核数据结构,我们只要设定好ntoskrnl.exe的符号文件就可以了。  //设定符号文件路径到本地及微软服务器:lkd
.NET中的幕后英雄:MSCOREE.DLL
热门推荐
张羿的CSDN专栏
08-19 2万+
现在做.NET Framework的开发的朋友应该是越来越多了,但是可能并非人人都对MSCOREE.DLL非常了解。而事实上,毫不夸张地说,MSCOREE.DLL是.NET Framework中最为核心的DLL之一,没有这个DLL,托管程序根本无法开始执行起来,但是由于这个DLL藏在System32目录下,根本无人问津,可以说是有点委屈了这位.NET Framework中的幕后英雄。本文主要讨论M
逆向与反汇编工具
Felix的专栏
04-09 3709
// Dump the generated code in an asm file format that can be assembled and then disassembled // for debugging purposes. For example, save this output as jit.s: 1. //   gcc -c jit.s     //   objdump
利用windbg探索进程和进程上下文
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
使用WinDbg调试Windows服务的指南
"这篇文章主要介绍了如何使用WinDbg调试Windows服务,包括在服务启动后附加调试器、配置服务启动时自动附加调试器以及解决调试过程中可能遇到的问题。" 在Windows环境中,服务是一种在后台运行的应用程序,它们通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值