PE文件详解1——PE文件头部解析

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量2.9k 收藏 7
点赞数 2
分类专栏: windows编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34260423/article/details/51767378
版权
本文详细探讨了PE文件的基本结构,包括DOS头、NT头及其子结构体,尤其是PE文件标准PE头和PE扩展头,它们分别用于识别文件类型和包含关键属性。此外,还介绍了数据目录项和节表项的数据结构,这些都是理解PE文件格式不可或缺的部分。
摘要由CSDN通过智能技术生成
参考书籍:《WindowsPE文件权威指南》
MSDN中winnt.h是PE文件定义的最终决定者。
EXE文件与DLL文件之间的区别完全是语义上的,二者PE结构完全相同。唯一区别用一个字段标示处这个文件是exe还是dll。许多DLL扩展,如OCX控件,控制面板等都是DLL,它们有一样的实体。

64位的Windows只是对PE格式做了一些简单的修饰,新格式叫PE32+。没有新的结构加进去,其余的改变只是简单地将以前的32位字段扩展为64位字段。

1.PE文件基本结构:


PE文件的头分为DOS头、NT头、节头。注意,这是本人的分法。这样分法会更加合理,更易理解。因为这三个部分正好构成SizeOfHeaders所指的范围,所以将它们合为“头”。

2.文件头

2.1 DOS头

用记事本打开任何一个镜像文件,其头2个字节必为字符串“MZ”,这是Mark Zbikowski的姓名缩写,他是最初的MS-DOS设计者之一。然后是一些在MS-DOS下的一些参数,这些参数是在MS-DOS下运行该程序时要用到的。在这些参数的末尾也就是文件的偏移0x3C(第60字节)处是是一个4字节的PE文件签名的偏移地址。该地址有一个专用名称叫做“E_lfanew”。这个签名是“PE00”(字母“P”和“E”后跟着两个空字节)。紧跟着E_lfanew的是一个MS-DOS程序。那是一个运行于MS-DOS下的合法应用程序。当可执行文件(一般指exe、com文件)运行于MS-DOS下时,这个程序显示“This program cannot be run in DOS mode(此程序不能在DOS模式下运行)”这条消息。用户也可以自己更改该程序,有些还原软件就是这么干的。同时,有些程序既能运行于DOS又能运行于Windows下就是这个原因。Notepad.exe整个DOS头大小为224个字节,大部分不能在DOS下运行的Win32文件都是这个值。MS-DOS程序是可有可无的,如果你想使文件大小尽可能的小可以省掉MS-DOS程序,同时把前面的参数都清0。
2.1.1 DOS头结构体
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number                             //EXE标志 "MZ"
    WORD   e_cblp;                      // Bytes on last page of fil
最低0.47元/天 解锁文章
ToringZZZ
关注
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE_02-----PE解析
tell_me_404的博客
08-09 638
PE解析一、 PE头概述磁盘文件与内存 的映射关系PE为什么要分节?DOC头标准PE头可选PE头二、PE格式结构图(详细)三、打印PE头部信息运行结果 一、 PE头概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC头 标准PE头 可选PE头 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE头部信息 打印PE头部信息: PE头包含:DOS头+4字
pe文件结构
最新发布
2303_81165358的博客
07-29 938
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
PE头部解析(总结于小甲鱼)
imHaoHao的博客
10-29 1243
上次讲到DOS现在讲下紧跟在DOS头部后面的PE头: PE头映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
PE文件解析器的编写(二)——PE文件头的解析
Masimaro的专栏
05-04 3380
之前在学习PE文件格式的时候,是通过自己查看各个结构,自己一步步计算各个成员在结构中的偏移,然后在计算出其在文件中的偏移,从而找到各个结构的值,但是在使用C语言编写这个工具的时候,就比这个方便的多,只要将对应的指针类型转化为各个结构类型,就可以使用指针中的箭头来直接寻址到结构中的各个成员。 这次主要说明的是PE文件头的解析,也就是之前看到的第一个界面中显示的内容
PE文件解析-文件头与整体介绍
热门推荐
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE文件结构详解
12-22
随着Windows NT的发布,一种新的可执行文件格式——PE(Portable Executable)文件格式应运而生。PE文件格式在设计上借鉴了UNIX操作系统常用的COFF(Common Object File Format)标准,并且为了保持与早期MS-DOS及...
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
PE32+与PE32的PE头的区别
learn112的博客
12-16 4555
PE32+与PE32的PE文件的区别 NT头 NT头的区别 64位与32位PE头最大的区别就在NT头的第三个成员,也就是可选头(IMAGE_OPTIONAL_HEADER) PE32+的NT头 PE32的NT头 可以看出,这两个NT头的区别主要在第三个成员:可选头 另外文件头也稍有不同 主要体现在机器码Machine的值上 X64中的文件头Machine值(机器标签)为8664 X86中的文件头Machine值为014C IA-64(不向下兼容32位的64位操作系统)中的文件头Machine值为02
pe文件详解
weixin_30814329的博客
12-01 218
转载于:https://www.cnblogs.com/Chary/p/10050070.html
PE文件结构及其加载机制(一)
weixin_34082695的博客
09-01 177
一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位...
vc dll 结构体_[PE](4)PE数据结构字段详解
weixin_39805906的博客
12-04 377
一、PE头IMAGE_NT_HEADER的字段首先再看一下IMAGE_NT_HEADER的结构typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader;} IMAGE_NT_HEADE...
通过解析PE头,读取dll模块 和 dll模块函数
墨痕诉清风的博客
03-05 1018
win32    int main() { //001e1000 ::MessageBox(NULL, TEXT("111"), TEXT("222"), 0); HMODULE vHmodule = GetModuleHandle(NULL); printf("vHmodule = 0x%08X\n", vHmodule); IMAGE_DOS_HEADER *vImageDosHead...
逆向知识点
qq_42021840的博客
01-18 975
PE 如何判断PEDLL还是EXE FileHeader.Characteristics EXE:010F(H) DLL:210(H) 如何判断PE是32位还是64位 imageNtHeaders.FileHeader.Machine 32 IMAGE_FILE_MACHINE_I386 64 IMAGE_FILE_MACHINE_IA64 IMAGE_FILE_MACHINE_AMD64 imageNtHeader...
字节对齐/内存对齐/对齐粒度
疯子K的自留地
12-11 2762
其实标题里面的三个关键字说的都是同一个东西。也就是C++中类和结构体在内存中的分配策略,专业术语可以称之为“对齐模数(Alignment Modules)”。 对齐模数分为三类: 1.自身对齐模数,也就是类或结构体中成员的大小,1,2,4,8之中的一个,对应BYTE WORD DWORD QWORD。 2.指定对齐模数,也就是IDE指定的默认对齐模, 在MS系列IDE中,默认为8。不过
手动修改PE头及反调式
qq_33526144的博客
12-13 1269
操作过程 1.运行程序,首先看到PE头的开始地址(00 01倒过来为01 00),PE头大小(E0) 2.
深入解析Windows PE文件结构与实用工具
PE文件结构详解是一份深入解析Windows NT 3.1引入的可执行文件格式——PE(Portable Executable)的珍贵资源。PE文件格式最初源于UNIX系统的COFF规范,并在保持与MS-DOS和早期Windows系统兼容性的同时,引入了新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值