PE_02-----PE头解析

最新推荐文章于 2022-10-27 14:14:14 发布
最新推荐文章于 2022-10-27 14:14:14 发布
阅读量625 收藏 2
点赞数
分类专栏: reverse 的入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tell_me_404/article/details/107893072
版权

PE头解析

一、 PE头概述

磁盘文件与内存 的映射关系

在这里插入图片描述

PE为什么要分节?

1、节省硬盘空间.(这个不是决定的,由编译器决定)

2、一个应用程序多开

3、理解FileBuffer和ImageBuffer

在这里插入图片描述

DOC头

在这里插入图片描述

标准PE头

在这里插入图片描述

可选PE头

在这里插入图片描述

二、PE格式结构图(详细)

在这里插入图片描述
注:区块就是节表

三、打印PE头部信息

打印PE头部信息:
PE头包含:DOS头+4字节PE标识符+NT头(标准PE头+可选PE头)+节表信息。


#include "stdafx.h"
#include "string.h"
#include <malloc.h>
#include <windows.h>


FILE* open_file(char* file_path,char* open_mode);
int compute_file_size(FILE* file_address);
char* allocate_buffer(int file_size);
char* readfile2memory(char* file_buffer,int file_size,FILE* file_address);
void analysis_PE_head(char* File_buffer);

VOID PrintNTHeaders()		
{
   	
	// 初始化
	char file_path[] = "C:\\Windows\\System32\\notepad.exe";
	char open_mode[] = "rb";
	// 打开文件,返回文件指针
	FILE* file_address = open_file(file_path,open_mode);
	// 计算文件长度
	int file_size = compute_file_size(file_address);
	// 分配内存
	char* File_buffer = allocate_buffer(file_size);
	// 写入内存,返回内存地址
	File_buffer = readfile2memory(File_buffer,file_size,file_address);
	// 打印PE头部信息
	analysis_PE_head(File_buffer);
	// 释放内存、关闭文件流
最低0.47元/天 解锁文章
世俗非议不足道哉~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Ring3层注入——修改PE输入表(导入表)注入(一)
qq_38493448的博客
01-16 1141
Windows Ring3层注入——修改PE输入表(导入表)注入(一)PE文件简单介绍PE文件相关名词解释PE文件磁盘与内存映像结构图输入表介绍输入表结构输入表注入原理PE输入表注入的两种方法静态修改PE文件法:进程创建期修改PE输入表法:输入表注入核心代码示例 PE文件简单介绍 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SY...
PE文件结构(一) 基本结构
billvsme的专栏
09-18 4280
PE文件结构(一) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 exe,dll都是PE(Portable Execute)文件结构。PE文件使用的是一个平面地址空间,所有代码和数据都被合并在一起,组成一个很大的结构。先看2张图,来大概了解一下PE文件结构。 PE文件的框架结构 通过这张图(开始在下面),我们可以知道PE文件的大概结构,PE文件是由 DOSPE文件,块表,块,调试信息 这些部分组成的。这些结构的定义在 winnt.h 中的 “Image
PE解析-字段说明
qq_51600802的博客
10-27 2148
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
PE部的解析(总结于小甲鱼)
imHaoHao的博客
10-29 1222
上次讲到DOS现在讲下紧跟在DOS部后面的PEPE映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
OEP.rar_OEP_Pe-file_infector
09-24
在实际操作中,我们可以编写一个程序,读取PE文件的二进制数据,解析信息,定位到OEP。这需要对内存映射文件、文件流I/O以及PE文件结构有深入理解。Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
在源码分析中,我们可以学习如何解析PE文件的各个部分,理解文件加载过程,以及如何处理不同类型的节和信息。这对于编写自己的PE分析工具或编写恶意软件检测机制具有重要意义。 通过研究"pedump"的源码,开发者...
pecoff_v8.rar_pe-coff v8_pecoff_v8. doc_pecoff_v8.doc
09-23
- DOS:为了保持向后兼容,PE文件以一个简化的MS-DOS程序开始,允许在不支持PE格式的DOS环境下运行一个简单的“stub”程序。 - PE签名:紧跟DOS之后是PE签名("PE\0\0"),标识这是一个PE文件。 - COFF文件...
pe-parse:原理轻巧的CC ++ PE解析
05-12
pe-parse是用于Windows可移植可执行文件的有原则的轻量级解析器。 创建该文件是为了帮助您进行编译后的程序分析,可能是未知来源程序的分析。 这意味着它应该能够抵抗格式错误或恶意制作的PE文件,并且应该支持分析...
puppetlabs-pe_metrics_dashboard-源码.rar
10-10
《Puppetlabs PE Metrics Dashboard 源码解析与实践》 "Puppetlabs PE Metrics Dashboard" 是 Puppet Enterprise(PE)中的一个重要组件,它提供了一个可视化界面,用于监控和分析 Puppet 集群的运行状态和性能指标...
pe文件解析:读取pe信息获取文件资源(源码)
03-01
读取pe信息获取文件资源 vc编写 不够长
PE文件解析类(轻松制作自己的PE文件解析器)
02-06
PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。 PE文件中包含的内容很多,具体我就不在这解释了,有兴趣的可以参看之后列出的参考资料及其他相关内容。 最近我也在学习PE文件格式,参考了许多资料,用C++封装了一个高效方便的PE文件格式解析的类。 该类对想学PE文件结构的朋友可算一份可贵的资料,代码均很易懂,考虑较全面,具有一定的通用性。 同时该类也可以让想创建自己的PE文件解析软件的朋可以轻松在此基础上实现。 最后,错误在所难免,如果大家发现有错误,欢迎大家指正。 具体参看:http://blog.csdn.net/paschen/article/details/50640421
pe结构分析-解析pe(一)
freshfox的博客
09-28 711
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 940
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
PE文件解析-文件与整体介绍
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE文件结构详解(一)基本概念
热门推荐
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
PE知识复习之PE的各种属性解析
weixin_30649641的博客
08-05 414
一丶DOS结构体 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file ...
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
pe -ef|grep
最新发布
06-16
1. `pe`(有时也写为 `file`,用于检查文件类型):这个工具通常用来识别文件格式,当后跟 `-e` 参数时,它会尝试解析PE(Portable Executable)格式,这是Windows操作系统可执行文件的标准格式。 2. `ef` 或 `file...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值