DotNet版本PE文件结构梳理

最新推荐文章于 2024-03-14 23:33:59 发布
置顶 最新推荐文章于 2024-03-14 23:33:59 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: DotNet原理 安卓手游安全 文章标签: .net 文件结构 mono源码 IL解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011247544/article/details/78538045
版权

.Net版本PE文件结构,其实是在原始PE文件结构中套入了一层CLI文件结构
外层PE文件结构:
这里写图片描述

比较关注的点是在NT头-可选头部,有一个DataDirector数据结构数组,每一项包含一个虚拟地址以及大小,第十五项(下标从1开始啊)对应就是CLI头部的起始地址和大小,在010 Editor中可以解析到此处:
这里写图片描述

跳转到CLI头部,头部比较关心的点是MetaData,它也是DataDirector类型,包含了metadata的虚拟地址以及数据大小。
这里写图片描述

Metadata对应包含了多个流数据,这些流数据对应有类型表、方发表、字符串表等等,是解析的关键所在。
这里写图片描述

之后对应通过流的信息可以跳转到不同表中进行解析,这里比较关心的是#~流,里面包含了方法类型等很多重要的表,是每一个.Net版本PE文件都必须要包含的。
这里写图片描述

这里将方法表的解析结构列出,其他结构的可以参照Mono源码去分析。
这里写图片描述

一些坑点说明:
1、此处得到的cli头部虚拟地址并不是在文件中的虚拟地址,需要减去section中text段的虚拟地址,加上section段在文件中的起始地址:
File_rva = rva – text.virtualaddress + section_offset
2、有效表中表项的长度不一定是固定的,会随着表对应的类型而有所变化,比如类型对应#Strings偏移的值,可能会出现2字节或者4字节的情况,视#Strings表大小决定,同样的还有#Blob也存在这样的情况。

参考:
http://www.cnblogs.com/seely/p/4186864.html
Mono源码:https://github.com/mono/mono

Rorschach321
关注
专栏目录
.net 文件结构
kingwax的专栏
01-09 772
很多人都说.net编译出来的exe文件不是真正的exe文件。 俺一开始也是这么认为的,但在经过一些了解后,发现这种说法其实完全不能真正说明.net 的exe文件的本质。 那.net 的exe文件到底是什么呢? 其实首先它还是一个exe文件。 但是这个exe文件需要一系列的dll的支持才能运行起来。 哪些dll呢,mscor***.dll说了,舍我其谁啊。 为什么这么说呢,至少有一个原因
PE文件解析(C#)
06-28
PE文件解析的c#实现 PE文件解析的c#实现
DotNet版本PE文件结构梳理续--制作010模板解析
Rorschach:Blog
03-15 446
在针对DotNet版本PE文件解析时,使用CFF Explorer已经能够很好的解析出完整的文件结构。这里我是基于便于对一些数据进行修改和修复,基于exe的模板,制作了一个简单的解析模板,只解析到了方法层面的数据,对于我目前来说足够了,需要完整的一些解析信息可以使用CFF或者在此基础上做更改。 现附上模板下载地址: https://github.com/Rorschach123/010_Do...
.netPE文件结构
javatoyou
07-17 373
一.摘要在我们使用了任何支持CLR的语言来创建了源代码文件之 后,无论使用什么编译器,编译出的文件都是一个托管模块(managed module),这个托管模块可以在CLR上运行。所以,我们把这种文件称为托管可执行文件(Managed Executable File)。关于通用PE文件的格式已经在笔记三中间记录了,这里只记录一些托管文件自身比较有特色的部分。二.托管执行文件的重要组成部分...
dotnet-dotnet文件补丁工具
08-15
总的来说,"dotnet-dotnet文件补丁工具"提供了一种灵活的解决方案,使开发者能够快速响应生产环境中的问题,减少了部署新版本带来的复杂性和风险。然而,它也要求开发者具备一定的底层知识和谨慎的态度,以确保修改...
dotnet core 框架文件
03-20
.net core 2.2的框架文件,是针对windows系统64位,要下载的朋友要注意了
AsmResolver:用于编辑具有完全.NET元数据支持的PE文件的库
02-05
该库公开了PE的高级表示,同时仍允许用户访问低级结构。 AsmResolver是根据MIT许可发布的。 二进制文件 从获取最新的稳定版本,或从下载最新版本。 科 建造状态 主 发展 或者,假设您已安装.NET Core工具链,则...
dotnet 解析 TTF 字体文件格式.rar
最新发布
06-03
总结来说,使用dotnet解析TTF字体文件格式涉及到对TTF文件结构的理解,使用第三方库如SharpFont进行解析,以及在MAUI框架下创建自定义文本渲染器以实现特定的字体展示效果。这是一个既需要技术深度又需要创新思维的...
Versioning.NET:一个基于git commit提示自动增加csproj文件版本dotnet工具
03-16
一个dotnet工具,它通过git集成自动对csproj文件进行语义版本控制。 入门 dotnet tool install -- global Versioning.NET 积压 定义beta退出策略(在提交消息[Release]中进行语法解析) 实施Beta版退出策略 用...
PeNet:用.Net编写的可移植可执行(PE)库
02-06
PeNet是Windows可移植可执行标头的解析器。 它完全用C#编写,不依赖于任何本机Windows API。 此外,它支持创建导入哈希(ImpHash),这是恶意软件分析中经常使用的功能。 您可以提取证书吊销列表,计算不同的哈希值和其他用于处理PE文件的有用信息。 入门和API参考 可在以下位置找到API参考: 。 有关PeNet的概述或要分析PE文件,请访问: 持续集成 该项目是使用自动生成,测试和发布的。 要发布新版本,请推送标记的提交。 例如: git tag - a v2. 0.0 - m ' Release version 2.0.0 ' git push origin
.NET平台PE结构分析之Metadata
09-14
.NET平台PE结构分析之Metadata
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构
南宫封清的博客
04-19 3963
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6517
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件PE,Portable...
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
windows PE文件结构及其加载机制
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE文件架构学习(一)
m0_75243362的博客
03-14 1330
PE文件是windows系统中遵循PE结构文件,比如以.exe .dll .ocx .sys .com为后缀名的文件以及系统驱动文件。(可能是间接被执行的,如DLL)​ 官方解释链接​ 顾名思义,世界上各种东西都有自己特定的结构,最简单和直观理解的例子就是我们自己身体的结构,由一个各个部位和器官关节来组成的,而同样的,PE文件也有着它自己所独特的结构。只有有了特定的结构之后,整个文件才能更加有序和规律地去处理代码以及数据,去执行操作等一系列的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值