PE文件结构(0x03)

最新推荐文章于 2022-07-11 07:36:00 发布
最新推荐文章于 2022-07-11 07:36:00 发布
阅读量291 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012173720/article/details/82500495
版权

PE文件的NT映像头 

IMAGE_NT_HEADERS STRUCT{
    +0H    DWORD                    //Signature
    +4H    IMAGE_FILE_HEADER        //FileHeader
    +18H   IMAGE_OPTIONAL_HEADER32  //OptionalHeader
}    IMAGE_NT_HEADER ENDS

开始的第一个成员是PE的标志,也就是PE..(50 45 00 00).

第二个成员是什么呢?是一个结构,大结构包含着的一个小结构 ,IMAGE_FILE_HEADER.

typedef struct _IMAGE_FILE_HEADER {
  WORD      Machine;                        //运行平台
  WORD      NumberOfSections;               //区块数
  DWORD     TimeDateStamp;                  //文件创建时间和日期
  DWORD     PointerToSymbolTable;           //指向符号表(用于调试)
  DWORD     NumberOfSymbols;                //符号表中符号的个数
  WORD      SizeOfOptionalHeader;           //IMAGE_OPTIONAL_HEADER32结构的大小
  WORD      Characteristics;                //文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

解释一下,在微软官方的文档中 

Machine ----> IMAGE_FILE_MACHINE_XXXX 

ValueMeaning

IMAGE_FILE_MACHINE_I386

0x014c

x86

IMAGE_FILE_MACHINE_IA64

0x0200

Intel Itanium

IMAGE_FILE_MACHINE_AMD64

0x8664

x64

TimeDateStamp

这个记录了文件被创立的时间,这个值是自1970年1月1日以来,用格林尼治时间(GMT)计算的秒数,超级精准,是比文件系统的日期时间还要精准的时间指示器。

SizeOfOptionalHeader

这个是上上面的PE文件的NT映像头 的第三个结构的大小,却是记录在了这个结构中,对于32位pe文件来说,这个值通常是(00E0h),但对于64位的pe32+文件来说,这个值一般是(00F0h).

Characteristics

记录的是文件属性,每个属性有固定的值

ValueMeaning

IMAGE_FILE_RELOCS_STRIPPED

0x0001

Relocation information was stripped from the file. The file must be loaded at its preferred base address. If the base address is not available, the loader reports an error.

IMAGE_FILE_EXECUTABLE_IMAGE

0x0002

The file is executable (there are no unresolved external references).

IMAGE_FILE_LINE_NUMS_STRIPPED

0x0004

COFF line numbers were stripped from the file.

IMAGE_FILE_LOCAL_SYMS_STRIPPED

0x0008

COFF symbol table entries were stripped from file.

IMAGE_FILE_AGGRESIVE_WS_TRIM

0x0010

Aggressively trim the working set. This value is obsolete.

IMAGE_FILE_LARGE_ADDRESS_AWARE

0x0020

The application can handle addresses larger than 2 GB.

IMAGE_FILE_BYTES_REVERSED_LO

0x0080

The bytes of the word are reversed. This flag is obsolete.

IMAGE_FILE_32BIT_MACHINE

0x0100

The computer supports 32-bit words.

IMAGE_FILE_DEBUG_STRIPPED

0x0200

Debugging information was removed and stored separately in another file.

IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP

0x0400

If the image is on removable media, copy it to and run it from the swap file.

IMAGE_FILE_NET_RUN_FROM_SWAP

0x0800

If the image is on the network, copy it to and run it from the swap file.

IMAGE_FILE_SYSTEM

0x1000

The image is a system file.

IMAGE_FILE_DLL

0x2000

The image is a DLL file. While it is an executable file, it cannot be run directly.

IMAGE_FILE_UP_SYSTEM_ONLY

0x4000

The file should be run only on a uniprocessor computer.

IMAGE_FILE_BYTES_REVERSED_HI

0x8000

The bytes of the word are reversed. This flag is obsolete.

 

有多个属性时,可以通过或运算得到。

 

接下来依旧拿微信开刀

 

 

可以看到  

平台: 对照表可以得到x86

区块数:0006

时间:5A38CE83秒,就不计算了= =

符号表和个数都没有

IMAGE_OPTIONAL_HEADER32:这个微信是32位的,结构大小一般为00E0,没错

文件属性:0102  对照表格应该是

IMAGE_FILE_EXECUTABLE_IMAGE

0x0002

The file is executable (there are no unresolved external references).

IMAGE_FILE_32BIT_MACHINE

0x0100

The computer supports 32-bit words.

可执行的文件➕计算机支持32位系统。

 

 

 

 

Corax_2ven
关注
PE文件结构
wangtiankuo的博客
07-02 514
本文整理自《加密与解密》第10章 一、基本概念基地址:映射文件的起始地址被称为模块句柄,可以通过模块句柄访问内存中其他的数据结构。这个初始内存地址被称为基地址 GetModuleHandle函数返回可执行文件的基地址。 相对虚拟地址(RVA):RVA只是内存中的一个简单的相对于PE文件装入地址的偏移位置。实际的内存地址被称作虚拟地址(VA)VA=ImageBase+RVA 文件偏移地址:PE文件存...
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1364
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
PE文件结构详解
leolewin的博客
08-23 2907
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
pe文件结构
zhihu008的专栏
07-29 4903
本部分内容:/文件解说/PE剖析图/W32dasm反汇编参考/PE剖析中所用结构参考     大家都很清楚,了解可执行文件结构有多么的重要,DOS下如此,Windows下也同样如此。如果你想加密程序,编写病毒等,了解PE文件结构必是不可缺少的。大家也可能见到很多这方面的资料,但都是从理论上解说一下,很少见到拿一个具体文件开刀的。这里,我就用前面“系列4”中的文件4.EXE为例来剖析一下PE
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6519
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
0x06-PE文件制作1
08-08
本实验旨在深入理解PE文件结构、设计原理和生成方法,并通过调试工具如debug和debug32进行实践操作。 实验内容主要分为三个部分: 1. 分析系统文件mscdexnt.exe的磁盘存储分布图:这一步骤要求我们了解PE文件在...
PE文件结构及其加载机制(一)
weixin_34082695的博客
09-01 177
一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位...
Windows系统的PE文件格式详解
DOS头包含一个魔数(Magic number)字段,其值为0x5A4D,代表“MZ”,表明这是一个PE文件。此外,DOS头还包含关于文件大小、页数、重定位信息等的数据。 紧随DOS头的是一个称为新头部指针(e_lfanew)的偏移量,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值