pe结构

最新推荐文章于 2021-03-19 16:23:09 发布
最新推荐文章于 2021-03-19 16:23:09 发布
阅读量612 收藏
点赞数
分类专栏: 脚本) 编程(c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tony_whu/article/details/13020897
版权
 

DOS头(DOS MZ header):它是一个IMAGE_DOS_HEADER结构,定义如下:

IMAGE_DOS_HEADER STRUCT     ;64个字节

  e_magic           WORD      ?     ;DOS头标记,其值固定为5A4Dh

  e_cblp            WORD      ?

  e_cp              WORD      ?

  e_crlc            WORD      ?

  e_cparhdr         WORD      ?

  e_minalloc        WORD      ?

  e_maxalloc        WORD      ?

  e_ss              WORD      ?

  e_sp              WORD      ?

  e_csum            WORD      ?

  e_ip              WORD      ?

  e_cs              WORD      ?

  e_lfarlc          WORD      ?

  e_ovno            WORD      ?

  e_res             WORD   4 dup(?)

  e_oemid           WORD      ?

  e_oeminfo         WORD      ?

  e_res2            WORD  10 dup(?)

  e_lfanew          DWORD      ?    ;指向 PE header 的文件偏移量

IMAGE_DOS_HEADER ENDS

 

DOS代码(DOS stub

 

 

 

 

PE头(PE header):它是一个IMAGE_NT_HEADERS 结构,定义如下:

IMAGE_NT_HEADERS STRUCT

  Signature         DWORD                   ?     ;PE头标记

  FileHeader        IMAGE_FILE_HEADER       <>    ;文件头/20个字节

  OptionalHeader    IMAGE_OPTIONAL_HEADER32 <>    ;任选头

IMAGE_NT_HEADERS ENDS

 

文件头(FileHeader):它是一个IMAGE_FILE_HEADER结构,定义如下:

IMAGE_FILE_HEADER STRUCT    ;20个字节

  Machine               WORD    ?

  NumberOfSections      WORD    ? ;文件的节数目

  TimeDateStamp         DWORD   ? ;文件创建日期和时间

  PointerToSymbolTable  DWORD   ?

  NumberOfSymbols       DWORD   ?

  SizeOfOptionalHeader  WORD    ?    ; 指示紧随本结构之后的OptionalHeader 结构大小

  Characteristics       WORD    ?; 关于文件信息的标记,比如文件是exe还是dll

IMAGE_FILE_HEADER ENDS

 

任选头(OptionalHeader):它是一个IMAGE_OPTIONAL_HEADER32结构,定义如下:

IMAGE_OPTIONAL_HEADER32 STRUCT

  Magic                         WORD       ?

  MajorLinkerVersion            BYTE       ?

  MinorLinkerVersion            BYTE       ?

  SizeOfCode                    DWORD      ?

  SizeOfInitializedData         DWORD      ?

  SizeOfUninitializedData       DWORD      ?

  AddressOfEntryPoint           DWORD      ?; PE装载器准备运行的第一个指令的RVA

  BaseOfCode                    DWORD      ?

  BaseOfData                    DWORD      ?

  ImageBase                     DWORD      ?; PE文件的优先装载地址(映像基址)

  SectionAlignment              DWORD      ?; 内存中节对齐的粒度

  FileAlignment                 DWORD      ?; 文件中节对齐的粒度

  MajorOperatingSystemVersion   WORD       ?

  MinorOperatingSystemVersion   WORD       ?

  MajorImageVersion             WORD       ?

  MinorImageVersion             WORD       ?

  MajorSubsystemVersion         WORD       ?

  MinorSubsystemVersion         WORD       ?

  Win32VersionValue             DWORD      ?

  SizeOfImage                   DWORD      ?; 内存中整个PE映像体的尺寸

  SizeOfHeaders                 DWORD      ?; 所有头+节表的大小

  CheckSum                      DWORD      ?

  Subsystem                     WORD       ?; NT用来识别PE文件属于哪个子系统

  DllCharacteristics            WORD       ?

  SizeOfStackReserve            DWORD      ?

  SizeOfStackCommit             DWORD      ?

  SizeOfHeapReserve             DWORD      ?

  SizeOfHeapCommit              DWORD      ?

  LoaderFlags                   DWORD      ?

  NumberOfRvaAndSizes           DWORD      ?

  DataDirectory                 IMAGE_DATA_DIRECTORY 16 dup(<>);数据目录

IMAGE_OPTIONAL_HEADER32 ENDS

 

数据目录(DataDirectory):它是一个IMAGE_DATA_DIRECTORY结构,定义如下:

IMAGE_DATA_DIRECTORY STRUCT

  VirtualAddress    DWORD      ?;指向 IMAGE_IMPORT_DESCRIPTOR 数组的RVA

  isize             DWORD      ?

IMAGE_DATA_DIRECTORY ENDS

 

 

节表(Section table):它是一个IMAGE_SECTION_HEADER结构,定义如下

IMAGE_SECTION_HEADER STRUCT     ;40个字节

    Name1                 db        8 dup(?)  ;节名

    union Misc

        PhysicalAddress   dd  ?

        VirtualSize       dd      ?

    ends

    VirtualAddress        dd       ?; 本节的RVA(相对虚拟地址)

    SizeOfRawData         dd        ?; 经过文件对齐处理后节尺寸

    PointerToRawData      dd     ?; 这是节基于文件的偏移量

    PointerToRelocations  dd ?

    PointerToLinenumbers  dd ?

    NumberOfRelocations   dw  ?

    NumberOfLinenumbers   dw  ?

    Characteristics       dd      ?; 包含标记以指示节属性

IMAGE_SECTION_HEADER ENDS:

usertony
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
结构
熊俊坤的博客
04-13 283
聚合数据类型聚合数据类型能够同时存储超过一个的单独数据。C提供了两种类型的聚合数据类型——数组和结构。 数组是相同类型的元素的集合,它的每个元素都是通过下标引用或指针间接访问来选择的。 数组元素可以通过下标来访问,这只是因为数组的元素长度相同。 结构也是一些值的集合,这些值称为它的成员。但一个结构的各个成员可能具有不同的类型。 由于结构中各个成员可能具有不同的类型,导致结构的成员可能长度不同,所
pe系统备份oracle数据库,Oracle 通过表空间文件进行数据库恢复
weixin_34457338的博客
04-03 376
操作系统:WindowsXP2数据库:oracle 10g由于数据库服务器崩溃,造成了无法进入系统进行数据库备份,只能从光盘的PE系统把oracle相关文件拷贝出来。对于拷贝出来的文件在测试机上进行一次不完全恢复,具体流程如下所示:1、安装oracle 10g服务端(由于测试机上已安装,所以省略这一步)2、以sysdba身份进行备份控件文件到udmp目录的trace文件(语句:alter data...
PE——PE结构中数据表
CSDN-ych
03-19 641
PE结构中的数据包主要作用是用于引导操作系统去怎么操作这个文件,大多是为了程序能顺利运行起来做一些前置准备工作。 PE结构中的数据表由可选文件头中的DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 字段来指示。 这个字段中有IMAGE_NUMBEROF_DIRECTORY_ENTRIES个下面的结构,IMAGE_NUMBEROF_DIRECTORY_ENTRIES也就是可选文件头中的NumberOfRvaAndSizes。 struct _IMAGE_DAT
PE文件结构
夜车星繁的博客
03-20 285
PE文件由文件头部分,节表部分,还有节区部分组成。其中文件头包括PE文件头还有DOS文件头,节表主要是用来说明每个节的RVA地址(RVA地址就是文件被装载到内存后数据相对于文件起始位置的偏移量)还有节的尺寸的,当然还有一些其他的信息。而节区就是将属性相同的文件数据放在了一起,比如可执行的放一起,只读的放一起等等。 这是PE文件头的大概样子: DOS文件头 DOS头部分由...
PE结构详解1
06-19
**PE结构详解1** 在Windows操作系统中,可执行文件(如.exe和.dll)采用了一种称为Portable Executable(PE)的文件格式。PE结构是Windows系统理解和执行这些程序的基础。本篇文章将深入探讨PE结构的核心要素,帮助...
PE结构图,理清exe dll结构.zip
08-20
此外,对于安全专家来说,了解PE结构有助于识别和防止恶意软件,因为许多病毒和木马都会篡改PE头以逃避检测。 总结起来,"PE结构图"是学习Windows编程和逆向工程的重要参考资料。它展示了PE文件的内部结构,包括...
PE结构图文.rar
05-06
"PE结构图文.rar"这个压缩包包含10张高清图片,用图形化的方式展示了PE文件的结构,以及微软官方的PE文件结构手册,这对于理解PE文件的内部工作机制非常有帮助。 首先,我们来看PE文件的基本结构PE文件由两大部分...
PE结构查看.rar
04-05
标题中的“PE结构查看”指的是在Windows操作系统中对可执行文件(.exe或.dll)的分析,这些文件基于Portable Executable (PE) 文件格式。PE格式是Microsoft为32位和64位Windows系统设计的一种文件格式,用于存储编译...
易语言PE结构查看
07-21
PE结构是Windows系统中的核心组成部分,它包含了代码、数据、资源等所有构成可执行程序的元素。了解和分析PE结构对于软件开发者、逆向工程师和安全研究人员都非常重要。以下是对易语言中PE结构查看涉及的关键知识点...
一个 简单的cmd 木马(源代码)
热门推荐
tony的专栏
10-25 4万+
一个 简单的cmd 木马(源代码) // woodtc.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "WoodSMTP.h"#define BUFFER_SIZE 1024typedef struct{HANDLE hPipe;SOCKET sC
GetProcAddress的用法
tony的专栏
10-25 3847
GetProcAddress的用法关键词: GetProcAddress                                           /*本程序通过GetProcAddress方法调用Api  int (__stdcall *MsgBox)(HWND ,LPSTR,LPSTR,int);  (FARPROC&)MsgBox=GetProcAddress(hMod,\
如何将多个文件捆绑成一个可执行文件
tony的专栏
10-25 3212
如何将多个文件捆绑成一个可执行文件作者:未来工作室(Future Studio)徐景周 下载示例程序代码    将多个文件合并成一个最终可执行文件,运行这个最终文件时,就相当于运行了合并前的多个文件。 这种程序在木马程序合并中会经常用到,你想知道它是怎么用程序实现的么?下面我就用我用VC6.0做的 一个文件捆绑器的例子代码来告诉你,程序运行后界面如下:0 && image.
Windows内核API HOOK 之 Inline Hook
tony的专栏
10-25 3010
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
孙鑫老师总结的vc小知识
tony的专栏
10-25 2511
孙鑫老师总结的vc小知识 收藏转自程序员之家论坛。下面的知识都是孙鑫老师总结的一些常见问题和解决方案。转载自此处以备查学。VC小知识总结(续)(1)当文档被修改时,如何在标题上加上标志'*'?重载CDocument类的虚函数virtual SetModifiedFlag:void CTest2Doc::SetModifiedFlag(BOOL bModified){    CString strT
汇编实现memcpy,memset,strcat,strlen
tony的专栏
10-25 2007
global _s_strlen  global _s_strcat  global _s_memcpy  global _s_memset  segment .text  ;unsigned int s_strlen(char*);  _s_strlen:      push ebp      mov ebp,esp      mov edi,[ebp + 8]      mov ecx,-1 
MFC-在基于对话框的应用程序中嵌入CSplitterWnd
tony的专栏
10-25 1809
在CodeGuru中搜索了一下,找到三篇文章,其中一篇好使。http://www.codeguru.com/cpp/w-d/splitter/tutorials/article.php/c4705/步骤如下:(CXDialog是你从CDialog继承下来的类)1. 在CXDialog中添加两个成员 :CSplitterWnd m_cSplitter;CFrameWnd* m_pMyFrame;2.
raw socket udp
tony的专栏
10-25 1468
这是《windows网络编程技术》上的一个范例程序,它就是构建自己的udp包,具体的你自 己看吧   // Module Name: Iphdrinc.c // // Description: //    This is a simple app that demonstrates the usage of the  //    IP_HDRINCL socket option. A raw so
python模块之smtplib: 用python发送SSL/TLS安全邮件
tony的专栏
10-25 1402
0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" src="http://blog.csdn.net/images/authorship.gif" border="0" width="15" height="15" alt="原创" style=
windows pe结构
最新发布
09-27
Windows PE结构是指Windows可执行文件的格式,它由DOS头、标准PE头和可选PE头组成。DOS头是Windows可执行文件的前64个字节,其中包含了e_magic和e_lfanew两个字段。e_magic是一个16位的字段,它的值为0x5A4D,用于标识这是一个DOS可执行文件。e_lfanew是一个32位的字段,它的值指向PE头的位置,即从文件开始算起过E8个字节的位置。标准PE头的大小是20字节,包含了PE文件的一些基本信息。可选PE头的大小是不确定的,它由标准PE头的一个成员规定。Windows PE结构中还包括了DOS stub和NT头,DOS stub可以写入一些无关的数据,而NT头则包含了标准PE头和可选PE头的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值