PE文件学习笔记

最新推荐文章于 2021-12-28 12:48:34 发布
最新推荐文章于 2021-12-28 12:48:34 发布
阅读量162 收藏 1
点赞数 2
分类专栏: Win32学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vurtual/article/details/114785701
版权

PE的DOC头里面最后一个字节的数字-e8表示文件开头开始过E8个字节是文件真正开始的地方–PE头.注意e8不是一定的.

1 DOC头:
WORD e_magic “MZ标记”用于判断是否可执行文件
DWORD e_lfanew PE头相对于文件的偏移,用于定位PE文件
2 标准PE头:
WORD Machine 程序运行的CPU型号:0x0任何处理器/0x14C 386及后续处理器
WORD NumberOfSections 文件存在的节的总数,如果要新增或者合并节,要修改这个值
DWORD TimeDateStamp 时间戳:文件的创建时间,编译器填写
DWORD PointerToSymbolTable
DWORD NumberOfSymbols
DWORD SizeOfOptionalHeader 可选PE头的大小,32位默认E0h 64位默认F0h 可改
WORD Characteristics 每个位有不同的含义,可执行文件值为10F 即01238位置1
3 可选PE头:
WORD Magic 说明文件的类型:10B→32位 20B→64位
BYTE MajorLinkerVersion
BYTE MinorLinkerVersion
DWORD SizeOfCode 所有代码节的和,必须是FileAlignment整数倍 编译器填 没用
DWORD SizeOfInitializedData 已初始化数据大小的和,同上
DWORD SizeOfUninitializedData 未初始化数据大小的和,同上
DWORD AddressOfEntryPoint 程序入口
DWORD BaseOfCode 代码开始的基址
DWORD BaseOfData 数据开始的基址
DWORD ImageBase 内存镜像基址
DWORD SectionAlignment 内存对齐
DWORD FileAlignment 文件对齐
WORD MajorOperatingSystemVersion
WORD MinorOperatingSystemVersion
WORD MajorImageVersion
WORD MinorImageVersion
WORD MajorSubsystemVersion
WORD MinorSubsystemVersion
DWORD Win32VersionValue
DWORD SizeOfImage 内存中整个PE文件的映射的尺寸,可以比实际的值大,但必须是SectionAlignment的整数倍
DWORD SizeOfHeaders 所有头+节表按照文件对齐后的大小,否则加载会出错
DWORD CheckSum 校验
WORD Subsystem
WORD DllCharacteristics
DWORD SizeOfStackReserve 初始化时保留的栈大小
DWORD SizeOfStackCommit 初始化时栈实际提交的大小
DWORD SizeOfHeapReserve 初始化时保留的堆大小
DWORD SizeOfHeapCommit 初始化时堆实际提交的大小
DWORD LoaderFlags
DWORD NumberOfRvaAndSizes 目录项数目

节表
#define IMAGE_SIZEOF_SHORT_NAME 8
Typedef struct IMAGE_SECTION_HEADER{
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
}Misc; //可以不准确
DWORD VirtualAddress; //节区在内存中的偏移地址,加上ImageBase才是真正地址
DWORD SizeOfRawData; //节在文件中对齐后的大小
DWORD PointerToRawData //节区在文件中的偏移
DWORD PointerToRelocations //在obj文件中使用
DWORD PointerToLinenumbers //行号表位置,调试的时候使用
WORD NumberOfRelocations //在obj文件中使用
WORD NumberOfLinenumbers //行号表中的行号的数量,调试的时候使用
DWORD Characteristics //节的属性(可读/可写/可执行)
}IMAGE_SECTION_HEADER,*PIMAGE_SECTION_HEADER;


// PERead.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#pragma warning(suppress : 4996)
//#include <iostream>
#include <windows.h>
#include <stdio.h>
#include <winnt.h>
#include <windef.h>
#include <stdlib.h>

char path[] = "C:\\Program Files (x86)\\Notepad++\\notepad++.exe";
LPSTR FILEPATH = path;

LPVOID ReadPEFile(LPSTR lpszFile);
VOID PrintNTHeaders();

int main()
{
    PrintNTHeaders();
    return 0;
}

LPVOID ReadPEFile(LPSTR lpszFile)
{
    FILE* pFile = NULL;
    DWORD fileSize = 0;
    LPVOID pFileBuffer = NULL;
    
    //打开文件
    pFile = fopen(lpszFile,"rb");
    if ( !pFile )
    {
        printf("无法打开EXE文件\n");
        return NULL;
    }
    //读取文件大小
    fseek(pFile,0,SEEK_END);
    fileSize = ftell(pFile);
    fseek(pFile,0,SEEK_SET);
    //分配缓冲区
    pFileBuffer = malloc(fileSize);
    if (!pFileBuffer)
    {
        printf("空间分配失败!\n");
        fclose(pFile);
        return NULL;
    }
    //讲文件数据读取到缓冲区
    size_t n = fread(pFileBuffer,fileSize,1,pFile);
    if (!n)
    {
        printf("读取数据失败!\n");
        free(pFileBuffer);
        fclose(pFile);
        return NULL;
    }
    //关闭文件
    fclose(pFile);
    return pFileBuffer;
}

VOID PrintNTHeaders()
{
    LPVOID pFileBuffer                      = NULL;
    PIMAGE_DOS_HEADER pDosHeader            = NULL;
    PIMAGE_NT_HEADERS pNTHeader             = NULL;
    PIMAGE_FILE_HEADER pPEHeader            = NULL;
    PIMAGE_OPTIONAL_HEADER32 pOptionHeader  = NULL;
    PIMAGE_SECTION_HEADER pSectionHeader    = NULL;
    char tableName[9] = { 0 };


    pFileBuffer = ReadPEFile(FILEPATH);
    if (!pFileBuffer)
    {
        printf("文件读取失败\n");
        return;
    }
    //判断是否是有效地MZ标志
    if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
    {
        printf("不是有效地MZ标志\n");
        free(pFileBuffer);
        return;
    }
    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    //打印dos头
    printf("--------------------------------------DOC------------------------------------------\n");
    printf("MZ标志: %x\n",pDosHeader->e_magic);
    printf("PE偏移: %x\n", pDosHeader->e_lfanew);
    //判断是否是有效地PE标志
    if ( *((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE )
    {
        printf("不是有效的PE标志\n");
        free(pFileBuffer);
        return;
    }
    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    //打印NT头
    printf("--------------------------------------NT------------------------------------------\n");
    printf("NT:%x\n", pNTHeader->Signature);
    pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
    printf("--------------------------------------PE------------------------------------------\n");
    printf("PE类型10B→32位    20B→64位:%x\n", pPEHeader->Machine);
    printf("文件存在的节的总数:%x\n", pPEHeader->NumberOfSections);
    printf("可选PE头的大小,32位默认E0h  64位默认F0h:%x\n", pPEHeader->SizeOfOptionalHeader);
    printf("PE属性:%x\n", pPEHeader->Characteristics);
    //可选PE头	
    pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
    printf("********************OPTIOIN_PE头********************\n");
    printf("OPTION_PE 类型:10B→32位    20B→64位:%x\n", pOptionHeader->Magic);
    printf("所有代码节的和:%x\n", pOptionHeader->SizeOfCode);
    printf("已初始化数据大小的和:%x\n", pOptionHeader->SizeOfInitializedData);
    printf("未初始化数据大小的和:%x\n", pOptionHeader->SizeOfUninitializedData);
    printf("程序入口:%x\n", pOptionHeader->AddressOfEntryPoint);
    printf("代码开始的基址:%x\n", pOptionHeader->BaseOfCode);
    printf("数据开始的基址:%x\n", pOptionHeader->BaseOfData);
    printf("内存镜像基址:%x\n", pOptionHeader->ImageBase);
    printf("内存对齐:%x\n", pOptionHeader->SectionAlignment);
    printf("文件对齐:%x\n", pOptionHeader->FileAlignment);
    printf("内存中整个PE文件的映射的尺寸:%x\n", pOptionHeader->SizeOfImage);
    printf("所有头+节表按照文件对齐后的大小:%x\n", pOptionHeader->SizeOfHeaders);
    printf("初始化时保留的栈大小:%x\n", pOptionHeader->SizeOfStackReserve);
    printf("初始化时栈实际提交的大小:%x\n", pOptionHeader->SizeOfStackCommit);
    printf("初始化时保留的堆大小:%x\n", pOptionHeader->SizeOfHeapReserve);
    printf("初始化时堆实际提交的大小:%x\n", pOptionHeader->SizeOfHeapCommit);
    printf("目录项数目:%x\n", pOptionHeader->NumberOfRvaAndSizes);

    pSectionHeader = (PIMAGE_SECTION_HEADER)((char*)pOptionHeader + (pPEHeader->SizeOfOptionalHeader));
    for (int i = 0; i < (pPEHeader->NumberOfSections); i++)
    {
        char* c = (char*)pSectionHeader;
        for (int n = 0; n < 8; n++)
        {
            tableName[n] = *c;
            c++;
        }
        printf("第%d个节的名字:%s\n",i,tableName);
        printf("第%d个节的大小:%x\n", i, pSectionHeader->Misc.VirtualSize);
        printf("第%d个节的内存偏移:%x\n", i, pSectionHeader->VirtualAddress);
        printf("第%d个节在文件中对齐的大小:%x\n", i, pSectionHeader->SizeOfRawData);
        printf("第%d个节的文件偏移:%x\n", i, pSectionHeader->PointerToRawData);
        printf("第%d个节的属性:%x\n", i, pSectionHeader->Characteristics);
        pSectionHeader++;
    }
    //释放内存	
    free(pFileBuffer);

}
vurtual
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PE文件复看:打印PE头信息
KKMI的博客
05-31 826
PE文件解析打印头部信息1.把文件读取到堆空间 1.把文件读取到堆空间 以后对PE文件进行频繁的操作总是绕不开第一步,就是把PE文件的信息读取到自己申请的堆空间中,所以先实现这个函数,以便于以后频繁使用。 函数: ReadPEfile_TO_FileBuffer 功能说明: 把PE文件以二进制的读方式读取到FileBuffer堆空间 DWORD ReadPEfile_TO_FileBuffer(IN char* filepath, OUT void** FileBuffer) { //打开文件,读
PE_02-----PE头解析
tell_me_404的博客
08-09 633
PE头解析一、 PE头概述磁盘文件与内存 的映射关系PE为什么要分节?DOC头标准PE头可选PE头二、PE格式结构图(详细)三、打印PE头部信息运行结果 一、 PE头概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC头 标准PE头 可选PE头 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE头部信息 打印PE头部信息: PE头包含:DOS头+4字
PE头结构说明及C语言解析
qq_35289660的博客
05-11 1756
PE头结构说明及C语言解析 文章目录PE头结构说明及C语言解析0.说明1.PE的整个结构2.PE结构详解DOS头NT头PE标签(PE_NT_SIGNATURE)PE文件头(PE_FIEL_HEADER)PE可选头(PE_OPTIONAL_HEADER)节表头3.C语言实现解析PE文件 0.说明 看滴水初期视频PE部分的笔记 1.PE的整个结构 2.PE结构详解 我这里只没有写数据项,因为还不怎么会0.0 有些数据也没写,因为现阶段还没用 DOS头 WORD e_magic *
PE结构解析
热门推荐
Hello_MyDream的博客
06-16 2万+
一. DOS头原来为DOS系统使用,现在只需要记住如下两项。 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 如上图所示,DOS头一共40H个字节,即64个字节。 结尾处4个字节指向了标准PE头的位置:D8。在这中间的文字是编译器加入的一些描述信息。这些字.
2. PE文件的两种状态
z4ky的博客
06-23 360
PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态 在内存中的状态 其实 就是对在硬盘状态的拉伸 这里可以看到,DOS头,PE文件头,块表是不变的 剩余的段 是按照 内存对齐 和 文件对齐 来进行拉伸的 文件对齐的目的是 执行速度会快 ...
PE文件知识点笔记整理
能走多远呢的博客
06-10 374
PE文件地址和虚拟内存地址之间的映射关系(1)文件偏移地址(File Offset)  数据在PE 文件中的地址叫文件偏移地址,这是文件在磁盘上存放时相对于文件开头的偏移。(2)装载基址(Image Base)  PE 装入内存时的基地址。默认情况下,EXE 文件在内存中的基地址是0x00400000,DLL文件是0x10000000。这些位置可以通过修改编译选项更改。(3)虚拟内存地址(Virt...
PE文件结构学习1
janessa_jp的博客
01-26 465
PE是可移植的执行体——Portable Executable File Format 一、PE文件种类: 可执行系列有两种.exe和.scr .scr  1.是Windows专用的屏幕保护程序的扩展名; 2.在AutoCAD中是脚本文件,以记事本方式打开,如果安装了AutoCAD 2004就会被自动改为脚本; 3.SCR文件可以转换为EXE文件来运行而不影响内容; window
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
PE文件学习笔记(一)---导入导出表
还木人的博客
10-07 3159
最近在看《黑卡免杀攻防》,对讲解的PE文件导入表、导出表的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入表? 导入表机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入表结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
pc样本学习笔记PE类恶意程序与启发査杀.docx
最新发布
05-10
PE类恶意程序则是指那些利用PE文件格式进行传播、隐藏和执行恶意行为的软件。 ### PE文件结构与恶意程序的关系 PE文件格式由多个部分组成,包括DOS头、PE签名、文件头、可选头、节表以及节区数据等。这些结构不仅...
PE系列学习笔记八 实战之HOOK程序添加弹窗
xiaotuge_always的博客
04-24 720
前面学习PE的结构后,尝试结合先前所学,修改PE文件来实现给程序添加弹窗的功能 PS:这篇笔记并没有怎么涉及PE的知识点,重点放在了HOOK、反汇编和硬编码上,对PE不是很了解也可以看看,涉及PE知识点的内容放在了后面的笔记PE学习笔记九 实战之HOOK程序添加弹窗续,可以放心食用( ̄︶ ̄)↗ PE实战之给程序添加弹窗 修改流程 要给程序添加弹窗,首先就是要了解其修改的流程 首先要修改的便是程序原本的入口地址,将其修改为弹窗代码所在的地址 弹窗代码所在的地址,要在PE文件中找到一片区域,该区域需要 满足
滴水三期逆向基础系列(番外)-判断PE文件是否为64位
henuyl的博客
04-28 421
BOOL is64Bit = is64BitOS(FilePath_In); BOOL is64BitOS( IN LPSTR lpszFile ){ LPVOID pDemoBuffer = NULL; ReadPEFile(lpszFile, &pDemoBuffer); PIMAGE_DOS_HEADER idh = NULL; PIMAGE_NT_HEADERS i...
模拟PE文件加载
qq_35289660的博客
08-10 946
PE重载 文章目录PE重载0.说明1.PE重载原理第一步:将exe映射至内存第二步:修正重定位表的地址第三步: 修正IAT表第四步:跳转运行至PE入口2.PE重载总结3.一个小问题4.源码 0.说明 观看滴水逆向视频总结(部分截图来自于滴水课件) 编译器:vc++6.0 编写语言:c 欢迎大家留言交流????^ __ ^ 可以加我qq一起学习:1245885144???????? 1.PE重载原理 模拟系统加载一个exe的过程, 通过pe重载的方法,可以将原有exe分割、加密、任意操作后,再通过pe重载的方
pE文件操作--移动导出表
qq_31125257的博客
12-28 717
一、什么是导出表? 先回顾一下导出表的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子表;其中地址表存储的是导出的函数地址,名称表存储的是以名字导出的函数的函数名的RVA,序号表存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 二、为什么要移动各种表? 这些表是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些表做初始化的工作,如将用到的DLL中的函数地址存储到IAT表; 为了
PE 中NT头 遍历
网瘾少年丶的博客
05-26 429
LPVOID ReadPEFile(LPSTR lpszFile) { FILE *pFile = NULL; DWORD fileSize = 0; LPVOID pFileBuffer = NULL; //打开文件 pFile = fopen(lpszFile, "rb"); if(!pFile) { printf(" 无法打开 EXE ...
滴水逆向——PE新增一个节
sunr.
04-09 1121
1.问题描述: 2.注意事项: (1)首先判断头部的空白区够不够加节表, 所有的节表后面必须跟40个字节0。所以添加节表时得确保有两个节表大小(即80字节)的连续剩余。 分三种情况:a.头部的最后一个节表后直接可以放下两个节区 b.节表后放不下,但是dos头后pe前可放下 c.前两种情况都不行,需扩大最后...
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3408
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
PE文件合并节的代码实现
qq_31125257的博客
12-11 349
当DOS stub的空间也不够80个字节的时候,需要把原有的几个节表合并成一个节表,这样就可以腾出两个节表的空间,进而可以增加新的节。 疑惑:原有文件的几个节之间的联系会受合并节带来的影响吗?当代码节调用数据节的时候,如何指定位置?合并节后,唯一节表的属性是原有节的属性或运算出来的结果,会带来安全问题吗?为什么合并节要先拉伸出来才能合并,因为拉伸后才是文件在内存中的状态?但拉伸这个动作本来就是按照fileBuffer中的pe头部属性virtualsize和sizeofrawdata,virtualaddre
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

vurtual

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值