PE结构-Nt头部

最新推荐文章于 2023-05-18 22:40:47 发布
VIP文章 最新推荐文章于 2023-05-18 22:40:47 发布
阅读量363 收藏
点赞数
分类专栏: 文件格式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_1997/article/details/104253731
版权

首先,我们需要知道如何定位到Nt头部,这个在上篇博客中Dos头部的e_lfanew字段中,该字段可定位到Nt头部

先来看一下这个32位的Nt结构

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature; //50 45 00 00 PE标志
    IMAGE_FILE_HEADER FileHeader; //文件头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //选项头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

第一个4字节的PE标志,不可改,没啥好多说的了,看下面这个文件头结构

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine; //在什么硬件环境中运行
    WORD    NumberOfSections; //节的数量
    DWORD   TimeDateStamp; //时间
    DWORD   PointerToSymbolTable; //符号表位置
    DWORD   NumberOfSymbols; //符号个数
    WORD    SizeOfOptionalHeader; //选项头大小
    WORD    Characteristics; //可执行文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

首先,我们需要重点关注前两个和最后两个(也就是首四字节和尾四字节)

第一个Word,表示在什么硬件环境中执行,上面图片的二进制位为014C,表示Intel 386

#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64

第二个Word,表示节的数量,啥是节,在上一篇博客中有提及过&#x

最低0.47元/天 解锁文章
嘻嘻兮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件学习--Nt头部
KOOKNUT的博客
03-24 431
当我们越过Dos Stub之后就来到了IMAGE_NT_HEADERS,这个结构在32位和64位下的大小是不一样的,这个结构体紧跟在Dos Stub之后,结构体看起来只有三个成员,接下来我们来一个一个细细解剖 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMAGE_FILE_HEADER FileHeader; ...
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
IMAGE_NT_HEADERS   输入/输出表   资源   基址重定位   debug目录   延迟装入输入表   绑定输入描述符   IA-64异常处理表   TLS初始化数据   .NET运行时头部 除了可导出PE可执行文件外,PEDUMP也能导出...
PE文件-NT
weixin_45012273的博客
11-06 315
DOS头和NT头之间 存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置 NT头格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件头 IMAGE_OPTIONAL_HEADER32.
PE文件结构 - NT头学习
bcbobo21cn的专栏
03-20 820
PE文件基本结构如下; 学习一下NT头; NT头,包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_HEADER(扩展头)。 NT头:Signature,文件头,扩展头; 其定义如下; 这个是微软定义的; typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_H...
PE笔记之NTPE文件头
aod83029的博客
10-09 153
typedef struct _IMAGE_FILE_HEADER { WORD Machine;   //014C-IMAGE_FILE_MACHINE_I386 WORD NumberOfSections;  //PE节数量-0007个节 D...
PE文件结构——NT Headers
QXinHan的博客
05-18 357
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“头”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择头,它一共有31个成员而64位的可选择头有30个成员。7.SizeOfHaeders:所有头的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
软件加密技术内幕
03-19
1.2.2 IMAGE_NT_HEADERS头部 1.2.3 区块表(The Section Table) 1.2.4 各种块(Sections)的描述 1.2.5 输出表 1.2.6 输出转向(Export Forwarding) 1.2.7 输入表 1.2.8 绑定输入(Bound import) 1.2.9 ...
软件加密 技术内幕 chm格式
01-03
1.2 PE文件结构 1.2.1 The MS-DOS头部 1.2.2 IMAGE_NT_HEADERS头部 1.2.3 区块表(The Section Table) 1.2.4 各种块(Sections)的描述 1.2.5 输出表 1.2.6 输出转向(Export Forwarding) 1.2.7 ...
PE格式解析-NT头与地址换算
走在成长的路上
12-20 1809
关于PE文件的解析,相关概念的理解与计算
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2915
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件头)和IMAGE_OPTIONAL_...
企业数字化转型暨数据仓库(数仓)建设方案.pptx
05-06
企业数字化转型暨数据仓库(数仓)建设方案.pptx
2024年中国LED切割灯行业研究报告.docx
05-06
2024年中国LED切割灯行业研究报告
目前世界上最好的机器学习&深度学习&神经网络&图神经网络&卷积网络&多层感知机画图工具&基于PPT
05-06
在当今快速发展的人工智能领域中,一款集成了机器学习、深度学习、神经网络、图神经网络、卷积网络及多层感知机可视化功能的画图工具脱颖而出,成为全球范围内最受欢迎和认可的工具之一。这款工具不仅仅是一个简单的绘图软件,它的设计初衷是为了让复杂的网络结构和算法直观化,从而帮助研究者、学者及开发人员更容易地理解和分享他们的工作。 最令人印象深刻的特色之一是它基于PPT的编辑能力,这允许用户在熟悉的PPT编辑环境中创建、编辑和展示复杂的网络结构。用户可以利用拖拉组件、调整尺寸、修改颜色和形状等功能,无缝地将科研成果或项目展示集成到演示文稿中,极大地提高了工作的效率和表现力。 该工具不仅支持广泛的网络结构和模型,还包含丰富的库和模块,让用户能够轻松自定义和扩展自己的模型。它的用户界面友好、直观,无论是机器学习的新手还是资深研究员,都能快速上手,将精力更多地集中在创新和研究上,而不是图形的绘制和编辑上。 此外,它强大的共享和合作功能,使得团队成员可以实时共享他们的成果,促进了知识的交流和项目的进展。这款工具不仅改善了人工智能领域内部的工作方式,也为更广泛的受众提供了学习和理解复杂算法的窗口。 总
2024年中国B型超声诊断设备行业研究报告.docx
05-06
2024年中国B型超声诊断设备行业研究报告
node-v11.0.0-linux-armv7l.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v10.8.0-darwin-x64.tar.xz
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
web javaScript 获取终端ip 获取本地ip 获取本机ip地址,403报错解决方案
05-06
内容概要:通过带着读者手写简化版 ajax请求框架,了解网络请求核心原理。在手写ajax的过程中会摘取整体框架中的核心逻辑,简化代码实现过程,保留核心功能,例如:XMLHttpRequest、jsonp请求、作用域、资源处理等内容实现。 适用人群:具备一定编程基础,工作1-3年的大前端开发、网络安全的研发人员 适用场景:金融支付、设备识别、IP 限制、网络监控、技术测试 能学到什么:手写ajax请求、兼容jsonp请求、动态添加meta标签、动态获取本地ip、处理403网络请求报错。 阅读建议:可以在以下框架中使用:react、react-native、vue、javaScript、web、jquery框架。在webapp工程,获取终端ip 获取本地ip 获取本机ip地址,403报错解决方案。
node-v4.4.6-x64.msi
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Stm32学习笔记,超详细.txt
05-06
Stm32学习笔记,超详细
lint-nt souceinsight配置pattern
12-10
lint-nt 是一种资源代码检查工具,它可以帮助我们发现代码中的问题并提供相应的解决方案。在使用 lint-nt 时,我们需要配置 souceinsight 的 pattern,以确保 lint-nt 能够正确地识别和检查代码中的问题。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值