PE文件结构学习笔记

最新推荐文章于 2022-10-30 14:31:00 发布
最新推荐文章于 2022-10-30 14:31:00 发布
阅读量470 收藏
点赞数
分类专栏: win32汇编 文章标签: image header dos import windows 磁盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayaoqiang/article/details/6398408
版权

pe文件结构学习笔记

一个pe文件的大致结构:

    DOS头
    PE头
    节表
    节


相关结构体:

IMAGE_DOS_HEADER
{
    e_magic        WORD    'MZ'
    ...
    e_lfanew    DWORD    指向PE文件头
}


IMAGE_NT_HEADER
{
    'PE'
    IMAGE_FILE_HEADER
    {
        Machine    WORD    运行的硬件平台(CPU Intel386等等)
        NumberOfSection WORD    文件的节数目
        TimeDateStamp    DWORD    创建日期
        SizeOfOptionalHeader    WORD    结构体大小
        Characteristlics    WORD    文件属性
    }
    IMAGE_OPTIONAL_HEADER
    {
        AddressOfEntryPoint    文件执行时入口地址
        ImageBase        文件优先装入地址
        SectionAlignment    节被装入内存后对齐单元
        FileAlignment        节存储在磁盘文件中时的对齐单位
        Subsystem        使用界面的子系统CUI OR GUI
        DataDirectory        放16个IMAGE_DATA_DIRECTORY结构
    }
}

后边是16个节表

IMAGE_DATA_DIRECTORY
{
    VirtualAddress    DWORD    数据起始虚拟地址 RVA
    iSize        DWORD    数据块长度
}
0    导出表    IMAGE_DIRECTORY_ENTRY_EXPORT
1    导入表    IMAGE_DIRECTORY_ENTRY_IMPORT
2    资源    IMAGE_DIRECTORY_ENTRY_RESOURCE
3    异常
4    安全
5    重定位表IMAGE_DIRECTORY_ENTRY_BASERELOC
6    调试信息IMAGE_DIRECTORY_ENTRY_DEBUG
7    版权信息IMAGE_DIRECTORY_ENTRY_ARCHITECTURE
8    不详
9    ThreadLocal Storage
10    不详
11    不详
12    导出函数地址IMAGE_DIRECTORY_ENTRY_IAT
13    不详
14    不详
15    未使用

Windows加载DOS, PE头, 节表部分不进行任何处理, 原封不动映射到内存, 但是加载节的时候要经过一些

处理

PE中所有节的属性被定义在节表中
节表的结构(每个节表结构体描述一个节):

    IMAGE_SECTION_HEADER
    {
        Name1   8个字节的节名
        union {
            PhysicalAddress
            VirtualSize    节区的尺寸
        }
        VirtualAddress      节区的RVA地址
        SizeOfRawData       在文件中对齐后的尺寸
        ....
        Characteristics     节的属性
    }

详见 罗云彬的书

娃娃GO
关注
专栏目录
PE结构学习笔记
weixin_44164182的博客
02-25 255
1.PE文件基本结构 (1)DOS头: DOS MZ头,IMAGE_DOS_HEADER结构DOS块 (2)PE文件PE文件头标志 PE文件表头,IMAGE_OPTIONAL_HEADER结构PE文件可选头,IMAGE_OPTIONAL_HEADER32结构体 (3)节表,IMAGE_SECTION_HEADER结构 (3)节数据 2.PE文件的两种存在形式 PE文件磁盘文件...
pe结构标准pecoff_v8.chm
10-26
pe结构标准pecoff_v8.chm Visual Studio, Microsoft Portable Executable and Common Object File Format Specification
关于PE文件结构学习资料
05-12
关于PE文件结构学习资料. 如何才能校验指定文件是否为一有效PE文件呢? 这个问题很难回答,完全取决于想要的精准程度。您可以检验PE文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的PE文件了。
pecoff_v93.docx
05-03
Portable Executable and Common Object File Format Specification V9.3; 可移植执行文件格式规范 9.3版本;
PE结构简图
weixin_34248118的博客
09-13 84
PE文件结构 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/09/13/3845770.html
PE结构详解(一)
本博客所有内容都是转的前辈们的
04-13 1271
本系列主要是参考英文原本ARTeam的PE File Format Tutorial并加以注解,以最简洁的语言来阐述PE格式,帮助大家快速入门。在开始之前,请确定您懂得C语言,至少是基本数据类型、数组和结构体,以及会WinHEX的基本使用方法。任何错误都欢迎指出,感激不尽! (一)介绍PE 格式     PE格式(Portable Executable,可移植可执行文件)是原生的Win32
PE结构学习(1)_认识PE文件
xf555er的博客
08-07 605
可执行文件在不同的操作系统平台有不同的结构常见的PE文件后缀名有EXE, DLL,SYS等。
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 778
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
PE结构学习(4)_节的操作
xf555er的博客
08-07 1191
文件的节表进行扩大,为了方便操作,只需对最后一个节进行扩大OK了此处演示扩大1000(16进制)个字节的操作扩大节扩出来的空白区还需要考虑节的权限问题,若扩大出来的节没有执行代码的权限,那么还要修改整个节的权限属性,节的权限属性由节表结构体的最后一个成员Characteristics决定因为新增的节可以自己设置权限,所以相比扩大节而言还是方便挺多的新增节有一个前提条件,最后一个节后面至少要有40个字节的空白区若前提条件不满足, 那只能合并节,即将多个节合并成一个节,多余的空间就可以用于新增节。...
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
pc样本学习笔记PE类恶意程序与启发査杀.docx
最新发布
05-10
### PE文件结构与恶意程序的关系 PE文件格式由多个部分组成,包括DOS头、PE签名、文件头、可选头、节表以及节区数据等。这些结构不仅定义了程序如何加载到内存中运行,也为恶意软件提供了隐藏和执行的场所。例如: ...
PE文件格式-笔记
人饭子的博客
10-30 255
PE PE 与 ELF 文件基本相同,也是采用了基于段的格式,同时 PE 也允许程序员将变量或者函数放在自定义的段中, GCC 中 attribute(section('name')) 扩展属性。 PE 文件的前身是 COFF,所以分析 PE 文件,先来看看 COFF 的文件格式,他保存在 WinNT.h 文件中。 COFF 的文件格式和 ELF 几乎一样 Image Header ...
PE 文件学习笔记【1】
司徒荆的博客
06-18 204
分析PE文件
PE文件学习笔记(一)---导入导出表
还木人的博客
10-07 3163
最近在看《黑卡免杀攻防》,对讲解的PE文件导入表、导出表的作用与原理有了更深刻的理解,特此记录。 首先,要知道什么是导入表? 导入表机制是PE文件从其他第三方程序(一般是DLL动态链接库)中导入API,以提供本程序调用的机制。而在Windows平台下,PE文件中的导入表结构就承担了完成这一工作的引导者角色。 IMAGE_IMPORT_DESCRIPTOR结构 typedef struct ...
BIOS PEI Phase涉及模块函数一览
这里是为我所统率的战场
03-26 2324
PEI ModuleBootModePeiGetBootMode()PeiSetBootMode()CPUIODependencyIsPpiInstalled ()PeimDispatchReadiness()dispatcherFwVolHOB BootMode BootMode为启动时的引导方式,uefi和legacy是两种不同的引导方式,uefi是新式的BIOS,legacy是传统BIOS。你在UEFI模式下安装的系统,只能用UEFI模式引导;同理,如果你是在Legacy模式下安装的系统,也只能在le
改变C盘的卷标为System
wayaoqiang的专栏
05-07 1598
<br /> .386<br /> .model flat, stdcall<br /> option casemap:none<br /> <br />include windows.inc<br />include kernel32.inc<br />include user32.inc<br />includelib kernel32.lib<br />includelib user32.lib<br /> .data<br />szPath  db 'c:/', 0<br />szVolume db
文件IO操作笔记
wayaoqiang的专栏
05-06 503
invoke CreateFile, lpFileName, dwDesiredAccess, dwShareMode, lpSecurityAttributes, dwCreationDisposition, dwFlagsAndAttributes, hTemplateFilelpFileName 文件名dwDesiredAccss 存储方式    GENERIC_READ 读方式打开    GENERIC_WRITE 写方式打开dwShareMode 共享属性    0 打开后不允许文件再被打开   
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析。PE文件Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值