零基础逆向工程17_PE结构01_PE头解析_手动

最新推荐文章于 2024-07-23 14:16:29 发布
最新推荐文章于 2024-07-23 14:16:29 发布
阅读量90 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/flatcc/p/7507065.html
版权

PE文件的两种状态

1.在硬盘中

  • 节省硬盘空间
  • 硬盘对齐 内存对齐

2.在内存中

3.PE磁盘文件与内存映像结构图
Center

PE文件为什么要分节

……

手动解析:PE文件

分析软件:飞鸽传书http://www.gpxz.com/soft/jiaoxue/wendang/219212.html

1. DOS头:
struct _IMAGE_DOS_HEADER {
0x00 WORD e_magic;       //5A4D
0x02 WORD e_cblp;        //0090
0x04 WORD e_cp;          //0003
0x06 WORD e_crlc;        //0000
0x08 WORD e_cparhdr;     //0004
0x0a WORD e_minalloc;    //0000
0x0c WORD e_maxalloc;    //FFFF
0x0e WORD e_ss;          //0000
0x10 WORD e_sp;          //00B8
0x12 WORD e_csum;        //0000
0x14 WORD e_ip;          //0000
0x16 WORD e_cs;          //0000
0x18 WORD e_lfarlc;      //0040
0x1a WORD e_ovno;        //0000
0x1c WORD e_res[4];      //0000 0000 0000 0000
0x24 WORD e_oemid;       //0000
0x26 WORD e_oeminfo;     //0000
0x28 WORD e_res2[10];    //0000 0000 0000 0000 0000 ……
0x3c DWORD e_lfanew;     //000000E8
};

2. 标准PE头
struct _IMAGE_FILE_HEADER {
0x00 WORD Machine;                   //014C
0x02 WORD NumberOfSections;          //0004
0x04 DWORD TimeDateStamp;            //4198C850
0x08 DWORD PointerT oSymbolTable;    //00000000
0x0c DWORD NumberOfSymbols;          //00000000
0x10 WORD SizeOfOptionalHeader;      //00E0
0x12 WORD Characteristics;           //010F
};
3. 可选PE头
struct _IMAGE_OPTIONAL_HEADER {
0x00 WORD Magic;                       //010B
0x02 BYTE MajorLinkerV ersion;         //06
0x03 BYTE MinorLinkerV ersion;         //00
0x04 DWORD SizeOfCode;                 //0001A000
0x08 DWORD SizeOfInitializedData;      //0000C000
0x0c DWORD SizeOfUninitializedData;    //00000000
0x10 DWORD AddressOfEntryPoint;        //000183D7
0x14 DWORD BaseOfCode;                 //00001000
0x18 DWORD BaseOfData;                 //0001B000
0x1c DWORD ImageBase;                  //00400000
0x20 DWORD SectionAlignment;           //00001000
0x24 DWORD FileAlignment;              //00001000
0x28 WORD MajorOperatingSystemVersion; //0004
0x2a WORD MinorOperatingSystemVersion; //0000
0x2c WORD MajorImageVersion;           //0000
0x2e WORD MinorImageVersion;           //0000
0x30 WORD MajorSubsystemVersion;       //0004
0x32 WORD MinorSubsystemVersion;       //0000
0x34 DWORD Win32VersionValue;          //00000000
0x38 DWORD SizeOfImage;                //00027000
0x3c DWORD SizeOfHeaders;              //00001000
0x40 DWORD CheckSum;                   //00000000
0x44 WORD Subsystem;                   //0002
0x46 WORD DllCharacteristics;          //0000
0x48 DWORD SizeOfStackReserve;         //00100000
0x4c DWORD SizeOfStackCommit;          //00001000
0x50 DWORD SizeOfHeapReserve;          //00100000
0x54 DWORD SizeOfHeapCommit;           //00001000
0x58 DWORD LoaderFlags;                //00000000
0x5c DWORD NumberOfRvaAndSizes;        //00000010
0x60 _IMAGE_DA TA_DIRECT ORY DataDirectory[16];
};

转载于:https://www.cnblogs.com/flatcc/p/7507065.html

weixin_30883271
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE解析_手动(滴水)
若面朝大海边竹妮春暖花开的博客
04-21 478
文件存储在硬盘上和在内存上加载时文件内容几乎相同,位置不同 打开notepad.exe在硬盘上是从0开始,在内存中是从100000开始 应用程序、DLL和SYS程序的开全都是4D 5A,他们都是PE文件 可以看到文件总是分成一段一段的,中间有很多0,我们叫它分节 硬盘中的段之间空隙小,内存中空隙大 文件中有一部分是代码,有一部分是数据,有的数据是可读可写,有的数据是只能读不能写 老的编译器硬盘...
手工解析PE(DOS和NT)
GNAIXGNAHZ的博客
06-02 474
手工解析exe文件
解析PE(上课代码)
weixin_30443731的博客
03-28 203
// 02 解析PE.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "windows.h" bool IsPeFile(TCHAR* szPath) { BOOL bSuccess = TRUE; //1 将PE文件读取到内存 HANDLE hFile = CreateFile( ...
PE解析(仅限于PE
qq_58405021的博客
11-30 1636
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
mz.rar_MZ_PE_mz与pe_文件mz?
09-24
在实际操作中,分析和理解MZPE对于软件开发、逆向工程、恶意软件分析等场景至关重要。例如,安全研究人员可能会检查这些来确定文件是否安全,程序员可能需要了解这些结构来创建自定义的可执行文件,而逆向...
PE基础学习-手动查询导出表练习DLL
10-12
在IT行业中,Windows操作系统使用可执行文件格式称为Portable ...掌握手动查询导出表和RVA与FOA的转换技巧,不仅有助于分析和调试程序,也是进行逆向工程的基础。通过实际操作和练习,可以逐步提升这方面的能力。
C++函数解释器.zip_dll函数_dll函数查看器_查看c++ dll函数_查看dll中函数
09-20
这对于调试、分析或逆向工程工作非常有帮助。例如,"C++函数解释器.exe"可能就是这样一款工具,它允许用户解析和查看C++编译生成的DLL中的函数。 查看DLL中的函数,有两种基本方法:一是使用编程语言提供的API,如...
VC++实现PE文件分析工具
12-15
在IT领域,特别是系统分析和软件逆向工程中,理解PE(Portable Executable)文件格式是至关重要的。PE文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)、驱动程序等的主要格式。本项目...
rldepacker_1.5_reverseengineering_dePacker_Unpack_
10-04
在信息技术领域,逆向工程(Reverse Engineering)是一种技术手段,用于理解和揭示软件或硬件系统的内部工作原理。这个过程通常涉及到对二进制代码的分析,以了解其功能、设计思想以及可能的安全漏洞。rldepacker_...
二进制逆向工程师_逆向工程工具集
weixin_39907596的博客
01-08 1543
helloHex Editor (16进制编辑器) Reverse Engineer's Hex Editor wxMEdit wxHexEditor HxD Hexinator PilotEdit GHex Hex Workshop MadEdit 010 Editor Hex Editor Neo WinHex UltraEdit Free Hex Editor逆向工程平台 Binary Ni...
PE_02-----PE解析
tell_me_404的博客
08-09 626
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
滴水课程作业(手动+代码解析pe
weixin_52437902的博客
07-27 445
滴水逆向课后作业
PE文件结构详解(一)基本概念
热门推荐
evil.eagle的专栏
09-14 6万+
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。
go--本地下载包
最新发布
weixin_63566388的博客
07-23 443
下载完成后,你可以验证包是否已正确下载。下载并安装适合你操作系统的版本。:确保已经安装 Go。
HarmonyOS应用开发者高级认证,Next版本发布后最新题库 - 多选题序号4
Gusha_的博客
07-23 1145
HarmonyOS应用开发者高级认证最新题库,编写于2024年7月19日,Next版本发布之后
Linux:进程信号(一.认识信号、信号的产生及深层理解、Term与Core)
qq_74415153的博客
07-23 1394
1.认识信号 进程看待信号方式 2.信号的产生 2.1信号的处理的方式 --- signal()函数 2.2kil指令产生信号 2.3键盘产生信号 2.4系统调用发送信号 -kil系统调 用、raise()和abort()库函数 2.5软件条件产生信号 2.6异常产生信号 3.信号产生的深层理解 键盘产生信号 异常产生信号 4.Term与Core core文件
小甲鱼PE结构详解:从IMAGE_DOS_HEADER到理解PE文件
"小甲鱼PE结构详解课件.pdf 是一份由...这有助于理解系统加载和执行PE文件的过程,以及如何进行逆向工程和系统安全分析。对于那些希望进入系统安全领域或深入理解Windows程序运行机制的人来说,这份资料是极有价值的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值