PE文件的装载过程(2)

最新推荐文章于 2022-05-02 13:49:32 发布
最新推荐文章于 2022-05-02 13:49:32 发布
阅读量112 收藏
点赞数
原文链接:http://www.cnblogs.com/feiyucq/archive/2009/05/29/1491763.html
版权

上一篇讲到PE load程序已经找到了PE文件头,PE文件头的定义如下所示:

 

IMAGE_NT_HEADERS STRUCT

  Signature DWORD  ?  ;PE文件标识

  FileHeader IMAGE_FILE_HEADER  <>

  OptionalHeader IMAGE_OPTIONAL_HEADER32  <>

IMAGE_NT_HEADERS ENDS

Signature为PE文件标识,其值始终为00004550h,查ASCII表可以知道45h代表字符E,50h代表字符P。紧接着PE文件标识的是IMAGE_FILE_HEADER结构,这是一个20个字节的结构,其定义如下:

 

ContractedBlock.gif ExpandedBlockStart.gif Code
IMAGE_FILE_HEADER STRUCT
  Machine WORD ? ;运行平台
  NumberOfSections WORD ? ; 文件的节数目
  TimeDateStamp DWORD ? ; 文件创建日期和时间,它的数值是从
                              1969年12月31日下午4:00开始到创
                               建时间为止的总秒数
  PointerToSymbolTable DWORD ? ; 指向符号表(用于调试)
  NumberOfSymbols DWORD ? ; 符号表中的符号数量(用于调试)
  SizeOfOptionalHeader WORD ? ;IMAGE_OPTIONAL_HEADER32
                                结构的长度
  Characteristics WORD ? ; 文件属性
IMAGE_FILE_HEADER ENDS

各个字段的意义如注释所示,其中元素SizeOfOptionalHeader的值始终为e0h,表示可选头的大小,e0h换算成十进制表示224,即可选头的大小始终为224个字节。

 

转载于:https://www.cnblogs.com/feiyucq/archive/2009/05/29/1491763.html

weixin_33743661
关注
PE文件PE加载过程
weixin_43742894的博客
03-31 2143
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE文件结构与程序装载
Captain_RB的博客
05-04 1451
PE文件结构与程序装载是掌握Windows逆向、加壳、免杀等技术的基础,本文详细记录了PE文件的基本结构,用编辑器对文件结构进行分析,并介绍程序装载的相关概念和基本过程
PE文件装载过程(1)
weixin_34247155的博客
05-27 180
Windows下的可执行文件PE(Portable Executable File Format/可移植的执行体)格式,文件的组织形式还是比较复杂的,花了大概一个星期的时间终于稍微弄懂了PE文件装载过程PE文件最开始的部分称为DOS头,存在的作用是为了兼容DOS下的可执行程序,DOS头的结构如下: CodeIMAGE_DOS_HEADERSTRUCTe_magic...
PE文件装载过程(4)
weixin_34015566的博客
06-08 98
上周毕业答辩,没完成任务,惭愧惭愧。。。。 可选头的最后一部分是DataDirectory字段,这个字段包含了16个IMAGE_DATA_DIRECTORY结构,结构的定义如下: IMAGE_DATA_DIRECTORYSTRUCTVirtualAddressDWORD?;数据的起始RVAisizeDWORD?;数据...
PE文件结构及其加载机制(四)
weixin_33778778的博客
09-04 114
下面我们开始学习节表。 不知道还记不记得在前面哪个结构体中出现过节的数量?   嘿嘿,忘记了吧,我们翻开以前的记录,看看。 原来是 typedef struct IMAGE_NT_HEADERS   {    DWORD Signature;    IMAGE_FILE_HEADER FileHeader;    IMAGE_OPTIONAL_H...
PE.rar_PE装载_portable executable
最新发布
09-24
装载过程** 当一个PE文件加载到内存时,操作系统会按照PE头中的信息进行处理。首先,它会分配内存来存放文件的各个节,然后解析导入表,将依赖的函数地址填充到正确的内存位置。最后,设置好程序计数器(EIP),...
PE文件格式分析及修改.doc
02-21
同时,还需要了解 Loader 的装入过程PE 文件的执行过程PE 文件格式的分析和修改对软件开发和 Reverse Engineering 等领域非常重要。只有通过对 PE 文件格式的深入分析和理解,才能更好地开发和维护软件应用...
exe文件装载过程
04-21
【exe文件装载过程】 在Windows操作系统中,当用户运行一个.exe可执行文件时,系统会进行一系列复杂的步骤来装载和执行程序。以下是exe文件装载过程的详细解释: 1. **程序段前缀PSP(Program Segment Prefix)** ...
PELoader自加载PE文件(转载)
02-28
加载PE文件 支持用户态和内核态(转载)
PE加载
11-28
一个PE文件加载器,可以直接从内存中加载EXE文件和DLL文件.——包括压缩的DLL和EXE。 已更新http://download.csdn.net/source/359338
手工把一个PE文件装载起来了
vbsourcecode的专栏
02-12 1133
前面分析了LoadLibrary函数,今天根据前面分析的原理,居然手工把PE文件装载成功了。当然为了减少工作量,我还是利用了巧妙的方法。其实只要充分理解了虚拟地址,基地址,还有那些乱起八糟的PE表。回想起来也不是难的不可战胜。最后的结果是看不到执行模块的的一段内存区域开始执行代码咯。。如果再把一些PE文件标示去除掉,甚至使用完就release掉,再狠点代码加密启动SEH机制动态解密代码,甚至再强悍
逆向分析学习笔记--PE文件加载流程
王二娃的生活的博客
10-07 2353
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1205
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1159
主要步骤: 1.将要加载文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
PE加载过程
qq_58405021的博客
12-05 1372
PE加载过程
PE文件加载过程揭秘(3)
abcd8080的博客
07-08 152
2011年10月09日 星期日 16:24 转载自 cvvd 最终编辑 cvvd 让我想想,这集应该谈什么来着?哦,对了,上次说的重定位数据了,嗯。说到数据的重定位,我们就不得不谈谈系统究竟为什么要对数据进行麻烦的重定位?既然在IMAGE_OPTION_HEADER中有一项ImageBase,指定了程序欲加载的位置,那么程序中用到的地址引用就都可以 以映射基址进...
PE文件加载过程揭秘(4)
abcd8080的博客
07-08 139
2011年10月09日 星期日 16:25 转载自 cvvd 最终编辑 cvvd 相信大家通过前几篇对PE文件的学习,已经可以自己找到资源表了!没错它就是数据目录的第三项,从这里我们得到的是如下结构的RVA 前3x4byte空间一般为0,只有后面的NumberOfNamedEntries(以资源名表示的资源数目)和NumberOfIdEntries(以ID...
PE文件加载过程揭秘(2)
abcd8080的博客
07-08 202
2011年10月09日 星期日 16:23 转载自 cvvd 最终编辑 cvvd 图1 PE加载器在完成文件实体数据到内存虚拟数据的映射之后,便开始从位于IMAGE_OPTION_HEADER末端的IMAGE_DATA_DIRECTORY数组的第2项(如图2),取出输入表的RVA和大小,准备开始输入函数的初始化。输入表的RVA实际上是指向一个以IMAGE_IM...
PE文件结构与计算机病毒分析
PE文件加载过程PE装载器负责,它会将文件从磁盘映射到内存中,这个映射的起始位置被称为基址,通常用`lpImageBase`表示。理解PE文件的结构对于分析和防范计算机病毒至关重要。 PE文件的结构主要包含以下几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值