PE计算机语言,[造轮子系列]手动打造一个PE分析工具

最新推荐文章于 2024-03-07 09:49:56 发布
最新推荐文章于 2024-03-07 09:49:56 发布
阅读量174 收藏
点赞数
文章标签: PE计算机语言

详细解释:这里的结构体代码详细描述了上述结构

MS-DOS头:

//DOS头

//typedef struct _IMAGE_DOS_HEADER {                // DOS .EXE header

//                WORD   e_magic;                     // Magic number 0x5A4D

//                WORD   e_cblp;                      // 文件末页字节数

//                WORD   e_cp;                        // 文件页数

//                WORD   e_crlc;                      // 重定位项的数目

//                WORD   e_cparhdr;                   // 区段中头部大小

//                WORD   e_minalloc;                  // 最小内存附加段需求

//                WORD   e_maxalloc;                  // 最大内存附加段需求

//                WORD   e_ss;                        // 初始SS值

//                WORD   e_sp;                        // 初始SP值

//                WORD   e_csum;                      // 校验和

//                WORD   e_ip;                        // 初始IP值(程序入口点)

//                WORD   e_cs;                        // 初始CS值

//                WORD   e_lfarlc;                    // 重定位表偏移

//                WORD   e_ovno;                      // 代码附加数

//                WORD   e_res[4];                    // Reserved words

//                WORD   e_oemid;                     // OEM identifier (for e_oeminfo)

//                WORD   e_oeminfo;                   // OEM information; e_oemid specific

//                WORD   e_res2[10];                  // Reserved words

//                LONG   e_lfanew;                    // PE头的偏移

//} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

PE头

//PE文件头(PE头)

//typedef struct _IMAGE_FILE_HEADER {

//                WORD    Machine;                                                //运行平台,一般为IMAGE_FILE_MACHINE_I386

//                WORD    NumberOfSections;                                //区段的数量

//                DWORD   TimeDateStamp;                                        //文件的创建时间

//                DWORD   PointerToSymbolTable;                        //符号表指针,一般为0

//                DWORD   NumberOfSymbols;                                //符号表中符号的数量

//                WORD    SizeOfOptionalHeader;                        //在IMAGE_FILE_HEADER结构后面的扩展头大小,一般为0x00E0

//                WORD    Characteristics;                                //文件属性,EXE文件(IMAGE_FILE_EXECUTABLE_IMAGE)为0x010F,DLL(IMAGE_FILE_DLL)为0x210

//} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

PE文件头

//PE文件头(PE头)

//typedef struct _IMAGE_FILE_HEADER {

//                WORD    Machine;                                                //运行平台,一般为IMAGE_FILE_MACHINE_I386

//                WORD    NumberOfSections;                                //区段的数量

//                DWORD   TimeDateStamp;                                        //文件的创建时间

//                DWORD   PointerToSymbolTable;                        //符号表指针,一般为0

//                DWORD   NumberOfSymbols;                                //符号表中符号的数量

//                WORD    SizeOfOptionalHeader;                        //在IMAGE_FILE_HEADER结构后面的扩展头大小,一般为0x00E0

//                WORD    Characteristics;                                //文件属性,EXE文件(IMAGE_FILE_EXECUTABLE_IMAGE)为0x010F,DLL(IMAGE_FILE_DLL)为0x210

//} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

PE可选头

//PE可选头

//typedef struct _IMAGE_OPTIONAL_HEADER {

//        //

//        // Standard fields.

//        //

//

//                WORD    Magic;                                        //文件类型标识(普通可执行映像0x010B、ROM镜像为0x0170、PE32+为0x020B)

//                BYTE    MajorLinkerVersion;                //链接器的主版本号。

//                BYTE    MinorLinkerVersion;                //链接器的子版本号。

//                DWORD   SizeOfCode;                                //所有IMAGE_SCN_CNT_CODE属性的区段总大小,此大小在计算时按照磁盘扇区字节数的整数倍计算。

//                DWORD   SizeOfInitializedData;        //已初始化的数据块大小。

//                DWORD   SizeOfUninitializedData;//未初始化的数据块大小,装载程序需要在虚拟地址空间中为这些

//数据保留空间,但是这些块在磁盘中并不占用任何空间(在程序

//运行之前没有指定的值),未初始化的数据通常都位于一个名称为.bbs的区段中。

//                DWORD   AddressOfEntryPoint;        //程序执行入口的RAV,一般指向运行时的库代码,然后再调用main

//在DLL文件中,这个入口

//点有可能在进程初始化、进程关闭、线程创建与线程关闭时被调用,

//并且鉴于DLL文件的特殊性,这个入口点在DLL文件中可以被置为0

//                DWORD   BaseOfCode;                                //代码段的起始RVA,这个值通常为0x00001000

//                DWORD   BaseOfData;                                //数据段的起始RVA,数据段通常位于PE文件头与代码段之后

//

//                //

//                // NT additional fields.

//                //

//

//                DWORD   ImageBase;                                        //文件在内存中的首选装入,地址加载器将试图在此地址装

//入这个映像文件,如果载入成功,则装载器将跳过应用基

//址重定位的步骤,如果此地址被占用,则加载器会重新在

//正确对齐的合法地址中选择一个作为实际装载地址。

//                DWORD   SectionAlignment;                        //映像文件在被装入内存时的区段对齐大小

//                DWORD   FileAlignment;                                //映像文件在磁盘上的区段对齐大小

//                WORD    MajorOperatingSystemVersion;//要求操作系统最低版本的主版本号

//                WORD    MinorOperatingSystemVersion;//要求操作系统最低版本的子版本号

//                WORD    MajorImageVersion;                        //此可执行文件的主版本号,此版本号由程序作者指定

//(它与后一个字段成对使用,可以被置为0,可以通过连接器开关 / VERSION控制)

//                WORD    MinorImageVersion;                        //此可执行文件的子版本号,此版本号由程序作者指定

//                WORD    MajorSubsystemVersion;                //要求最低子系统的主版本号(与后一个字段成对使用,一

//般情况下其值为4,可以通过连接器开关 / SUBSYSTEM控制)。

//                WORD    MinorSubsystemVersion;                //要求最低子系统的子版本号

//                DWORD   Win32VersionValue;                        //这是一个保留值,且必须为0x00000000

//                DWORD   SizeOfImage;                                //映像文件装入内存后的总大小(从Image Base

//到最后一个区段的总大小)

//                DWORD   SizeOfHeaders;                                //是MS-DOS头、PE头、区块表的尺寸之和

//                DWORD   CheckSum;                                        //映像文件的校验和(在内核模式的驱动和系统dll中必须为有效值)

//                WORD    Subsystem;                                        //可执行文件所期望的子系统值IMAGE_SUBSYSTEM_WINDOWS_GUI

//                WORD    DllCharacteristics;                        //DllMain()函数何时被调用,默认为0

//                DWORD   SizeOfStackReserve;                        //在EXE文件中,为线程保留的堆栈大小

//                DWORD   SizeOfStackCommit;                        //在EXE文件中,栈初始内存大小(默认4KB)

//                DWORD   SizeOfHeapReserve;                        //在EXE文件中,为进程默认堆保留的内存(默认1MB)

//                DWORD   SizeOfHeapCommit;                        //在EXE文件中,每次指派给堆的内存大小(默认4KB)

//                DWORD   LoaderFlags;                                //与调试有关,默认为0

//                DWORD   NumberOfRvaAndSizes;                //数据目录成员的数量,一般为0x00000010(16个)

//数据目录表

//                IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

//} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

数据目录表

//数据目录表

//typedef struct _IMAGE_DATA_DIRECTORY {

//                DWORD   VirtualAddress;                        // 数据起始块的RVA地址

//                DWORD   Size;                                        // 数据块的长度

//} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

区段表

//区段表

//typedef struct _IMAGE_SECTION_HEADER {

//                BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];                //区段名,一般情况下以.开头

//                union {

//                        DWORD   PhysicalAddress;                                //

//                        DWORD   VirtualSize;                                        //

//                } Misc;                                                                                //实际被使用的区段大小

//                DWORD   VirtualAddress;                                                //此区段载入内存后的RAV

//                DWORD   SizeOfRawData;                                                //此区段在磁盘中的体积,这个地址是按照文件页对齐

//的(恒为PE头结构中FileAlignment字段的整数倍)

//                DWORD   PointerToRawData;                                        //此区段在文件中的偏移

//                DWORD   PointerToRelocations;                                //此区段重定位表的偏移地址,它指向IMAGE_RELOCATION结构数组

//                DWORD   PointerToLinenumbers;                                //行号表在文件中的偏移

//                WORD    NumberOfRelocations;                                //此区段重定位表项的数量

//                WORD    NumberOfLinenumbers;                                //行号表项的数量

//                DWORD   Characteristics;                                        //区段属性,用以描述此区段的读写情况、状态等属性

//IMAGE_SCN_MEM_READ(可读)

//} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

张盛锋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
11111111111111111111
FAN_L
01-20 911
111111111111111111111111111111111111111111111111111111 跳转至 logo Transformer 第二章:Transformer架构解析 logo Transformer 第一章:Transformer背景介绍 第二章:Transformer架构解析 目录 2.1 认识Transformer架构 学习目标 Transformer模型的作用 Transformer总体架构图 小节总结 2.2 输入部分实现 学习目标 文本嵌入层的作用 位置编码器的作用 小节
文献阅读笔记:SAM大模型(Segment Anything)
weixin_45409613的博客
03-17 1153
本周学习了SAM大模型,该大模型用于图像分割的新任务、模型和数据集。该模型的设计和训练具有快速性,因此它可以将零样本转移到新的图像分布和任务。通过评估SAM在众多任务上的能力,该大模型的零样本性能与之前完全监督的结果相媲美甚至优于之前的结果。本文将详细介绍SAM模型。作者在这篇文献中介绍了SAM大模型:该大模型用于图像分割的新任务、模型和数据集。作者构建了迄今为止最大的分割数据集,在 1100 万张许可且尊重隐私的图像上包含超过 10 亿个mask。该模型的设计和训练具有快速性,因此它可以将零样本。
C语言——PE文件解析(完整版)
yan_star的博客
11-15 7518
此次PE文件解析的内容:PE头、节表、导入表、导出表、重定位表 语言:C语言 编译器:VS2013 运行环境:win10 注:由于时间(懒)关系,备注的比较少,看不懂的地方,欢迎留言一起交流,也欢迎指正不当之处 #include <stdio.h> #include <windows.h> IMAGE_DOS_HEADER DosHeader; PIMAGE_...
C语言——PE头读写
yan_star的博客
03-18 2075
最近学了PE,自己用C语言做了一个PE头读写小工具-----------------------------------#include "stdafx.h" #include<windows.h> IMAGE_DOS_HEADER myDosHeader; IMAGE_NT_HEADERS myNtHeader; IMAGE_FILE_HEADER myFileHeader; IM...
PE笔记(基础)
Fer1g1的博客
03-24 226
PE小笔记(实时更新ing) 注:结构体可在vs的WINNT.H中查看 此处经供参考:(C:\Program Files\Microsoft Visual Studio\VC98\Include) Dos头: 结构体:(共64字节)(4行) typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; ...
网络编程资源大集合(包含前端、java、linux、安卓、github开源项目、开发工具等)
sym的博客
03-14 9446
以下内容来自转载(非常感谢此文第一作者):1.安卓各组件介绍一、ListView二、ActionBar三、Menu四、ViewPager 、Gallery五、GridView六、ImageView七、ProgressBar八、其他2.GitHub上优秀Android开源项目3. Android开发神器1.Xabber客户端2.oschina客户端3.手机安全管家4.星座连萌5.玲闹铃6.魔乐盒7....
python机器人视觉编程——入门篇(下)
JAMES费的空间
06-28 3134
本篇的目标是抛砖引玉地介绍从事机器视觉python研究开发或工程应用所需的最基础知识点,简要介绍图像结构及基础运算、图像处理python基础库、图像识别基本流程、图像坐标变化等知识,帮助初学者入门python的机器视觉开发。..............................
计算机专业英语
DDD_QQQ的博客
07-18 2363
这个不错分享给大家,从扣上看到的,就转过来了 《电脑专业英语》 file [fail] n. 文件;v. 保存文件 command [kəˈmɑ:nd] n. 命令,指令 use [ju:z, ju:s] v. 使用,用途 program [ˈprəugræm] n. 程序 line [lain] n. (数据,程序)行,线路 if [if] conj. 如...
开发知识点-C++之win32与NT内核
aming小老弟
03-07 428
VC++远控编程班www.zygx8.com 61201860605658096586599275746120931930648561639269 123。红队专题-从零开始VC++C/S远程控制软件RAT-MFC-VC驿站VIP之C++远控班bbs.176ku.com免费看。IShellExtInit接口初始化shell扩展。老狼GHOST内核编程全套。
小程序【轮子】utils工具类(常用方法的封装)
03-29
有意见和建议欢迎提在下面! 封装的常用方法, 方法名 参数 介绍 judgeNull value 判断空值,包括{}和[],空为true,否则为false judgeString ...判断是否为字符串类型,是为true,否则为false ...判断是否为数字类型,是...
【Unity轮子】实现一个类csgo的武器轮盘功能源码
07-31
# 【Unity轮子】实现一个类csgo的武器轮盘功能 # 作者信息 姓名:向宇 博客:[https://xiangyu.blog.csdn.net/](https://xiangyu.blog.csdn.net/) # 文章说明: ...
MyViewPager:轮子系列ViewPager
05-11
MyViewPager ##轮子系列ViewPager 在网站上 看到这一效果 是通过重写ViewPager实现的 通过addOnPageChangeListener实现
在NPM发布自己轮子的方法步骤
10-17
my package
使用C# 轮子的webshell管理工具.zip
02-06
csharp/c#/.net
基于关键词搜索结果的微博爬虫(下载即用).zip
05-21
基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改
node-v4.4.1-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
J波模拟matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Obsidian quickadd插件
05-21
Obsidian quickadd插件
用SharpGL画一个轮子
09-02
它将一个圆形绘制在xy平面上,并将另一个圆柱体连接到圆形上,形成一个轮子。圆柱体由多个三角形带组成,其中每个三角形带都是一个矩形,包含相邻两个垂直圆柱体表面的四个顶点。`GL_TRIANGLE_FAN`用于绘制圆形,`GL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值