逆向工程核心原理第十三章——PE文件格式解析

最新推荐文章于 2022-10-23 00:44:53 发布
最新推荐文章于 2022-10-23 00:44:53 发布
阅读量241 收藏
点赞数 1
分类专栏: RE&PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41748164/article/details/115920292
版权

目录

PE文件格式

DOS 头

在这里插入图片描述

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
  WORD   e_magic;                     // Magic number
  WORD   e_cblp;                      // Bytes on last page of file
  WORD   e_cp;                        // Pages in file
  WORD   e_crlc;                      // Relocations
  WORD   e_cparhdr;                   // Size of header in paragraphs
  WORD   e_minalloc;                  // Minimum extra paragraphs needed
  WORD   e_maxalloc;                  // Maximum extra paragraphs needed
  WORD   e_ss;                        // Initial (relative) SS value
  WORD   e_sp;                        // Initial SP value
  WORD   e_csum;                      // Checksum
  WORD   e_ip;                        // Initial IP value
  WORD   e_cs;                        // Initial (relative) CS value
  WORD   e_lfarlc;                    // File address of relocation table
  WORD   e_ovno;                      // Overlay number
  WORD   e_res[4];                    // Reserved words
  WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
  WORD   e_oeminfo;                   // OEM information; e_oemid specific
  WORD   e_res2[10];                  // Reserved words
  LONG   e_lfanew;                    // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

e_magic ==4D5A
e_lfanew == 00 00 00 F8 NT头的偏移位置
在这里插入图片描述

DOS存根

在这里插入图片描述

位于DOS头之后,NT头之前,可有可无

NT头

分为签名结构体、文件头、可选头,可以参考这篇博客https://blog.csdn.net/qiming_zhang/article/details/7309909#3.2.1
在这里插入图片描述

有待完善

weixinzjh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
逆向工程-PE文件结构
阿Q在行走
02-06 265
pe通常由以下几部分组成,DOS文件、标准PE头、可选头、节表和相应的节。 DOS文件头: _IMAGE_DOS_HEADER{ WORD e_magic; //MZ标记*,用于判断是否为可执行文件1 WORD e_cblp; //bytes on last page WORD e_cp; //pages of file WORD e_crlc; //relocations W...
PE文件结构学习
qq_43447375的博客
12-26 136
PE文件结构学习 PE(Portable Executeable File Format,可移植的执行体文件格式),使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 Windows操作系统中可执行程序有好多种,比如COM、PIF、SCR、EXE等,这些文件的格式大部分都继承自PE。其中,EXE是最常见的PE文件,动态链接库(大部分以dll为扩展名的文件)也是PE文件。 PE文件的基本结构如下: 一、DOS ME头 IMAGE_DOS_HEADER +00h WORD e_magic
逆向工程核心原理》学习总结(四) - PE文件格式
attack_eg的博客
07-01 964
介绍PE文件是windows操作系统的可执行文件格式(包括.exe、.scr、.dll、.sys、.obj等文件),PE文件指32位的可执行文件,也称为PE32。64位可执行文件称为PE+或PE32+,是PE32文件的一种扩展形式。基本结构PE文件包含PE头与PE体,研究PE文件格式,就是研究构成PE头的结构体。 PE头包含的基本结构如下: 1.DOS头 2.DOS存根 3.NT头
PE文件结构详解
leolewin的博客
08-23 2891
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
Vinx Blog
11-18 497
(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4h WORD e_cp //Pages in file +6h
逆向工程核心原理》一书中提到的代码以及实验程序
12-14
逆向工程核心原理》一书中提到的代码以及实验程序,通过该材料 可以更好地去学习及练手,不错过书中的每一个例子,通过动手更好地吸收书中的知识
2015 逆向工程核心原理 程序源码 资源
06-07
2015 逆向工程核心原理 程序源码 资源
逆向分析核心原理示例和源代码
01-15
逆向工程核心原理的代码和实例,其中都是全面的,是我自己找到的,网上总是有假的所以想让别人可以收到
PE文件结构详解(二)可执行文件头
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,从头部的信息,可以引导系统解析整个文件。
文件 偏移 基址_[PE](3)PE文件头部解析
weixin_36406678的博客
12-16 407
一、DOSMZ头首先是IMAGE_DOS_HEADER头部,字段后面的偏移是基于IMAGE_DOS_HEADER的typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; 0000h // Magic number //EXE...
PE文件简介
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
PE结构各字段偏移参考
lei_saint的专栏
03-02 1939
PE结构各字段偏移参考 headerimageimportalignmentlinkerfile Complete PE Offset Reference While there is a lot of data and various parts of the structure are at varying positions there are
PE文件详解
ithzhang
02-13 4191
参考数据书籍:《加密与解密(第三版)》  看雪论坛PE文件学习笔记整理:自己学习PE文件的一个总结,只是一个起步,对PE文件的概念的一个学习吧,属于比较菜的阶段,学习完这一部分之后就要先放下一段时间来做更正要的事情了。PE文件之后的应用之后再慢慢的学习吧。希望可以给我同时也给你们带来一些帮助。图是来自己截的图,有书上的,有自己实际操作的。如果需要的话可以Q我我发给你,包括这个word。
PE文件结构的基础概念,用32位汇编写一个程序读取PE文件头
weixin_43575859的博客
03-11 858
PE文件由文件头部分,节表部分,还有节区部分组成。其中文件头包括PE文件头还有DOS文件头,节表主要是用来说明每个节的RVA地址(RVA地址就是文件被装载到内存后数据相对于文件起始位置的偏移量)还有节的尺寸的,当然还有一些其他的信息。而节区就是将属性相同的文件数据放在了一起,比如可执行的放一起,只读的放一起等等。 这是PE文件头的大概样子: DOS文件头 DOS头部分由MZ格式...
编程初学者如何理解程序的原理
zhoumingongheguo的博客
10-23 617
PE可执行文件结构及从内存映射中读取相关数据
PE文件详解(五)
Masimaro的专栏
03-20 546
在前面几节中经常提到相对虚拟地址RVA,在这篇博客中主要说明这个概念。本来是想接着转载小甲鱼的,但是我自己根据这篇文章和他的视频来学习的时候,发现在RVA与文件的相对偏移地址进行转化的时候,那块我看不懂,不知道为什么要这样转化,而且前面很多东西都反复讲了好多遍,比如对齐的问题,所以,这篇我就自己根据自己掌握的情况来写,还是在此处放上原文的连接: 原文(上)传送门 原文(下)传送门什么是RVA某个
逆向工程核心原理》学习笔记(二):PE文件
闵行小鱼塘
12-24 1584
继续学习《逆向工程核心原理》,本篇笔记是第二部分:PE文件格式,包括PE文件、运行时压缩、重定位、UPack、内嵌补丁等内容
PE文件格式逆向解析成汇编语言
最新发布
06-02
PE文件格式逆向解析成汇编语言是一个非常复杂的任务,需要对PE文件格式有深入的了解,并且需要具备较强的反汇编技能。以下是一个简单的示例,演示如何将PE文件头部信息逆向解析成汇编语言: ``` ; 定义IMAGE_DOS_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值