标准PE头属性

最新推荐文章于 2022-02-13 15:34:52 发布
最新推荐文章于 2022-02-13 15:34:52 发布
阅读量278 收藏 1
点赞数
分类专栏: PE文件结构 文章标签: 系统安全 windows
本文链接:https://blog.csdn.net/weixin_43754657/article/details/121894927
版权

标准PE头属性

PE头结构体

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;							//PE头标识
    IMAGE_FILE_HEADER FileHeader;				//标准PE头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;		//扩展PE头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

PE标准结构体

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;							//表示可以运行在什么样的CPU上 任意:0  ,Intel386及后续:14C ,x64:8664
    WORD    NumberOfSections;					//表示节的数量
    DWORD   TimeDateStamp;						//编译器填写的时间戳
    DWORD   PointerToSymbolTable;				//调试相关
    DWORD   NumberOfSymbols;					//调试相关
    WORD    SizeOfOptionalHeader;				//可选PE头的大小(32位PE文件:0xE0 , 64位PE文件:0xF0)
    WORD    Characteristics;					//文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

在这里插入图片描述

WORD Characteristics 成员里值的含义 (文件属性)

#define IMAGE_FILE_RELOCS_STRIPPED           0   // 文件中不存在重定位信息
#define IMAGE_FILE_EXECUTABLE_IMAGE          1   // 文件是可执行的
#define IMAGE_FILE_LINE_NUMS_STRIPPED        2   // 不存在行信息
#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       3   // 不存在符号信息
#define IMAGE_FILE_AGGRESIVE_WS_TRIM         4   // 调整工作表
#define IMAGE_FILE_LARGE_ADDRESS_AWARE       5   // 应用程序可处理大于2GB的地址
											 6   // 此标志保留
#define IMAGE_FILE_BYTES_REVERSED_LO         7   // 小尾方式
#define IMAGE_FILE_32BIT_MACHINE             8   // 只在32位平台上运行
#define IMAGE_FILE_DEBUG_STRIPPED            9   // 不包含调试信息
#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   10  // 不能从可移动盘运行
#define IMAGE_FILE_NET_RUN_FROM_SWAP         11  // 不能从网络运行
#define IMAGE_FILE_SYSTEM                    12  // 系统文件(如驱动程序),不能直接运行
#define IMAGE_FILE_DLL                       13  // 这是一个DLL文件
#define IMAGE_FILE_UP_SYSTEM_ONLY            14  // 文件不能在多处理器计算机上运行
#define IMAGE_FILE_BYTES_REVERSED_HI         15  // 大尾方式

当文件属性为:010E
0000 0001 0000 1110 (转为二进制对应每一个位)

第一位为0
第二位为1表示:该文件是可执行的
第三位为1表示:不存在行信息
第四位为1表示:不存在符号信息

第九位为1表示:只能在32位平台上运行

qwertyuiop_i
关注
专栏目录
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件。
PE标准PEIMAGE_FILE_HEADER详(二)
想喝奶茶的胖大海
12-26 761
数据位 常量符号 为1的含义 0 IMAGE_ FILE_ RELOCS STRIPPED 文件中不存在重定位信息 1 IMAGE_ FILE_ EXECUTABLE_ IMAGE 文件是可执行的 2 IMAGE_ FILE_ LINE NUMS_STRIPPED 不存在行信息 3 IMAGE_ FILE_ LOCAL. SYMS_ STRIPPED 不存在符号信息 ...
3.PE文件之标准PE(IMAGE_FILE_HEADER)
kernelhack
10-25 4987
标准PEIMAGE_FILE_HEADER紧跟在PE标记后,即IMAGE_NT_HEADERS.Signature + 4的位置.由此位置开始的20个字节为数据结构标准PEIMAGE_FILE_HEADER的内容. 该结构在微软的官方文档中被称为标准通用对象文件格式(Common Object File Format COFF).它记录了PE文件的全局属性,如该PE文件运行的平台、PE文件类型(EXE / DLL)、文件中存在的节的总数等. IMAGE_FILE_HEADER 结构及成员含义如下
【2021.01.12】标准PE属性说明
oalken的博客
01-12 346
PE typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE标识 IMAGE_FILE_HEADER FileHeader; //标准PE IMAGE_OPTIONAL_HEADER32 OptionalHeader; //扩展PE } IMAGE_NT_HEADERS..
pe文件中的3处Characteristics
yellow的博客
02-09 2821
首先:pe文件结构 1、DOS,对应结构体IMAGE_DOS_HEADER。 2、DOS存根,大小不定,由编译器决定,没有对应的结构体。 3、NT,对应结构体IMAGE_NT_HEADER,包括3部分定义如下: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEAD...
学习PE文件
peterchilly的博客
03-31 398
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 表示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
PE文件自学笔记(一):DOSPE解析
qq_37835724的博客
11-13 867
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
验一 PE文件分析工具源代码,云南大学
01-08
PE文件格式是Microsoft Windows系统中用于可执行程序、动态链接库(DLL)和其他类型模块的标准。这个工具可能是由云南大学的学生或教师开发的,用于教学或研究目的。 描述中提到的“仅供参考,请不要抄袭”,意味着...
PE文件详解
03-17
PE(Portable Executable)文件Windows操作系统中可执行文件(EXE、DLL等)的标准格式,它包含了大量的元数据,用于系统加载器理解和执行程序。深入理解PE文件对于软件开发、逆向工程和安全分析至关重要。接...
[读书][笔记]WINDOWS PE权威指南《三》PE的原理和基础 之 第三章 PE文件
二次元怪兽的博客
02-05 2140
文章目录3.1 PE的数据组织方式3.2 与PE有关的基本概念3.2.1 地址3.2.2 指针3.2.3 数据目录3.2.4 节3.2.5 对齐3.2.6 Unicode字符串3.3 PE文件结构3.3.1 16位系统下的PE结构3.3.2 32位系统下的PE结构3.3.3 程序员眼中的PE结构3.4 PE文件部解析3.5 数据结构字段详解3.6 PE内存映像3.7 PE文件编程3.8 总结 3.1 PE的数据组织方式 3.2 与PE有关的基本概念 3.2.1 地址 3.2.2 指针 3.2.3 数据目
PE文件(一)PE
qq_63329753的博客
02-13 3713
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
【2015】CWE:字符嵌入和词嵌入的联合学习(Joint Learning of Character and Word Embeddings)
qq_36291847的博客
04-11 1789
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 大多数的词嵌入方法都是以词为基本单位,根据词的外部语境来学习词的嵌入,忽略了词的内部结构。然而,在一些语言中,如汉语,一个词通常是由几个汉字组成的,包含了丰富的内部信息。一个词的语义也与它的组成字的意义有关。因此,我们以中文为例,提出了一种字符增强的词嵌入模型。为了解决汉字歧义和非组成词的问题,我们提出了多原型字符嵌入和一种有效的选词方法。我们评估了CWE在词语相关度计算和类比推理方面的有效性。结果表明,CWE优于其他忽略内部字符信息的基
PE学习之-最简单的程序
小发猫
05-24 2904
// _pefirst.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "afxwin.h"#include using std::cout;using std::endl;LPCTSTR lpszFileToOpen = _T("C://windows//notepad
PE文件中的DllCharacteristics属性
迪迦 • 奥特曼
10-11 2557
#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move. #define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity Image #define IMAGE_DLLCHARACTER...
PE文件学习笔记(一):DOSPE解析
Apollon_krj的博客
08-10 1万+
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为
PE文件
Utopia的专栏
07-30 1201
PE文件初识 PE(Portable Execute)文件是Windows下可执行文件的总称,wiki百科[12]将PE文件描述为“可移植的可执行文件”,是一种主要使用在32位和64位Windows操作系统上的文件格式。常见的PE文件格式主要用于DLL文件、EXE文件、SYS文件等,PE文件的判断标准不由文件扩展名决定,而是依据其独特的文件结构。 PE文件结构PE文件中IAT表的修改是实现Wind
pe节表
Iamangle122的博客
12-14 556
doclfanew偏移,可以找到标准pe标准pe结束就是可选pe,可选pe大小不确定。 怎么找节表:计算可选pe的大小后,doc+标准pe+可选pe 标准节表内:SizeOfOptionalHeader可选pe大小 节表:线性结构,多少个,在标准pe的numberofSection(节)决定有多少个。 ... #define IMAGE_SIEZOF_SHORT_NA
WINDOWSPE权威指南》学习笔记(二)- PE文件结构及字段说明
CCCyrus
08-02 1322
学完Win32asm编程后,发现《PE》书中第二章给出的小工具的界面功能其实可以更丰富些,也不难,之后一定会给改一下。今天看了第三章的大部分,到PE编程前停住了,下面把笔记贴下来,还有一些MSDN的注释,理解起来可能更充分吧。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值