扩展PE头

最新推荐文章于 2024-08-21 10:26:50 发布
最新推荐文章于 2024-08-21 10:26:50 发布
阅读量374 收藏
点赞数
分类专栏: PE文件结构 文章标签: 系统安全 windows
本文链接:https://blog.csdn.net/weixin_43754657/article/details/121983070
版权

扩展PE头

PE头结构体

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;							//PE头标识
    IMAGE_FILE_HEADER FileHeader;				//标准PE头
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;		//扩展PE头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

IMAGE_OPTIONAL_HEADER32 OptionalHeader 扩展PE头中的结构体成员

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;								//PE32:10B	PE32+:20B
    BYTE    MajorLinkerVersion;					//链接器版本号
    BYTE    MinorLinkerVersion;					//链接器版本号
    DWORD   SizeOfCode;							//所有代码节的总和(文件对齐后的大小 *编译器填写无实际作用)
    DWORD   SizeOfInitializedData;				//包含所有已经初始化数据的节的部大小(文件对齐后的大小 *编译器填写无实际作用)
    DWORD   SizeOfUninitializedData;			//包含未初始化数据的节的总大小(文件对齐后的大小 *编译器填写无实际作用)
    DWORD   AddressOfEntryPoint;				//程序入口
    DWORD   BaseOfCode;							//代码开始的基地(*编译器填写无实际作用)
    DWORD   BaseOfData;							//数据开始的基地(*编译器填写无实际作用)

    //
    // NT additional fields.
    //

    DWORD   ImageBase;							//内存镜像基地
    DWORD   SectionAlignment;					//内存对齐
    DWORD   FileAlignment;						//文件对齐
    WORD    MajorOperatingSystemVersion;		//标识操作系统版本号(主版本号)
    WORD    MinorOperatingSystemVersion;		//标识操作系统版本号(次版本号)
    WORD    MajorImageVersion;					//PE文件自身的版本号
    WORD    MinorImageVersion;					//PE文件自身的版本号
    WORD    MajorSubsystemVersion;				//运行所所需子系统版本号
    WORD    MinorSubsystemVersion;				//运行所所需子系统版本号
    DWORD   Win32VersionValue;					//子系统版本的值,必须为0
    DWORD   SizeOfImage;						//内存中整个PE文件的映射的尺寸,可比实际的值大,必须是SectionAlignment的整数倍
    DWORD   SizeOfHeaders;						//所有头+节表按照文件对齐后的大小,否则加载会出错
    DWORD   CheckSum;							//核验和,一些系统文件有要求,用来判断文件是否被修改
    WORD    Subsystem;							//子系统 (驱动程序1 图形界面2 控制台,DLL3 )
    WORD    DllCharacteristics;					//文件特性 不是针对DLL文件的
    DWORD   SizeOfStackReserve;					//初始化时保留的栈大小
    DWORD   SizeOfStackCommit;					//初始化时实际提交的大小
    DWORD   SizeOfHeapReserve;					//初始化时保留的堆大小
    DWORD   SizeOfHeapCommit;					//初始化时实践提交的大小
    DWORD   LoaderFlags;						//调试相关
    DWORD   NumberOfRvaAndSizes;				//目录项数目
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

WORD DllCharacteristics 文件值的含义

0															//保留,必须为0
1															//保留,必须为0
2															//保留,必须为0
3															//保留,必须为0
6	IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE					//DLL可以在加载时被重定位
7	IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY				//强制代码实施完整性验证
8	IMAGE_DLLCHARACTERISTICS_NX_COMPAT						//该映像兼容DEP
9	IMAGE_DLLCHARACTERISTICS_NO_ISOLATION					//可以隔离,但并不隔离此映像
10	IMAGE_DLLCHARACTERISTICS_NO_SEH							//映像不使用ESH(第10章)
11	IMAGE_DLLCHARACTERISTICS_NO_BIND						//不绑定映像
12															//保留,必须为0
13	IMAGE_DLLCHARACTERISTICS_WDM_DRIVER						//该映像为一个WDM driver
14															//保留,必须为0
15	IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVEr_AWARE			//可用于终端服务器
qwertyuiop_i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASLR技术及关闭与开启
rznice的专栏
09-10 2107
ASLR技术会使PE文件每次加载到内存的起始地址随机变化,并且进程的栈和堆的起始地址也会随机改变。微软从windows vista/windows server 2008(kernel version 6.0)开始采用ASLR技术,主要目的是为了防止缓冲区溢出。 该技术需要操作系统和编译工具的双重支持(主要是操作系统的支持,编译工具主要作用是生成支持ASLR的PE格式)。 我们这里要动手关闭aslr,可以修改IMAGE_OPTIONAL_HEADER的DLL Characteristics字段,下面是DLL
windows环境下的自保护探究
hongduilanjun的博客
09-14 1265
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
4.PE文件之扩展PE(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5603
可选/扩展PEIMAGE_OPTIONAL_HEADER,它有着比标准PE(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
PE文件
megaparsec
12-19 3184
PE文件
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败
youyudexiaowangzi的专栏
02-21 1086
Windows驱动调用PsSetCreateProcessNotifyRoutineEx失败,添加/integritycheck编译选项
PE结构】2.NT、文件扩展
SMOne
06-22 2946
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表四、NT图4.1起始地址:0x0158H,和上一篇DOS里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件)和IMAGE_OPTIONAL_...
PE_02-----PE解析
tell_me_404的博客
08-09 629
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
PE卸载补丁工具
10-18
Dism++是一款功能强大的系统维护工具,它集成了Microsoft的Deployment Imaging Servicing and Management (DISM) 工具,并进行了扩展,提供更友好的用户界面和更全面的功能。用户只需运行相应的可执行文件,即可在PE...
PE提取exe文件.rar
03-16
PE文件结构分为多个部分,如DOSPE、节区等,这些部分共同构成了PE文件的完整结构。 “EXE”是可执行文件的扩展名,是PE文件的一种类型,表示可以直接由操作系统加载并执行的程序。EXE文件通常包含一个或多个...
基础PE包,可扩展,可兼容,通用型。
12-17
使用简单的PE工具,实现功能简单化,可开发的PE环境。
ASLR_disabler:在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXEPE映像
05-28
ASLR_disabler 在预编译的EXE上禁用IMAGE_OPTIONAL_HEADER中的ASLR标志IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE。 适用于32位和64位Windows EXE / PE映像 该软件通过强制固定映像库来对EXE进行黑客攻击,以使ASLR受到重大安全破坏,从而禁用ASLR,因此,软件工程师可以使用该软件来开发例如功能劫持。 这是PE的一部分:IMAGE_OPTIONAL_HEADER中的WORD DllCharacteristics,标志:IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040)记下有关ImageBase(第52和60行)的信息,如果设置为与启动器/同一应用程序中的任何其他应用程序冲突,调试器将修改ImageBase。集会
pe查看工具
05-10
PE文件由许多部分组成,包括DOSPE、节区、导出和导入表、资源、异常处理等。PE查看工具能够帮助我们逐个查看这些组成部分,解析其中的数据结构和指针关系。 例如,`PETool 1.0.0.5.exe`可能是这个PE查看工具...
Windows PE 格式详解.zip
03-16
- **DOS**:每个PE文件都以一个MS-DOS开始,包含一个简短的DOS程序,用于识别文件并将其加载到内存中的PE。 - **PE**:在DOS之后是PE签名("PE\0\0"),接着是COFF(Common Object File Format),它...
PE文件中的DllCharacteristics属性
迪迦 • 奥特曼
10-11 2537
#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move. #define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity Image #define IMAGE_DLLCHARACTER...
PE文件详解1——PE文件部解析
weixin_33797791的博客
06-27 390
参考书籍:《WindowsPE文件权威指南》 MSDN中winnt.h是PE文件定义的最终决定者。 EXE文件与DLL文件之间的区别完全是语义上的,二者PE结构完全相同。唯一区别用一个字段标示处这个文件是exe还是dll。许多DLL扩展,如OCX控件,控制面板等都是DLL,它们有一样的实体。 64位的Windows只是对PE格式做了一些简单的修饰,新格式叫PE32+。没有新的结构加进去,其...
【2021.01.13】扩展PE属性说明
oalken的博客
01-13 348
标准PE 32位和64位PE结构体有点差异,但是差异不是很大。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; typedef struct _IMAGE_NT_HEADERS64 {
PE总结6---PE文件结构NT扩展--IMAGE_OPTIONAL_HEADER
oBuYiSeng的博客
12-09 2147
IMAGE_OPTIONAL_HEADER结构,如下: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) BYTE MajorLinkerVersion; // 链接程序的主版
PE知识复习之PE的各种属性解析
weixin_30649641的博客
08-05 425
一丶DOS结构体 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file ...
【学术会议征稿】2024年计算机与信息安全国际会议(WCCIS 2024)
最新发布
XIAOAIXUEJIE的博客
08-21 449
由马来亚大学主办,2024年计算机与信息安全国际会议 (WCCIS 2024) 将于2024年9月20-22日在马来西亚召开。会议旨在为从事计算机与信息安全的专家学者、工程技术人员、技术研发人员提供一个共享科研成果和前沿技术,了解学术发展趋势,拓宽研究思路,加强学术研究和探讨,促进学术成果产业化合作的平台。大会诚邀国内外高校、科研机构专家、学者,企业界人士及其他相关人员参会交流。↑↑参会/投稿/了解更多会议详情↑↑。大会时间:2024年9月20-22日。社交网络安全、隐私和信任。系统模型设计与信息管理。
PE文件变形技术探索
本文深入探讨了可执行文件(即PE文件)的变形技术,这是针对PE文件进行混淆和免杀的一种策略。PE文件包含了执行文件的运行和加载关键信息,因此是病毒和加密壳经常修改的目标,以逃避检测。 作者首先介绍了可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值