PE文件(内部实质-字节码分析)

最新推荐文章于 2024-04-08 15:26:50 发布
最新推荐文章于 2024-04-08 15:26:50 发布
阅读量2.2k 收藏 6
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43979090/article/details/104209223
版权

在这篇博客本人会从多个方面来解说PE文件,并在每一步解说中配上实际的图片以便更好地理解

1.PE文件是什么?
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的(文件后缀名为)EXE、DLL、OCX、SYS、COM的文件都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。现在大多数的可执行程序,像微信,qq等启动程序都是PE文件。
当然,还有其他的可执行(EXE)文件格式,比如
1)DOS中的MZ格式,
2)Windows 3.0/3.1中的NE(New Executable)文件格式,它是16为的Windows可执行文件格式。
示例:
举个直观的例子,下图是关于qq的文件显示,我们可以看到qq.exe,这就是可执行文件,就是可以运行的文件。所以我们可以运行,运行之后的界面像登陆啊,好友显示等等我就不多说了。
但它内部实质是什么呢?如下图显示,这是用PEview软件打开的qq程序,可以看到qq.exe内部的十六进制的数据形式。
用户眼中的qq

在这里插入图片描述
下图是qq.exe文件内部实质:
在这里插入图片描述

2.PE文件的内部实质:
下面我们以pandownload这个软件为例来解说PE文件内部结构,如下图所示:
在这里插入图片描述
我们可以很直观的观察到这个pandownload.exe文件的结构(如下图),最外部是它的名字“PanDownload.exe”,进一步是DOS头,DOS程序…,节表等等,而每一个分区里是对应的十六进制内容,但可能又有进一步的分区,结构非常明显易懂。
最低0.47元/天 解锁文章
残心花
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE文件中插入可执行代码(非源码)
03-12
根据PE文件 的结构特征,实现两种不同的向Pe文件插入可执行代码的方法: (1)在本节中的未用空间中插入代码 (2)添加新的节 在编写要添加的代码中,要注意插入代码的变量地址的重定位和代码返回发动态获取API入口地址。。。
PE文件引用库查看器(含源代码)
09-06
PE文件引用库查看器(含源代码),对基于VC等生成非中间字节码的PE文件支持良好,对字节文件不支持
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1148
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
Windows PE文件常识,中高级工程师网络安全开发
最新发布
m0_60607562的博客
04-08 648
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
商业编程-源码-PE文件分析器.zip
06-21
总的来说,"商业编程-源码-PE文件分析器.zip" 提供的源码可以帮助我们深入了解Windows应用程序的内部工作原理,提升编程技能,进行软件调试,以及提高安全分析能力。这个工具的实现涉及计算机体系结构、操作系统原理...
JVM-字节文件加载过程.md
09-25
JVM-字节文件加载过程.md
JVM--字节码和类的加载篇1
08-03
Java虚拟机(JVM)是Java程序的核心组成部分,它负责执行字节码,这是Java程序在编译后的二进制形式。"JVM--字节码和类的加载篇1"这个标题暗示了我们将深入理解JVM如何处理字节码以及类加载的过程。 在Java的Class...
class 文件java字节码Oolong反编译分析
09-27
class 文件java字节码Oolong反编译分析: 1.把jar包放到jdk的lib目录下并添加到环境变量的classpath路径下 2.D:\workspace\JavaC\bin>java COM.sootNsmoke.oolong.Gnoloo Test.class
java(1.8)字节码读例(匿名内部类)
01-20
源代码 public class ThreadDemo { public static void main(String[] args) { for(int i = 0;i<10;i++){ final int j = i; new Thread(new Runnable() { @Override public void run() { ...
PE文件查看器
08-14
PEiD是很好用的查壳工具,可以很简单的知道软件是不是加了壳,有了这个PEiD 0.95,现在有软件很多都加了壳,给破解汉化带来非常大的不便,PEiD几乎可以侦测出所有的壳,其数量已超过470 种PE文档 的加壳类型和签名,另外还可识别出exe文件是用什么语言编写的,比如:VC++、Delphi、VB或Delphi等
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 2510
讲导入函数节,就必须介绍一下Datadirectory:Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件头optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代表该节的RVA,14 20 00 00RVA=0002014后4位:代表该节的大小,0x0000003c=60下面按rdata中存放的顺序介绍,注意此表中的地址是文件地址:其RVA(内存)=0x000
二进制菜鸟之PE文件结构
Blood_Pupil的博客
08-22 1940
所谓PE文件就是可执行文件在硬盘中存储是的文件表示,Windows中可执行文件文件表示的发展途径为com->LE(Linerar executable)->PE(Portable Executable File Formate)。操作系统识别可执行文件的方法是依赖于文件头而不是文件扩展名,如果当前文件格式不符合任何已定义文件头格式则将其按照COM文件格式装入即将整个文件的数据当做代...
PE文件解析-资源(Resource)
zhyulo的博客
01-06 4951
一、位置     PE文件头可选映像头中数据目录表的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区段。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的表中,符合数据和程序分离的设计原则。资源...
计算机病毒分析与对抗————2、PE文件
Fly_鹏程万里
04-24 1725
1、PE文件定义PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。2、PE文件结构总共五部分:DOS头、PE文件头、节表、节,调试信息。Dos头:由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS  mode”或“This program must be ru...
哈工大逆向分析补考知识点分享(仅限补考,正考不一定管用)
qq_42991073的博客
11-23 1582
哈工大逆向分析知识点 图片截取自《逆向分析》课程PPT,如果侵权请联系我
如何从PIMAGE_IMPORT_DESCRIPTOR节,得到某个API函数(导入函数)代码地址
lessonzhe的专栏
04-24 3760
//功能:得到某个API函数(导入函数)代码地址//参数://pImport: PIMAGE_IMPORT_DESCRIPTOR//pProcName: 函数名或序号const FARPROC GetFunctionFARPROC( PIMAGE_IMPORT_DESCRIPTOR pImport, LPCSTR pProcName) { PIMAGE_THUNK_DATA pThunk;
c语言中函数体在内存中的位置,[转]C语言嵌入式系统编程修炼之内存操作
weixin_30488835的博客
05-21 1458
数据指针在嵌入式系统的编程中,常常要求在特定的内存单元读写内容,汇编有对应的MOV指 令,而除C/C++以外的其它编程语言基本没有直接访问绝对地址的能力。在嵌入式系统的实际调试中,多借助C语言指针所具有的对绝对地址单元内容的读写能 力。以指针直接操作内存多发生在如下几种情况:(1) 某I/O芯片被定位在CPU的存储空间而非I/O空间,而且寄存器对应于某特定地址;(2) 两个CPU之间以双端口RAM...
Java字节码内联分析:静态与动态研究
这篇研究文章主要探讨了在Java字节码环境中,如何处理和优化内部方法子例程以进行有效的静态和动态分析。Java字节码是Java程序编译后的中间表示,用于Java虚拟机执行。其中,jsr(jump-to-subroutine)和ret(return...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值