PE文件-DOS头

最新推荐文章于 2023-09-04 15:55:06 发布
最新推荐文章于 2023-09-04 15:55:06 发布
阅读量381 收藏 2
点赞数
分类专栏: PE文件 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/121174200
版权

概述

PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等....

PE文件整体的格式图:

 

DOS头

IMAGE_DOS_HEADER头格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用

typedef struct _IMAGE_DOS_HEADER {      
    WORD   e_magic;            //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ"     
    WORD   e_cblp;                      
    WORD   e_cp;                        
    WORD   e_crlc;                      
    WORD   e_cparhdr;                   
    WORD   e_minalloc;                  
    WORD   e_maxalloc;                  
    WORD   e_ss;                        
    WORD   e_sp;                        
    WORD   e_csum;                      
    WORD   e_ip;                        
    WORD   e_cs;                        
    WORD   e_lfarlc;                    
    WORD   e_ovno;                      
    WORD   e_res[4];                    
    WORD   e_oemid;                     
    WORD   e_oeminfo;                   
    WORD   e_res2[10];                  
    LONG   e_lfanew;         //指向新PE的偏移     
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

DOS头二进制

 代码解析-DOS头

int main()
{
	// 先打开文件
	HANDLE file_handle = CreateFileA(
		PATH,
		GENERIC_READ,
		NULL,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL
	);
	// 获取文件大小 
	DWORD file_size = GetFileSize(file_handle, NULL);
	// 申请空间保存文件内容, 如果读取成功就申请空间
	char* file_buff = new char[file_size];
	// 读取文件
	DWORD read_size = 0;
	ReadFile(file_handle, file_buff, file_size, &read_size, NULL);
	// 关闭文件
	CloseHandle(file_handle);

	PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);
}

很酷很爱笑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE DOS
weixin_52971884的博客
05-03 766
DOSPE文件的开始 DOS是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode.还有一个目的,就是指明NT文件中的位置。NT包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件IMAGE_FILE_HEADER)和PE可选IMAGE_OPTIONAL_HEADER32),部的详细结构以及其具体意义在PE文件文章中详细描述。 节表
病毒实验四
weixin_34402090的博客
03-07 251
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
1.PE文件DOS(IMAGE_DOS_HEADER)
kernelhack
10-24 8594
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
PE文件解析(1):Dos与NT
ylh的博客
10-30 857
什么是PE文件PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
2.2 PE结构:文件详细解析
最新发布
CSDN
09-04 8767
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOSPE文件的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件的位置,该文件是由`IMAGE_NT_HEAD
DOS.rar_PE修改_pe_pe文件修改
09-14
修改PE文件格式,增加一个区块,通过PE文件格式修该pe文件格式
C语言怎么获得进程的PE文件信息
12-26
下面的程序打印出Windows_Graphics_Programming 1.1中第三个程序“Hello World Version 3:Create a Full-Screen Window”生成的可执行文件的Sections结构字节的信息 #include #include char *strPath="C:/c1_hwv3/...
PE文件结构分析(包括DOS、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
三、 PE文件 4 1、PE标识 4 2、映像文件IMAGE_FILE_HEADER 4 3、可选映像文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1...
PE3.0-32位原版封装Win10PE镜像
11-30
官网下载超慢的,还是**网盘,这个是用wepe32位工具正常封装的Windows 10 PE,完全没有任何病毒,也没有修改,里面壁纸是自带的,包含Max Dos,没有密码。 官方解释: 微PE工具箱生成ISO镜像后也不会产生过多的文件...
PE文件格式详解.pdf
05-31
同时为了保证与旧版本 MS-DOS 及 Windows 操作系统的兼容,PE 文件格式也保 留了 MS-DOS 中那熟悉的 MZ 部。“Portable Executable”(可移植的执行体)意 味着此文件格式是跨 Win32 平台的;即使 Windows 运行在...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1393
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 281
前言学一学PE小基础,从文件PE到内存中的PE,然后再保存到内存中这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件pe这边我们需要知道内存中对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
PE结构-节
小喇叭儿滴滴的吹
02-12 448
首先,节的话有两部分,一部分是节表,另外一部分就是节区了,节表是用于描述节区信息的,而节区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位节表,重点就是需要根据选项的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos if (pDosHeader ==...
滴水三期逆向基础系列(二)-加壳初识-文件弹出对话框
henuyl的博客
04-23 635
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
PE文件自学笔记(一):DOSPE解析
qq_37835724的博客
11-13 809
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2817
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
【2021.01.11】DOS属性说明
oalken的博客
01-11 615
IMAGE_DOS_HEADER DOS DOS由两部分组成:DOS MZ文件DOS块。 DOS块不是结构体,而是由单个字节组成的数据,可以填写任何内容。 但是DOS MZ文件是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..
C语言编程获取PE文件DOS
一根火柴博客
02-02 1824
int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; HANDLE hFile; HANDLE hMapObject; PUCHAR uFileMap; DWORD dw; if (argc<2) { return -1; } if (!(hFile=CreateFile(arg
PE文件格式总结 - DOS文件PE文件、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
导入表在PEDOS 部中还是在 PE 部 还是在可选部?
06-04
导入表不在PE文件DOS部中,而是在可选部的数据目录中。可选部中的数据目录是一个数组,它描述了PE文件中的许多数据结构,例如导入表、导出表、资源表等等。数据目录是一个描述表,每个条目都表示一个数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值