PE文件-DOS头

最新推荐文章于 2023-09-04 15:55:06 发布
最新推荐文章于 2023-09-04 15:55:06 发布
阅读量423 收藏 2
点赞数
分类专栏: PE文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/121174200
版权

PE文件 DOS头 新PE指针 文件解析 逆向工程
关键词由CSDN通过智能技术生成

概述

PE文件是指某一种格式的文件,可执行文件(.exe),动态链接ku(.dll),驱动文件(.sys)等等....

PE文件整体的格式图:

 

DOS头

IMAGE_DOS_HEADER头格式 为了兼容DOS程序而设立 中间字段对现在来说没有作用

typedef struct _IMAGE_DOS_HEADER {      
    WORD   e_magic;            //PE的标志 解析是作为是否为PE文件的第一个标志 值为0X5A4D "MZ"     
    WORD   e_cblp;                      
    WORD   e_cp;                        
    WORD   e_crlc;                      
    WORD   e_cparhdr;                   
    WORD   e_minalloc;                  
    WORD   e_maxalloc;                  
    WORD   e_ss;                        
    WORD   e_sp;                        
    WORD   e_csum;                      
    WORD   e_ip;                        
    WORD   e_cs;                        
    WORD   e_lfarlc;                    
    WORD   e_ovno;                      
    WORD   e_res[4];                    
    WORD   e_oemid;                     
    WORD   e_oeminfo;                   
    WORD   e_res2[10];                  
    LONG   e_lfanew;         //指向新PE的偏移     
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

DOS头二进制

 代码解析-DOS头

int main()
{
	// 先打开文件
	HANDLE file_handle = CreateFileA(
		PATH,
		GENERIC_READ,
		NULL,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL
	);
	// 获取文件大小 
	DWORD file_size = GetFileSize(file_handle, NULL);
	// 申请空间保存文件内容, 如果读取成功就申请空间
	char* file_buff = new char[file_size];
	// 读取文件
	DWORD read_size = 0;
	ReadFile(file_handle, file_buff, file_size, &read_size, NULL);
	// 关闭文件
	CloseHandle(file_handle);

	PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);
}

PE_header.rar_PE_pe文件修改
09-24
1. **DOS**:这是PE文件的起始部分,包含了一个简化的MS-DOS引导程序,使得PE文件能在不支持PE格式的系统上也能识别。 2. **PE签名**:紧跟DOS之后的是两个字节的“PE\0\0”标记,表明这是一个PE文件。 3. **...
PE文件解析(1):Dos与NT
ylh的博客
10-30 1002
什么是PE文件PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
PE DOS
weixin_52971884的博客
05-03 819
DOSPE文件的开始 DOS是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode.还有一个目的,就是指明NT文件中的位置。NT包含windows PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件IMAGE_FILE_HEADER)和PE可选IMAGE_OPTIONAL_HEADER32),部的详细结构以及其具体意义在PE文件文章中详细描述。 节表
1.PE文件DOS(IMAGE_DOS_HEADER)
kernelhack
10-24 9087
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
病毒实验四
weixin_34402090的博客
03-07 293
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
C++实现PE文件添加新节区(加壳器)
Anansi的博客
03-21 2784
最近潜心研究二进制安全,接触到了shellcode还有加壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==节区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
2.2 PE结构:文件详细解析
最新发布
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOSPE文件的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件的位置,该文件是由`IMAGE_NT_HEAD
DOS.rar_PE修改_pe_pe文件修改
09-14
PE文件由多个部分组成,包括DOSPE、节表、节区等。DOS是一个历史遗留的部分,用于在旧的DOS系统中识别PE文件PE则包含关于程序的重要信息,如入口点地址、目标操作系统、文件和节的描述等。节表和节区则...
PE文件结构详解
08-25
PE文件结构详解可以分为四个主要部分:DOSPE、节表和节体。 PE文件的结构 PE文件结构可以分为两个主要部分:DOSPEDOSPE文件的前64字节,包含了 magic number、文件大小、页数等信息。PEPE...
PE文件详解
03-17
- DOSPE文件的起始部分,它是一个兼容MS-DOS的小程序,允许在没有Windows环境的DOS系统下运行。主要包含一个跳转指令,指向NT的地址。 2. **NT**: - NTPE文件的核心,包括两个结构:`IMAGE_NT_...
易语言-PE文件比较小工具
06-25
《易语言-PE文件比较小工具》是针对PE(Portable Executable)文件格式的一款实用程序,主要用于比较PE文件的差异。PE文件格式是Windows操作系统中的可执行文件标准,包括.exe和.dll等类型。这款工具的源码是用...
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1580
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
8.PE文件之新增节
kernelhack
10-28 4246
目录 新增节对PE文件中哪些值会有影响? 新增节步骤: 手动新增节 代码新增节 如果需要在PE文件中构建一端SHELLCODE(默认节区剩余空间不足情况下),可以通过新增节来解决此问题.通常大部分加壳软件都会新增节来移动或者备份各种目录项数据. 新增节对PE文件中哪些值会有影响? IMAGE_FILE_HEADER→NumberOfSections(当前PE文件节的数量,如果新增节需要修正此值). IMAGE_OPTIONAL_HEADER → SizeOfImage(新增节后在内存中的大小
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 335
前言学一学PE小基础,从文件PE到内存中的PE,然后再保存到内存中这边我们是从文件中的pe转到运行中的pe,然后再缩小存储到文件pe这边我们需要知道内存中对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
PE结构-节
小喇叭儿滴滴的吹
02-12 516
首先,节的话有两部分,一部分是节表,另外一部分就是节区了,节表是用于描述节区信息的,而节区呢,简单点说就是数据块。 在上一篇博客中有提及过如何定位节表,重点就是需要根据选项的大小来定位,这里的话就直接上一点代码吧,前两篇概念较多 PIMAGE_DOS_HEADER pDosHeader = GetDosHeader(); //获取dos if (pDosHeader ==...
滴水三期逆向基础系列(二)-加壳初识-文件弹出对话框
henuyl的博客
04-23 669
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
PE文件自学笔记(一):DOSPE解析
qq_37835724的博客
11-13 911
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
DOSIMAGE_DOS_HEADER
夜空中最亮的星
10-08 9556
对于一个PE文件来说,最开始的位置就是一个DOS程序。DOs
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2874
Windows系统下的可执行文件,是基于Microsoft设计的一种新的文件结构,此结构被称之为PE结构。PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第一个部分是IMAGE_DOS_HEADER,大小为6
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值