PE文件-扩展头

最新推荐文章于 2022-11-16 20:37:43 发布
最新推荐文章于 2022-11-16 20:37:43 发布
阅读量161 收藏
点赞数
分类专栏: PE文件 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45012273/article/details/121176129
版权

扩展头解析

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    WORD    Magic;  //选项头类型,一般为10BH
    BYTE    MajorLinkerVersion;  //链接程序的主版本号   可修改
    BYTE    MinorLinkerVersion;  //链接程序的次版本号   可修改
    DWORD   SizeOfCode;  //代码段大小 可以吃内存 改大    可修改
    DWORD   SizeOfInitializedData;  //已初始化数据块的大小  可修改
    DWORD   SizeOfUninitializedData;  //未初始化数据库的大小 可修改
    DWORD   AddressOfEntryPoint;  //程序开始执行的入口地址,这是一个RVA(相对虚拟地址)
    DWORD   BaseOfCode; //代码段的起始RVA 一般来说 是 1000h 说明性信息 可参考不可 基址00401000
    DWORD   BaseOfData; //数据段的起始RVA  说明性信息 可参考不可信 数据 00402000
    //
    // NT additional fields.
    DWORD   ImageBase; //可执行文件默认装入的基地址 起点 建议装在地址非实际 可更改代价大

    DWORD   SectionAlignment; //内存中块的对齐值(默认的块对齐值为1000H,4KB个字节) 可更改 按照操作系统特性改 以千为单位
    DWORD   FileAlignment;//文件中块的对齐值(默认值为200H字节,为了保证块总是从磁盘的扇区开始的)
    WORD    MajorOperatingSystemVersion;//要求操作系统的最低版本号的主版本号
    WORD    MinorOperatingSystemVersion;//要求操作系统的最低版本号的次版本号
    WORD    MajorImageVersion;//该可执行文件的主版本号
    WORD    MinorImageVersion;//该可执行文件的次版本号
    WORD   MajorSubsystemVersion;//要求最低之子系统版本的主版本号 默认 0004  不可更改
    WORD    MinorSubsystemVersion;//要求最低之子系统版本的次版本号 默认 0000
    DWORD   Win32VersionValue;//保留字                            默认00000000
    DWORD   SizeOfImage;//映像装入内存后的总尺寸 映像到内存1000 内存对齐的设定
    DWORD   SizeOfHeaders;//部首及块表的总大小
    DWORD   CheckSum;//CRC检验和                                   一般为00000000
    WORD    Subsystem;//程序使用的用户接口子系统   
    WORD    DllCharacteristics;//DLLmain函数何时被调用,默认为0
    DWORD   SizeOfStackReserve;//初始化时栈大小 
    DWORD   SizeOfStackCommit;//初始化时实际提交的栈大小
    DWORD   SizeOfHeapReserve;//初始化时保留的堆大小
    DWORD   SizeOfHeapCommit;//初始化时实际提交的堆大小
    DWORD   LoaderFlags;//与调试有关,默认为0
    DWORD   NumberOfRvaAndSizes;//数据目录结构的数目
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
}

重点字段解析:

WORD magic:标志是什么类型的PE文件,32位一般是0x010B,64位文件是0x20B

 DWORD   AddressOfEntryPoint:就是我们常说的OEP 第一行执行代码的地方

DWORD   ImageBase; 程序装载到内存的地址 文件默认00400000 我们理想的装载地址 但是可能装载不到

DWORD   SizeOfImage;装载到内存的大小 一个页占0x1000 假设有3个节表加头的大小也就是0x4000

可选头-二进制

 代码解析-可选头

假设已经把PE文件读到内存中  首地址是file_buff 是void*指针

PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);
    PIMAGE_NT_HEADERS nt_head =
        PIMAGE_NT_HEADERS(dos_head->e_lfanew + (LONG)file_buff);
    // 获取扩展头
    PIMAGE_OPTIONAL_HEADER opt_head =
        PIMAGE_OPTIONAL_HEADER(&nt_head->OptionalHeader);

很酷很爱笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.PE文件扩展PE(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5470
可选/扩展PEIMAGE_OPTIONAL_HEADER,它有着比标准PE(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
【2021.01.13】扩展PE属性说明
oalken的博客
01-13 330
标准PE 32位和64位PE结构体有点差异,但是差异不是很大。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER32 OptionalHeader; } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; typedef struct _IMAGE_NT_HEADERS64 {
PE_修正重定位表
qq_42363151的博客
09-25 288
PE
病毒实验四
weixin_34402090的博客
03-07 252
title: viruslab4 date: 2016-01-06 15:05:28 categories: virus tags: virus --- 导入地址表挂钩 工具:vs2012 ollydbg part1 完成函数GetIAFromImportTable() 遍历当前进程test.exe模块的导入地址表 找到其中存放MessageBoxA()入口地址的地址 打印出该地址以及其中存...
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程)
CSDN
07-16 7405
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
PE文件格式分析及修改.doc
02-21
在装入程序时,系统会根据文件扩展名启动一个程序装载器,称之为 Loader。Loader 会首先检查 DOS MZ Header,如果存在,就继续寻找 PE header,如果这两项都不存在,就认为是 DOS 16 位代码。如果 DOS Header 和 PE ...
PE文件详解-附图,具体
11-30
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢...
PE3-crx插件
04-01
在SEO工作时,通常我想看到一个网页的这三个元素,但要查看源HTML文件打扰我。SEO检查Web上的工具。因此,我已经制作了这个非常简单的App PE3(页元素3) 。关于排放:对于此软件发生故障和损坏,公司和作者不承担...
PE文件结构详解.pdf
03-23
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。
PE文件格式官方文档
09-09
随着操作系统的升级和功能扩展PE文件格式也会相应地进行调整和增强,以适应新的需求和安全特性。 微软指出,虽然提供了此规格文档,但不保证它是全面无遗漏的。开发者在开发工具和应用程序时,应参考最新的资料。...
PE文件-NT
weixin_45012273的博客
11-06 320
DOS和NT之间 存储着一些被DOS使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS的最后一个成员指向了新PE的位置 NT格式 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00 IMAGE_FILE_HEADER FileHeader; // 文件 IMAGE_OPTIONAL_HEADER32.
PE结构】2.NT文件扩展
SMOne
06-22 2922
一、前言二、PE整体结构三、DOS四、NT    4.1.文件    4.2.扩展五、区段六、导出表七、导入表八、资源表九、其他表四、NT图4.1起始地址:0x0158H,和上一篇DOS里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER(文件)和IMAGE_OPTIONAL_...
导入表注入
qq_41232519的博客
10-14 546
文章目录一 、流程二、演示三、完整代码 一 、流程 1、File-> FileBuffer 2、添加节 3、定位导入表 4、将导入表移动到新增的节里面 5、新增一个导入表 6、在导入表后面添加INT表和IAT表 7、INT和IAT表指向函数名 8、修正导入表 9、存盘 二、演示 1、File-> FileBuffer DWORD Size = 0; //用来接收数据大小 BOOL isok = FALSE; //用来接收写入磁盘是否成功 LPVOID pFileBuffer
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源
杨秀璋的专栏
08-12 8125
系统安全绕不开PE文件PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
PE文件导出表解析
windows小菜鸡的博客
08-16 931
1、导出表的结构 导出表是option可选PE的数据目录项的第一个,数据目录项的结构如下 其中VirtualAddress 在内存中的偏移,Size为大小。可以通过数据目录项找到RVA(内存偏移),然后转换到FOA(文件偏移),来定位导出表 2、函数地址定位过程 其中需要注意的点是: 1、AddressofName 为函数名称表的RVA,需要转为FOA,每个表存的为名字的RVA地址,也需要转为FOA。 2、通过名称定位函数地址的过程如下: 通过名字在名称表找到Ordinals表下标,然后通过下标在Or
滴水三期逆向基础系列(二)-加壳初识-文件弹出对话框
henuyl的博客
04-23 640
VOID AddCodeToCodeSec( VOID ){ LPVOID pFileBuffer = NULL; LPVOID pImageBuffer = NULL; LPVOID pNewFileBuffer = NULL; PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIM...
网络安全学习笔记(7)
qq_40316844的博客
09-11 163
具体的学习总结: PE结构详解: 1、DOS:共40H(64字节) 0X00 WORD e_magic; //※Magic DOS signature MZ(4Dh 5Ah):MZ标记:用于标记是否是可执行文件 0x3C DWORD e_lfanew; //※Offset to start of PE header:定位PE文件PE相对于文件的偏移量 2、PE: //NT...
WindowsPE(一)PE字段&节表
sky123博客
11-16 775
PE
PE总结6---PE文件结构NT扩展--IMAGE_OPTIONAL_HEADER
oBuYiSeng的博客
12-09 2128
IMAGE_OPTIONAL_HEADER结构,如下: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) BYTE MajorLinkerVersion; // 链接程序的主版
golang实现PE文件解析器
最新发布
05-22
1. 读取PE文件,获取文件信息。 2. 读取节表,获取节表信息。 3. 读取导入表、导出表、重定位表等其他表,获取相关信息。 4. 解析每个节的数据,获取代码、数据等信息。 5. 根据节表中的信息,将PE文件中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值