PE文件学习(1)DOS和NT

最新推荐文章于 2022-10-30 21:43:11 发布
VIP文章 最新推荐文章于 2022-10-30 21:43:11 发布
阅读量588 收藏
点赞数
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/104261541
版权

大致结构

  • DOS头和NT头之间通常还有个DOS Stub
    在这里插入图片描述

DOS头

  • DOS头的作用是兼容MS-DOS操作系统中的可执行文件
  • 一般没啥用
  • 记录着PE头的位置
  • DOS头定义部分
typedef struct _IMAGE_DOS_HEADER {
         // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oem
最低0.47元/天 解锁文章
lonmar~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式详解
07-06
Windows操作系统家族最近增加的WindowsNT为开发环境和应用程序本身带来了很大 的改变,这之中一个最为重大的当属PE文件格式了。新的PE文件格式主要来自于UNIX操 作系统所通用的COFF规范,同时为了保证与旧版本MS-DOS...
PE文件格式总结
m0_48995611的博客
06-11 351
PE文件格式总结基本介绍1.DOS Header 和 DOS stub2.NT headers2.1File header2.2 Optional header3.Section headers4.Sections其他 时间:202106 基本介绍 PE文件主要由 文件头 和 区段(Section) 构成(如图所示),文件头记录相关信息,而区段则存放相关数据。相连代表数据在文件中存储紧接上一部分。 文件头部分包括: (1) DOS Header (2) DOS Stub (3) NT Headers
【扫盲篇】关于DOS内核和NT内核
addkpfk1986的博客
11-07 1811
1."DOS内核"与NT内核都包含了那些版本?二者是什么关系?答:总体来说,Windows 2k之后的一般都是NT内核,而之前的大部分是"DOS内核"。 微软家族OS的特性主要取决于内核。"DOS内核"之所以加上引号,是因为Win 9x系列其实还依赖于DOS,而不像现在的win8系统那样只是一个附属工具,一个典型的证据就是Win 9x时代的蓝屏问题在2k之后几乎绝迹,究其原因主要是...
关于在纯dos上运行ntdos来分配盘符
dead_g的博客
05-30 1417
dos下面关于分区的一些东西
逆向-PE文件结构
写代码的小阿帆的博客
05-21 747
首先复习一下PE文件的结构: MS-DOSDOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
使用程序判断一个文件是否是有效的PE文件.pdf
12-24
使⽤程序判断⼀个⽂件是否是有效的PE⽂件 判断⼀个⽂件是否为有效的PE⽂件,判断2个字段: DOS头的e_magic字段是否为0x5A4D; NT头的Signature字段是否为0x00004550; 若都是的话则是⼀个有效的PE⽂件; VC6,单⽂档...
经典windows文件pe格式分析
10-08
PE文件格式最近好像炒得沸沸扬扬,由于我正在做一个这样的程序,索性将自己的心得写出来与大家同享。 PE文件头分两大部分: 1:DOS ‘MZ’ HEADER 2:IMAGE_NT_HEADERS 其中IMAGE_NT_HEADERS中包含 PE ...
pe_tree:Python模块,用于使用pefile和PyQt5在树视图中查看可移植可执行(PE文件。 还可与IDA Pro和Rekall一起使用以转储内存PE文件并重建导入
02-25
还可与和一起使用,以转储内存中的PE文件并重建导入。特征独立应用程序,IDAPython插件和Rekall插件支持Windows / Linux / Mac 彩虹PE比例图: PE结构,大小和文件位置的高级概述可以快速直观地比较PE样品在树形...
xPELister V3.0_文件PE信息管理工具
05-02
xPELister V3.0_文件PE信息管理工具介绍 支持DOS头部数据查看 支持NT头部数据查看 支持比较PE文件 支持区段信息查看 支持输出表信息查看
手动修改PE文件:删除Dos Stub
当我在写代码的时候我在写什么
11-05 2464
自己动手丰衣足食。前面说到Dos Stub是可以删除的,现在要说的不止删除Dos Stub,顺便把DosHeader跟NtHeader合并了。写这篇的时候我是编一个只用了一个MessageBoxA函数的程序。做了一些优化,把程序结构和代码都搞得非常简单,因为现在是手动修改,结构太复杂的话手工改不过来。下面开始。 1、删除DosStub并且合并DosHeader、NtHeader
PE文件学习--Dos头部
KOOKNUT的博客
03-23 463
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件的一种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第一部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
dos stub
weixin_39057744的博客
10-17 566
ASSUME CS:CODE,DS:DATA,ES:STACK STACK SEGMENT ;DB 8 DUP (?) STACK ENDS CODE SEGMENT push cs pop ds mov dx,0eh mov ah,09h int 21h MOV ax,4C01H INT 21H CODE ENDS DATA SEGMENT D...
NT 路径转换成dos路径
o330820350的专栏
05-10 2131
BOOL DosPathToNtPath(LPSTR pszDosPath, LPSTR pszNtPath)   {       CHAR           szDriveStr[500];       CHAR           szDrive[3];       CHAR           szDevName[100];       INT             cchDe
windows下 NT风格路径DOS风格路径转换
weixin_34187862的博客
03-07 2625
void test(); BOOLEAN DosPathToNtPathA(CHAR *FullDosPath, CHAR *FullNtPath); BOOLEAN NtPathToDosPathA(CHAR *FullNtPath, CHAR *FullDosPath); BOOLEAN DosPathToNtPathW(WCHAR *FullDosPath, WCHAR *FullNtPat...
PE文件解析(1):Dos头与NT
ylh的博客
10-30 821
什么是PE文件PE文件是在windows平台可执行的文件。包括:.exe(可执行程序),dll(动态链接库).sys(驱动程序)
010editor 如何修改pe文件的各个字段
最新发布
02-01
通过加载PE文件的模板,可以方便地查看和编辑PE文件的各个字段,比如DOS头、NT头、节表、导入表、导出表等。在010 Editor中,可以打开PE文件的模板并直接对各个字段进行修改,比如修改程序的入口点、修改节的属性、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值