【pe-节表】

最新推荐文章于 2024-04-06 21:37:14 发布
最新推荐文章于 2024-04-06 21:37:14 发布
阅读量29 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880501/article/details/134804027
版权
本文介绍了PE文件中节表的结构,包括节表大小、节名称的提取方法,以及如何通过DOS+NT头和IMAGE_DOS_HEADER的e_lfanew来确定节表的位置和数量,关注了节在内存中的偏移和文件中的相对位置。
摘要由CSDN通过智能技术生成

节表的大小是 0x28个字节.也就是两行半(一行16字节),观看一行半可以得出节名称.节在内存中的偏移. 以及节数据在文件中的偏移.

确定节表数量: 节表数量在文件头中存放着.可以准确知道节表有多少个.
确定节表位置: DOS + NT头下面就是节表,

IMAGE_DOS_HEADER.e_lfanew  //文件头FOA
+ 4//PE文件标识
+ sizeof(IMAGE_FILE_HEADER) 
+sizeof(IMAGE_OPTIONAL_HEADER)
或者

IMAGE_DOS_HEADER.e_lfanew  //文件头FOA
+ 4//PE文件标识
+ sizeof(IMAGE_FILE_HEADER)  //文件头大小
+ pFileHeader->SizeOfOptionalHeader, //可选头大小
Orcinus p
关注
PE结构 节表
lygl35的博客
02-24 636
节表位置的计算:DOS头大小+标准PE头大小+标准PE头SizeofoftimHeader的值
PE文件结构学习02-PE节表
qq_43447375的博客
12-27 372
PE文件头 PE文件头是由IMAGE_NT_HEADERS结构定义的: IMAGE_NT_HEADERS STRUCT +0h DWORD Signature // PE文件标识 +4h IMAGE_FILE_HEADER // FileHeader +18h IMAGE_OPTIONAL_HEADER32 // OptionalHeader(可选PE头) IMAGE_NT_HEADERS ENDS PE文件头的第一个双字是一个标志(MZ),被定义为0000
PE知识复习之PE节表
weixin_30628801的博客
09-29 125
          PE知识复习之PE节表 一丶节表信息,PE两种状态.以及重要两个成员解析.   确定节表位置: DOS + NT头下面就是节表.   确定节表数量: 节表数量在文件头中存放着.可以准确知道节表有多少个.   节表是一个结构体数组.没一个节表表示了数据在哪,怎么存储. 下方是节的结构体 typedef struct _IMAGE_SECTION_HEADER {...
pe节表
Iamangle122的博客
12-14 556
doc头lfanew偏移,可以找到标准pe头,标准pe头结束就是可选pe头,可选pe头大小不确定。 怎么找节表:计算可选pe头的大小后,doc+标准pe+可选pe 标准节表内:SizeOfOptionalHeader可选pe头大小 节表:线性结构,多少个,在标准pe头的numberofSection(节)决定有多少个。 ... #define IMAGE_SIEZOF_SHORT_NA
PE-节表
z1041259928的博客
03-02 469
windowns.h下的定义 name:8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义 misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改 VirtualAddress:内存中的偏移地址,加上imagebase就是内存中真正的地址 SizeofRawData:节在文件中对齐后的大小 PointerToRawData 节区在文件中的偏移 Po...
PE节表介绍
penjie0418的专栏
01-10 1058
节表RVA(每个节表28位) +0 ==>节表名(8位) +8 ==>物理地址(4位) +C ==>真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般取后一个(4位) +10 ==>节区的RVA地址(4位) +14 ==>在文件中对齐后的尺寸(4位) +18 ==>在文件中的偏移量(4位) +1C ==>在OBJ文件中使用,重定位的偏移(4位) +20 ==>行号表的偏
pe-parse:原理轻巧的CC ++ PE解析器
05-12
遍历各节 遍历资源 从指定的虚拟地址读取字节 检索程序入口点 该接口在parser-library/parse.h定义。 dump-pe/main.cpp的程序是使用解析器库API转储有关PE文件信息的示例。 在内部,解析器库使用有限的缓冲区抽象...
PE-Scan v3查壳工具
01-23
3. **PE信息分析(PEp)**:PE-Scan v3还能提供有关PE文件格式的详细信息,如节区表、导出和导入函数、资源等,这些信息对于理解程序结构和功能很有帮助。 4. **高级扫描模式**:针对未知或复杂壳,PE-Scan v3的...
CheckPE.rar_Pe-file_infector_pe
09-22
从标签"pe-file_infector pe"我们可以进一步推测,内容将深入到PE文件的结构,特别是那些被恶意代码利用的部分,如节区(section)、导入表(Import Table)、出口表(Export Table)等,这些是恶意软件常篡改的地方...
checkPE.rar_Pe-file_infector_pe
09-22
深入探讨一下,PE文件结构包含了许多重要的部分,如DOS头、NT头、节区表、导入/导出表、资源表等。checkPE程序可能检查以下内容: 1. **DOS头**:这是PE文件的起点,包含了一个简短的DOS程序,允许在不支持PE格式的...
PE文件~节表
2514804004的博客
04-11 602
节表结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
PE解析节表
跃然实验室
06-10 450
//得到所有节的信息:节名,加载后地址,加载后大小,文件中地址,文件中大小 void CPe32 ::GetSectionInfo() { IMAGE_SECTION_HEADER * pPeSectionHeader = m_pPeSectionHeader; if (m_bSuccess) ...
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5476
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE结构的节表解析
qq_58405021的博客
12-01 765
PE结构的节表解析
手工解析PE(节表)
GNAIXGNAHZ的博客
06-03 297
手工解析PE节表
PE详解之区块表(节表)和区块(节)续(PE详解05)
永不放弃_浪子文---------------黑客文化
02-12 283
这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。 首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。 这里我们经过千辛万苦终于找到了我们的区块表了(当然将来我会教大家写一个自己的工具,让工具去找,现在让大家自己动手是为了增强感觉!),现在我们联系上一章节提到的区块表的结
2.4 PE结构:节表详细解析
CSDN
09-05 4558
节表(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息,是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件中的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
pe格式从入门到图形化显示(四)-节表
最新发布
Mrack的博客
04-06 1072
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE格式的节表(Section Table)是一个数组,它包含了PE文件中各个节(Section)的信息。每个节表项都是一个IMAGE_SECTION_HEADER结构体,它包含了关于节的名称、大小、属性等信息。
滴水--------------PE节表解析
clayoa的博客
12-19 829
上一篇文章我们说到PE头解析,我们这次继续解析节表 先学习一个新的类型【节表中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员表 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
PE文件与输入表免杀技术详解
- 数据目录:包含指向PE文件不同部分的指针,如导入表、导出表、资源表等。 - 节头:定义文件的各个区域,每个节可能包含代码、数据或其他特定信息。 - 节:实际的数据存储区域,每个节都有自己的名称和属性。 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值