PE结构学习(1)_认识PE文件

已于 2023-03-31 18:08:05 修改
阅读量594 收藏
点赞数
分类专栏: PE文件结构 文章标签: PE结构 学习笔记
于 2022-08-07 11:38:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/126208202
版权

认识PE文件

什么是PE文件

PE(Portable Executable)文件是Windows操作系统上的一种可执行文件格式。它包含了可执行代码、数据、资源和元数据,以及其他必要的信息,例如程序入口点、导入表、导出表和重定位表等等。PE文件是Windows操作系统中所有可执行文件的标准格式,包括应用程序、动态链接库(DLL)、驱动程序等等

可执行文件在不同的操作系统平台有不同的结构

  • Windows平台:PE(Portable Executable)
  • Linux平台:ELF(Executable and Linking Format)

常见的PE文件后缀名有EXE, DLL,SYS等


PE指纹

可以通过PE指纹来识别该文件是否为PE文件,首先用notepad打开此文件并查看其16进制格式,可以发现开头的ASCII码是"MZ",然后观察偏移量为3C的位置,其硬编码为F8,对应的ASCII码为?
请添加图片描述

然后再找到偏移量为F8的位置,发现一个5045,其对应的ASCII码为PE
请添加图片描述

以下是通过识别PE指纹来判断PE文件的python代码

import os

def is_pe_file(file_path):
    with open(file_path, 'rb') as f:
        # 读取DOS头的前两个字节,判断是否为MZ
        if f.read(2) != b'MZ':
            return False
        # 读取PE头的偏移量
        f.seek(0x3C)
        pe_offset = int.from_bytes(f.read(4), byteorder='little')  #int.from_bytes(bytes, byteorder)是一个Python内置函数,它将给定字节序列转换为一个整数。bytes参数是待转换的字节序列,byteorder参数指定了字节序,它可以是'little'或'big',分别表示小端序和大端序。在Windows平台上,PE文件的字节序是小端序,因此我们使用'little'作为byteorder参数
      
        # 定位到PE头的位置
        f.seek(pe_offset)
        # 判断PE头的前两个字节是否为PE
        if f.read(2) != b'PE':
            return False
        return True

# 示例用法
file_path = 'test.exe'
if is_pe_file(file_path):
    print(f"{file_path}是一个PE文件")
else:
    print(f"{file_path}不是一个PE文件")



PE结构大体

请添加图片描述

Henry404s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bind2File.rar_pe 捆绑_捆绑_文件捆绑器
09-23
1. **PE文件分析**:首先,需要解析输入的每一个PE文件,获取其头部信息(如MZ标志、PE标志、COFF头、NT头等)和节区信息(节区名称、大小、偏移等)。 2. **空间预留**:在主PE文件中,为每个待捆绑的PE文件预留...
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
pe文件结构 基础篇
weixin_50217210的博客
07-08 810
转自看雪学院
PE文件简介
热门推荐
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 1617
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1459
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
OEP.rar_OEP_Pe-file_infector
09-24
通过学习这些内容,我们可以深入理解PE文件结构,提升对Windows程序运行机制的认识,并具备对PE文件进行逆向工程和安全分析的能力。 总结来说,《OEP.rar_OEP_Pe-file_infector》是一个关于PE文件OEP获取的实践案例...
PE可执行文件格式概述
06-01
PE 文件格式的了解可以使读者对可执行文件结构有进一步的认识,可以对可执行程序进行加密、加壳和修改等。了解 PE 文件格式是静态分析安全人员必须掌握的内容,可以对可执行程序进行加密、加壳和修改等,黑客也...
windows_PE_COFF_文件结构描述(英文最新版)
11-13
### PE文件结构解析 #### DOS Header PE文件首先以一个DOS MZ header开始,这是为了兼容早期的DOS系统。然而,这个头的主要作用是包含一个指针,指向PE文件的真正入口——NT Headers。 #### NT Headers NT Headers...
PE文件导入表解析(C++)
05-01
通过阅读和理解这些源代码,我们可以学习如何在C++中处理PE文件结构,以及如何访问和解析导入表。 总结来说,解析PE文件的导入表是理解和调试Windows程序的关键技能。通过C++编程,我们可以直接操作文件的二进制...
易语言PE文件资源查看源码.zip易语言项目例子源码下载
03-23
1. PE文件结构:源码会涉及到PE文件头、节表、导出和导入表、资源目录等关键结构,这些都是PE文件解析的基础。 2. 资源解析:Windows程序中的资源如图标(.ico)、位图(.bmp)、字符串等都存储在特定的区域,源码...
PE文件结构的一个解释类以及获取所有的导入函数
11-20
美籍匈牙利科学家冯•诺依曼最新提出程序存储的思想,具体到研究PE文件格式,或许可以是运行程序所需的指令和数据是以怎样的组织结构存贮在文件的,在运行时程序是怎样被加载的,数据是怎样初始化的。
PE-文件格式详解(翻译版)
12-02
### PE文件格式详解 #### 一、PE文件格式概述 PE(Portable Executable)文件格式是一种由微软设计的...通过深入学习PE文件格式,我们不仅可以更好地编写和调试应用程序,还能提高对操作系统安全性的认识和应对能力。
易语言源码易语言PE插件注入源码.rar
03-30
通过分析和学习这个易语言PE插件注入源码,你可以深入理解易语言在系统级别操作的实现,同时对PE文件注入技术有更直观的认识。这对于提升你的编程技能,尤其是系统级编程和安全领域会有很大帮助。不过要注意,这些...
PE文件中资源修改(基于重构)
04-19
通过学习和分析这个源代码,可以进一步理解PE文件的内部结构和资源修改的技术细节。 总的来说,基于重构的PE资源修改是一项高级的逆向工程任务,需要深厚的编程基础和对PE文件格式的深入理解。对于软件开发者、逆向...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6401
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件解析
qq_38933606的博客
08-10 643
PE文件磁盘分布和解析
跟着王哥学逆向——PE文件详解篇(第一篇)
最新发布
qq_52642385的博客
03-12 2995
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
PE文件结构 安全分析与恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析
chenhao0568的专栏
02-01 1652
对于软件开发、安全分析、逆向工程等领域的专业人士来说尤其重要。PE文件格式是Windows操作系统中用于可执行文件、动态链接库(DLLs)、以及其他文件类型(如FON字体文件等)的标准格式。:开发者可以更好地理解自己的应用程序如何被操作系统加载和执行,以及如何与操作系统的其他部分交互。这对于性能优化、故障排查和高级功能实现(如动态加载模块)来说至关重要。:安全研究人员和恶意软件分析师需要了解PE文件结构,以便他们可以识别和分析潜在的恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值