PE结构学习(2)_PE结构的组成

最新推荐文章于 2023-09-04 15:55:06 发布
最新推荐文章于 2023-09-04 15:55:06 发布
阅读量323 收藏 1
点赞数
分类专栏: PE文件结构 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/126210070
版权

PE结构的组成

PE结构概述图

由下图可得,PE文件主要分为四部分,分别有DOS部分、PE文件头、节表以及节数据

请添加图片描述


DOS部分

DOS MZ文件头

DOS文件头结构体代码一共有64字节,最后一个成员指向pe头

在以下结构体代码中的成员只需记住两个,最开始的和最末尾的成员

e_magic和e_lfanew是构成PE指纹的重要成员,不能被修改

typedef struct _IMAGE_DOS_HEADER {      
    WORD   e_magic;                     //通常为"MZ"
    WORD   e_cblp;                      
    WORD   e_cp;                        
    WORD   e_crlc;                      
    WORD   e_cparhdr;                   
    WORD   e_minalloc;                  
    WORD   e_maxalloc;                  
    WORD   e_ss;                        
    WORD   e_sp;                        
    WORD   e_csum;                      
    WORD   e_ip;                        
    WORD   e_cs;                        
    WORD   e_lfarlc;                    
    WORD   e_ovno;                      
    WORD   e_res[4];                    
    WORD   e_oemid;                     
    WORD   e_oeminfo;                   
    WORD   e_res2[10];                  
    LONG   e_lfanew;                    // 指向PE头的指针
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

请添加图片描述

DOS块

又称DOS Sub, 其大小不确定, 可以随意填充垃圾数据或者恶意代码


PE文件头(NT头)

PE头又分为标识PE头、标准PE头、扩展PE头

PE文件一些重要信息通常存储在标准PE头和扩展PE头中

如以下代码所示PE文件头结构体,分别是32位与64位的

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;  //标识PE头,占2字节
    IMAGE_FILE_HEADER FileHeader;  //标准PE头,占20字节
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;  //扩展PE头,占224字节
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

标识PE头

标识PE头占2个字节,且不能被修改
请添加图片描述

标准PE头

标准PE头占20个字节,其结构体如下代码所示

typedef struct _IMAGE_FILE_HEADER {
  	WORD    Machine;  //决定能运行在什么样的cpu上,若值为0则表示能任意cpu运行;值为14C表示能在intel386及后续版本;值为8664能运行在x64cpu上。因此可以用来判断程序是32位还是64位的
    
    WORD    NumberOfSections;  //表示当前节的数量
    
    DWORD   TimeDateStamp;  //编译器填写的时间戳,与文件创建或修改时间无关
    
    DWORD   PointerToSymbolTable;  //与调试相关
    
    DWORD   NumberOfSymbols;  //与调试相关
    
    WORD    SizeOfOptionalHeader; //扩展PE头的大小,一般32位为E0,64位为F0
    
    WORD    Characteristics;  //文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

扩展PE头

扩展PE头占224个字节

以下结构体成员中有几个成员要重点注意

如果一个可执行文件它的dos部分+pe头+节表的共同大小为332,其FileAlignment(文件对齐)的值为200, 那么SizeOfHeaders的值应该为文件对齐的整数倍,所以SizeOfHeaders的值为400

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16
typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;  //32位的值为10B,64位的值为20B
    BYTE    MajorLinkerVersion;  
    BYTE    MinorLinkerVersion;  
    DWORD   SizeOfCode;   //所有代码节的总和
    DWORD   SizeOfInitializedData;  //初始化数据节的大小
    DWORD   SizeOfUninitializedData;  //未初始化节的大小
    DWORD   AddressOfEntryPoint;  //程序入口
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    DWORD   ImageBase;  //内存镜像基址
    DWORD   SectionAlignment;  //内存对齐
    DWORD   FileAlignment;  //文件对齐 
    WORD    MajorOperatingSystemVersion; 
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;  //内存中整个PE文件映射的尺寸,可比实际值大,必须是内存对齐的整数倍
    DWORD   SizeOfHeaders;   //所有头+节表按照文件对齐后的大小,否则加载会出错
    DWORD   CheckSum;  //校验和,用来判断文件是否被修改
    WORD    Subsystem;  //子系统 驱动程序(1) 图形界面(2) 控制台或dll(3)
    WORD    DllCharacteristics;  //文件特效,并非针对dll文件 
    DWORD   SizeOfStackReserve;  //初始化时保留栈的大小
    DWORD   SizeOfStackCommit;  //初始化时实际提交的大小
    DWORD   SizeOfHeapReserve;  //初始化时保留堆的大小
    DWORD   SizeOfHeapCommit;  //初始化时实际提交的大小
    DWORD   LoaderFlags;  //调试相关
    DWORD   NumberOfRvaAndSizes;  //目录项数目
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

节表

PE文件中所有节的属性都定义在节表里面

节表是由一系列IMAGE_SECTION_HEADER结构的元素组成的结构体数组, 每个元素占40个字节

以下是IMAGE_SECTION_HEADER结构体代码

#define IMAGE_SIZEOF_SHORT_NAME  8
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //ASCII字符串,当前节的名字
    union {
            DWORD   PhysicalAddress;  
            DWORD   VirtualSize;
    } Misc; //当前节实际的大小(内存未对齐)
    DWORD   VirtualAddress;  //节在内存中的偏移地址(真正的地址需加上Imagebase)
    DWORD   SizeOfRawData;  //节在文件对齐后的大小
    DWORD   PointerToRawData;  //节在文件中的偏移地址
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;  //节的属性,涉及到此节是否可读可写可执行
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
Henry404s
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构所有结构体
08-31
完整的PE结构图,包含所有想干结构体,任何底层人员需熟记的结构.....
PE文件结构详解
08-25
DOSPE文件的前64字节,是PE文件结构的基本组成部分。 PE文件 PEPE文件的核心部分,包含了可执行文件的主要信息,例如入口点、代码段、数据段等。PE也是PE文件结构的基本组成部分。 节表 节表PE...
WINDOWS+PE权威指南读书笔记(2)
沐一 · 林 的博客
09-27 219
PE文件结构 PE文件和数据结构简单理解: 简单PE文件结构: 在 PE 格式中,每一个大的部分的对齐方式就是按照 200h 大小对齐的。 从文件开始到 0x03ff偏移处为 PE部信息,其中记录了整个 PE 文件的结构。 从偏移地址 0x0400 开始的 200h字节为指令字节码即代码段部分。 从偏移 0x0600 处开始的 200h 字节为程序中引入的函数描述部分,这些描述主要是为了让操作系统能在装载 PE 文件的同时,将相关的动态链接库也装入进程地址空间,实现代码的重用
PE结构体
weixin_43754657的博客
12-11 404
PE结构
PE文件结构详解 --(完整版)
热门推荐
freeking101的博客
11-02 3万+
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/details/78859214 PE...
PE文件结构体总汇
pjz969的专栏
02-26 699
PE文件结构体总汇 ①:IMAGE_DOS_HEADER STRUCT 【M_DOS部 共64字节】 { +00 h WORD e_magic // DOS可执行文件标记 MZ(4Dh 5Ah) +02 h WORD e_cblp ; Bytes on last page of file +04 h WORD e_cp ; Pages in file
PE 结构解析
°Destiny
05-16 252
取之网络,还于网络,请大家多多指点,多数都是在网上看到的,手抄不易,多谢! PE文件是什么? PE(Protable Execute) 是Windows下可执行的文件,常见有DLL(动态库)Exe(可直接运行的程序)OCX(络,还于网络,请大家多多指点,多数都是在网上看到的,手抄不易,多谢! PE文件是什么?PE(Protable Execute) 是Windows下可执行的文件,常见有DLL(动态库)Exe(可直接运行的程序)OCX(组件)SYS(驱动程序)等…,一个文件是否是PE文件与其扩展名无关,PE
PEDump.rar_PEDUMP._delphi pe_pe delphi_pedump_pe结构
09-14
2. **PE(COFF标)**:接着是PE标志,标识文件为PE格式。COFF(Common Object File Format)标包含了文件类型信息、目标机器类型、节区表等元数据。 3. **节区(Sections)**:PE文件的主体由一系列的节区...
pe.rar_PE__pe_pe文件实例
09-14
本分析例子旨在深入理解PE文件的结构和功能,通过提供的压缩包文件,我们可以研究PE文件的不同组成部分。 1. **PE文件结构** PE文件由多个节区(Sections)组成,每个节区包含特定类型的数据,如代码、数据或资源...
高清, PE结构.pdf
05-10
PE结构.pdf......................................................................................
PE文件结构详解.pdf
03-23
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。
PE文件结构图,很详细,方便大家下载
08-21
很方便查看的PE文件结构图,看起来很方便 很方便查看的PE文件结构图,看起来很方便
PE结构查看.rar
04-05
学习PE结构对于软件逆向工程、病毒分析、系统编程以及安全研究等领域都至关重要。掌握这部分知识能帮助我们更好地理解和修改Windows程序,提高解决问题的能力。而分析源码则提供了实践经验,加深理论理解,提升编程...
PE文件结构
南宫封清的博客
04-19 3714
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
PE结构详解
whl0071的专栏
02-20 2552
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件 3.1 DOSPE文件签名的偏移地址就是大小) 3.2 NT(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE文件常用结构体
abns44296的博客
03-05 377
  Dos结构: typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of f...
2.2 PE结构:文件详细解析
最新发布
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOSPE文件开的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件的位置,该文件是由`IMAGE_NT_HEAD
小甲鱼PE结构详解:从IMAGE_DOS_HEADER到理解PE文件
"小甲鱼PE结构详解课件.pdf 是一份由知名讲师小甲鱼制作的教育材料,专注于介绍PE(Portable Executable)结构,适合初学者。课件结合了他在B站上的加密系列视频教程,帮助理解PE文件格式的基础知识,包括IMAGE_DOS_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值