PE 文件总体结构概述

最新推荐文章于 2022-07-11 07:36:00 发布
最新推荐文章于 2022-07-11 07:36:00 发布
阅读量310 收藏
点赞数
分类专栏: PE MFC/DLL win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yu_sn0w/article/details/104691816
版权
win32 同时被 3 个专栏收录
38 篇文章 0 订阅
订阅专栏
MFC/DLL
17 篇文章 0 订阅
订阅专栏
PE
6 篇文章 0 订阅
订阅专栏

前面多篇文章讲了PE文件格式,导入导出表的解析。
这里新开一篇来作为总结,或者说作为最开始的概述。
本文以 kernel32.dll 为例。

使用工具 PEView.exe 查看如下:
在这里插入图片描述
可以看到其主要分成几个部分:
1: Dos 头,IMAGFE_DOS_HEADER 长度 0x40
2: Dos Stub 。
3: NT Header 起始位置由 Dos头中最后一个字段指定。
4: 连续几个区段信息入,图中有五个区段
5: 连续区段具体信息,图中有五个
6: 签名信息(可选的,没有签名就没有)

1. DOS 头

在这里插入图片描述

2. DOS Sub

在这里插入图片描述

3. NT Header

在这里插入图片描述
NT Header 分三部分

第一部分是 Signature。四个字节,就是 PE\0\0

在这里插入图片描述

第二部分是 File Header,工具直接可以看到各项的值

在这里插入图片描述

第三部分 Option Header

在这里插入图片描述
其中第三部分中的最后一部分是目录表信息(一共最多16个):
在这里插入图片描述
导入导出表基本信息就是从这里开始找的。

4.连续的区段信息

在这里插入图片描述

5.具体的区段信息

在这里插入图片描述

6. 签名信息

在这里插入图片描述

如果只是分析数据,而不是要了解数据怎么具体对应的,用该工具直接查看很方便。

yu_sn0w
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构详解
08-25
主要介绍了PE文件结构详解,需要的朋友可以参考下
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件结构
南宫封清的博客
04-19 3152
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 5836
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构图-清晰
01-10
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
PE文件结构详细图pdf
08-17
PE文件结构详细图pdf
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想...
经典的pe工具
01-27
一个非常好用的pe查看器 非常详细,也特别的实用,希望大家能够喜欢
最小最干净的WinPE
03-04
最小最干净的WinPE,本人使用虚拟机亲测可用。可以使用烧写软件写入U盘作为应急盘。内置ghost,虚拟光驱,分区表管理器等。
PE文件结构(含图片解释)
01-07
PE文件结构的解释,且里面有一张PE结构的完整图片,十分容易理解
PE资源分析
01-08
PE资源分析,用于分析可执行文件里的资源。不要分,只为共享。
PE文件结构图,很详细,方便大家下载
08-21
很方便查看的PE文件结构图,看起来很方便 很方便查看的PE文件结构图,看起来很方便
windows系统PE文件结构简述以及w应用程序与控制台程序的区别
面条郎
09-06 1572
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件结构一般来说如
PE结构&整体叙述
寻梦&之璐
01-31 5192
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,节在内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的节在文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字节,十六进制是200h 处于节约资源考虑,操作系统允许节在内存和文件
PE系统下载
10-05
用于U盘安装系统,修复系统,磁盘分区,小巧简便。
pe结构 pdf文件
最新发布
11-10
PE结构(Portable Executable Structure)是一种Windows操作系统下的可执行文件格式,常用于存储和加载应用程序、动态链接库和驱动程序等可执行文件。而PDF(Portable Document Format)是一种跨平台的文档格式,用于显示和打印独立于软件、硬件和操作系统的文件PE结构和PDF文件在某些方面具有相似之处。首先,它们都是可移植的,即可以在不同的操作系统和计算机上使用。无论是PE结构的可执行文件,还是PDF文件的文档,都可以在多个平台上进行读取和执行。 其次,它们都使用了特定的文件结构PE结构通过部信息、代码段、数据段、导出表、导入表等部分来组织和存储可执行代码和数据。而PDF文件通过文件、文档信息、页面内容、字体信息等部分来保存和展示文档的内容。 最后,它们都支持一定程度的可编辑性。PE结构可以通过调试器、反汇编等工具进行调试和修改,以实现特定的功能需求。PDF文件可以使用编辑工具对文本、图片等元素进行修改和更新。 然而,PE结构和PDF文件也有一些明显的差异。首先,PE结构主要用于存储可执行代码和数据,而PDF文件主要用于存储文档内容。其次,PE结构具有更强的可执行性,可以在系统级别上执行代码,而PDF文件主要用于显示和打印文档,不具备直接执行代码的功能。 总之,PE结构和PDF文件是两种不同的文件格式,分别用于存储和加载可执行代码和数据,以及显示和打印文档内容。它们在某些方面具有相似之处,但也有一些明显的差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值