《逆向工程核心原理》学习笔记4 PE文件学习——PE头总结

最新推荐文章于 2022-05-04 10:15:39 发布
最新推荐文章于 2022-05-04 10:15:39 发布
阅读量315 收藏
点赞数 2
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzaxiloveyou/article/details/104329885
版权

《逆向工程核心原理》学习笔记4

PE文件学习——PE头总结

1.DOS头

typedef struct _IMAGE_DOS_HEADER   //DOS头
{
WORD e_magic;       //DOS signature :4D5A ("MZ",是确定的值,
                   被称为DOS签名,如果值被改变,程序无法运行)
WORD e_cblp;
WORD e_cp;
WORD e_crlc;
WORD e_cparhdr;
WORD e_minalloc;
WORD e_maxalloc;
WORD e_ss;
WORD e_sp;
WORD e_csum;
WORD e_ip;
WORD e_cs;NT
WORD e_lfarlc;
WORD e_ovno;
WORD e_res[4];
WORD e_oemid;
WORD e_oeminfo;
WORD e_res2[10];
WORD e_lfanew;  //NT头的偏移,offset to NT header,修改后程序
                无法正常运行
} IMAGE_DOS_HEADER,  *PIMAGE_DOS_HEADER;

2.DOS存根
由代码和数据混合而成,在DOS环境下运行,可以用debug.exe运行(window10下用DOSBOX+debug)。

3.NT头

typedef struct _IMAGE_NT_HEADERS       //NT头
{
DWORD Signature;                       //签名结构体,值为50450000h,即"PE00"
IMAGE_FILE_HEADER FileHeader;          //文件头
IMAGE_OPTIONAL_HEADER32
最低0.47元/天 解锁文章
EloflyS
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PE总结7---PE文件结构NT之数据目录表 IMAGE_DATA_DIRECTORY
oBuYiSeng的博客
12-09 6802
IMAGE_DATA_DIRCTORY结构如下: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //相对虚拟地址 DWORD Size;      //大小 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;   data directory数据目录在WINNT.H中定义为
关于逆向工程的一些心得
autofei的专栏
11-13 9403
【什么是软件的逆向工程】很几个朋友留言说这个是逆向工程么,在我看来什么是逆向工程本身是仁者见仁,智者见智的。我参考了一下wikipedia【4】,摘录如下: Reverse engineering of software The term reverse engineering as applied to software meansdifferent things to
逆向工程核心原理》第13章——PE文件格式(1):PE
diamond_biu的博客
12-05 716
介绍 本章将详细讲解WIndows操作系统PE(Portable Executable)文件格式相关知识。同时整理有关进程,内存,DLL等的内容。 PE是指32位可执行文件,也称PE32。64位可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。 PE文件格式 PE文件种类如下: 种类 主扩展名 可执行系列 exe scr 库系列 dll ocx cpl drv 驱动程序系列 sys vxd 对象文件系列 obj 严格来讲,obj文件之外的所有文件都是.
逆向分析学习笔记--PE文件加载流程
王二娃的生活的博客
10-07 2345
一、WIN32PE加载流程(参考《软件保护及分析技术》) win32程序一般是由其他程序启动生成的,启动的顺序一般为: 1、创建进程CreateProcessA或CreateProcessA,这两个函数在其内部调用了又调用了NtCreateUserProcess,从这里开始进程就已经创建 2、内核调用NtCreateUserProcess后,会根据传递过来的参数来检查参数中指定的程序状态和文件
滴水三期:day34.2-数据目录
Edimade的博客
05-04 924
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE格式详解(四)
LewisCheng的专栏
08-31 1636
          特地把Optional header放一篇文章,是因为它比较复杂与庞大,也因为它比较重要。         老样子,先是IMAGE_OPTIONAL_HEADER结构:typedef struct _IMAGE_OPTIONAL_HEADER {    WORD Magic;                     // 又是Magic    BYTE Ma
秦万强PE文件学习笔记.pdf
06-06
秦万强PE文件学习笔记.pdf
Python学习笔记——大数据之SPARK核心
01-27
【Python学习笔记——大数据之SPARK核心】 Spark作为大数据处理框架的核心在于其Resilient Distributed Datasets(RDD),这是一种弹性分布式数据集。RDD是Spark设计的基石,它将大量数据分布在多台机器上,可以...
详解iOS学习笔记(十七)——文件操作(NSFileManager)
01-05
iOS的沙盒机制,应用只能访问自己应用目录下的文件。iOS不像Android,没有SD卡概念,不能直接访问图像、视频等内容。iOS应用产生的内容,如图像、文件、缓存内容等都必须存储在自己的沙盒内。默认情况下,每个沙盒...
java学习笔记总结
04-02
这份“java学习笔记总结”涵盖了作者在深入学习Java过程中积累的知识点和实践经验,旨在帮助读者理解和掌握Java的核心概念。 首先,Java的基础部分包括语法、变量、数据类型、运算符和流程控制。Java支持八种基本...
逆向工程核心原理学习笔记7 UPack加壳
EloflyS的博客
03-01 1247
逆向工程核心原理学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
文件 偏移 基址_[PE](3)PE文件部解析
weixin_36406678的博客
12-16 408
一、DOSMZ首先是IMAGE_DOS_HEADER部,字段后面的偏移是基于IMAGE_DOS_HEADER的typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; 0000h // Magic number //EXE...
PE文件结构 - 数据目录表学习
bcbobo21cn的专栏
03-20 1643
数据目录表,是一个结构体数组。数组里的每个元素对应一个数据表。通常有16个。 数组每个元素都是一个结构体,结构体如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 数据表的起始虚拟地址 DWORD Size;// 数据表大小 }IMAGE_DATA_DIRECTORY,*IMAGE_DATA_DIRECTORY 16个数据表依次如下: 导出表、导入表、资源表、异常处理表、安全表、...
小甲鱼 OllyDbg 教程系列 (二) :从一个简单的实例来了解PE文件
freeking101的博客
11-06 1524
小甲鱼视频讲解:https://www.bilibili.com/video/av6889190?p=6https://www.bilibili.com/video/av6889190?p=7 从一个简单的实例来了解PE文件:https://www.freebuf.com/articles/system/86596.htmlhttps://blog.csdn.net/billvsme/a...
linux花指令,PE伪装器[花指令添加器]
weixin_30546683的博客
05-12 285
作者:Fi7ke这个是修改PE骗过PEID的小工具。也就是大家通常所说的给程序添加花指令。原理非常简单,就是给EXE文件加一个PE,然后写我们的“花指令”。如果你读懂过jingtao的“谈Delphi编程中流的应用”那篇文章的话。相信对这段代码不会陌生,因为这基本原理是一样的。只是代码中有几个数据结构可能是平时极少用到的,都是用来存放PE结构的变量。大家可以参考PE结构方面的资料。(其实看名字...
windows PE文件格式笔记(二)RVAToFOV
一位非著名不专业的Re选手
12-11 780
什么是RVA,FOV RVA是相对虚拟地址,FOV是文件偏移 由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA. 在PE格式中查看对齐粒度 PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment 他们在PE扩展中可以找到,PE扩展的结构体: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5370
PE Header 是PE相关结构NT映像(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE总结6---PE文件结构NT之扩展--IMAGE_OPTIONAL_HEADER
oBuYiSeng的博客
12-09 2134
IMAGE_OPTIONAL_HEADER结构,如下: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) BYTE MajorLinkerVersion; // 链接程序的主版
秦万强PE文件系统详解与学习笔记概览
通过这份笔记,读者可以了解到PE文件的内部构造,这对于逆向工程、恶意软件分析、系统安全和软件开发等领域具有实用价值。秦万强强调所有资料免费共享,但也提醒了版权问题,表示若发现侵权会立即删除。整个学习资料...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值