PE文件解析-调试、版权与.NET信息(COM表)

最新推荐文章于 2022-05-02 10:31:24 发布
最新推荐文章于 2022-05-02 10:31:24 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: 文件解析 文章标签: PE文件解析 映像调试信息 版权信息 .NET信息 COM表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/85924227
版权
本文详细探讨了PE文件的三个关键方面:一、映像调试信息,这些信息通常位于'.debug'区段,由IMAGE_DEBUG_DIRECTORY结构体数组描述;二、版权信息,通过IMAGE_DATA_DIRECTORY的第8成员指向IMAGE_ARCHITECTURE_HEADER结构体;三、.NET信息,即COM表,由IMAGE_DATA_DIRECTORY的第15成员指向IMAGE_COR20_HEADER结构,揭示了PE文件中的.NET元数据。
摘要由CSDN通过智能技术生成

一、映像调试信息

    PE文件头可选映像头中数据目录表的第7成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]指向映像调试信息,它保存在PE文件中,通常在".debug"区段。

  映像调试信息是一个IMAGE_DEBUG_DIRECTORY结构体数组,该结构体定义如下:

typedef struct _IMAGE_DEBUG_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;     //创建时间(GMT时间)
    WORD    MajorVersion;      //主版本号
    WORD    MinorVersion;      //次版本号
    DWORD   Type;              //调试类型
    DWORD   SizeOfData;        //调试数据大小
    DWORD   AddressOfRawData;  //调试数据RVA地址
    DWORD   PointerToRawData;  //调试数据文件地址
} IMAGE_DEBUG_DIRECTORY, *PIMAGE_DEBUG_DIRECTORY;

二、版权信息

    PE文件头可选映像头中数据目录表的第8成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_ARCHITECTURE]指向版权信息。版权信息结构体是IMAGE_ARCHITECTURE_HEADER,它的定义如下:

typedef struct _ImageArchitectureHeader {
    unsigned int AmaskValue:
最低0.47元/天 解锁文章
zhyulo
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PE文件结构详解(三)PE导出
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
PE文件格式学习(十):版权或特殊结构(CopyrightOrArchitectureSpecificData)
tutucoo
11-07 219
微软官方文档说这个是保留的,必须为0
PE文件格式学习(九):调试(DebugDirectory)
tutucoo
11-07 1412
微软官方参考文档:https://docs.microsoft.com/en-us/windows/desktop/debug/pe-format#debug-type
php pe文件版本号,小悠PE文件FileVersionInfo类,轻松获取PE文件版本信息
weixin_36352432的博客
03-18 379
本文出自悠然品鉴小悠,转载请注明出处:http://www.youranshare.com/codeorg/sid/138.html今天在整一个类似于windows任务管理器的东西,其中一个功能就是需要获取到exe,dll这些PE文件的版本信息和描述信息,小悠整了老半天终于还是整出来了,为了以后使用放便,我就做成了一个类给封装了起来,这里给大家分享一下吧.我封装的这个类叫做CPEFileVersi...
windows系统平台下的PE文件格式和数据定义详解(附带详细高清大图)
关注互联网安全的小虾米一枚
11-06 5407
PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。 PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式。Portable 是指对于不同的 Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CP
可执行文件结构:PE文件结构讲解
qq_46145027的博客
05-02 2405
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
.Net PE
tangyanzhi1111的专栏
11-15 319
// ConsoleApplication26.cpp: 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> typedef ULONG_PTR TADDR; #define VAL16(x) x #define VAL32(x) x #define DPTR(type) type* #...
- 取文件版本信息及其模块.rar
04-03
对于二进制文件,如`.dll`或`.exe`,可能需要使用专门的库如`pefile`来解析PE(Portable Executable)头信息,其中包含了版本数据。 在Java中,`java.io.File`类提供了文件的基本信息,而Maven或Gradle等构建工具则...
PE文件解析(C#)
06-28
.NET框架中的元数据是与PE文件解析密切相关的概念。在C#编译后,源代码会被转换为IL(Intermediate Language),并包含元数据信息,如类型定义、方法、属性、事件等。这些元数据存储在PE文件的元数据区域中,可以...
PE文件格式剖析——解剖PE格式文件
10-25
紧跟在DOS头之后的是NT头,这是一个关键的结构,它包含了解析PE文件所需的重要信息。NT头包括以下部分: - **签名 (Signature)**:固定值`"PE\0\0"`,用于确认文件是否为有效的PE文件。 - **文件头 (File Header)**...
商业编程-源码-从可执行文件中读取版本信息.zip
06-22
在IT行业中,从可执行文件中读取版本信息是一项常见的任务,特别是在软件开发、调试以及自动化部署等场景下。这个压缩包"商业编程-源码-从可执行文件中读取版本信息.zip"包含了实现这一功能的相关源码,可能是用某种...
WinDump PE文件读取打开分析程源码(Delphi).rar
07-10
5. **其他元数据**:可能还会解析调试信息、安全特性等。 这个源码项目对于学习Delphi编程、PE文件格式解析,以及如何在没有第三方库的情况下实现这样的功能具有很高的教育价值。通过分析和理解这段代码,开发者...
计算机程序编译过程,程序编译过程
weixin_33048525的博客
07-14 330
相对虚拟地址在可执行文件中,许多地方都需要被指定一个在内存中的地址。例如在使用全局变量时需要它的地址。PE文件可以被加载到进程地址空间中的任何地方。虽然它有一个首选地址,但你却不能依赖可执行文件一定会被加载到那个地址。因此就需要按一定方式指定地址,使它们并不依赖于可执行文件的加载地址。为了避免在PE文件中硬编码内存地址,因此就使用了RVA。RVA只是一个相对于PE文件在内存中的加载位置的偏移。例如...
PE结构-3
Starr
07-05 400
PE结构-3 文章目录PE结构-39. 异常10. 安全11. 调试 9. 异常 PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。 平台不同,异常结构也不同。x64的异常结构如下: typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY { DWORD BeginAddress;...
PE文件格式学习(十七):COM(COMRuntimeDescriptor)
tutucoo
11-08 324
暂无
MS 调试信息分析(一)
03-15 1801
首先我在这里说明,MS 调试信息的支持其实MS 已经提供了DBGhelp和imagehel 这两个库,当我们如果想更深入的了解调试信息就必须来了解调试文件。我在这里只讨论DBG文件和PDB文件,由于其中的很多信息,MS并没有公开,我也只属于探索阶段,所以错误再所难免。  一般的调式信息由MS提供的一般由两个文件,DBG文件和PDB文件,在NT4。0中没有PDB文件,PDB文件中的信息被保存在DBG
再探.NETPE文件结构(安全篇)
weixin_30678821的博客
11-10 261
一、开篇   首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为毕竟是有些破解类的东西。但是我觉得从这篇文章相反的是能够带来一些启发。大家应该都...
位图文件解析-位图(bmp)、图标(ico)与光标(cur)
热门推荐
zhyulo的博客
01-06 3万+
一、位图(bmp) 1.位图简介     BMP(全称Bitmap)是Windows操作系统中的标准图像文件格式,可以分成两类:设备相关位图(DDB)和设备无关位图(DIB),使用非常广。它采用位映射存储格式,除了图像深度可选以外,不采用其他任何压缩,因此,BMP文件所占用的空间很大。BMP文件的图像深度可选lbit、4bit、8bit及24bit。BMP文件存储数据时,图像的扫描方式是按从左...
Windbg深度解析:软件调试PE文件与内存管理详解
首先,PE文件(Portable Executable)是Windows系统的可执行文件格式,它包含了程序的内存布局、入口地址、以及函数调用的细节。程序的内存分布被分为几个区域: 1. **堆(Heap)**:动态数据区的一部分,用于存储...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值