pe文件ofPE文件头

最新推荐文章于 2024-07-10 17:42:39 发布

ThatAllOver

最新推荐文章于 2024-07-10 17:42:39 发布

阅读量362

点赞数

分类专栏：免杀技术文章标签： NT PE Header

本文链接：https://blog.csdn.net/zzy1448331580/article/details/83183788

版权

免杀技术专栏收录该内容

10 篇文章 0 订阅

订阅专栏

PE文件头在DOS Sub后面，起始标记为PE自缚，由MS-DOS的e-lfanew字段指向。

PE文件头的结构体。

typedef struct _IMAGE_NT_HEADERS
{
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_POTIONAL_HEADER32 OptionalHeader;
}IMAGE_NT_HEADERS32,*PUMAGE_NT_HEADERS32;

这里的每一个结构体成员都很重要。

当然需要找到pe文件头只需要 NT_Header=ImageBase+DOS_Header->e_lfanew;

结构体第一个成员是PE文件头的标识，值始终都是0x50450000，ASCII码值是"PE/0/0"，宏定义是IMAGE_NT_SIGNATURE。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ThatAllOver

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

PE文件格式总结 - DOS文件头、PE文件头、节表和表详解

dvlinker的技术专栏

11-28

1万+

PE文件格式总结 - DOS文件头、PE文件头、节表和表详解

D、Homework of PE 容斥原理

weixin_30565327的博客

04-25

https://scut.online/p/113 终于想懂了这个容斥，华工4月23号校赛，考虑总的所有情况，设1---n里面含有质数的个数为all，需要固定m个质数。那么有 totSum = C(all, m) * (n - m)!，就是在all个质数里面，任意选m个出来固定，剩下的全排。但是算多了，因为还有一些质数（不在那m个之内）也会被固定，而且，考虑样例 5 1， 1 ...

参与评论您还未登录，请先登录后发表或查看评论

PE文件解析

zhang14916的博客

11-22

4039

IMAGE_DOS_HEADER结构（DOS头部） typedef struct _IMAGE_DOS_HEADER { WORD e_magic; // MZ标志 WORD e_cblp; WORD e_cp; WORD e_crlc; WORD e_cparhdr; WORD ...

学PE文件结构之记笔记

YANG12345_6的博客

03-16

763

之前学过PE，但由于是只看的小甲鱼的视频，没有做笔记，后来就记忆模糊了。再重温一遍，做一下笔记。记忆更深刻一点。 PE PE(protable executable) 可移植的可执行文件 EXE和DLL文件之间的区别是语义上的，他们使用完全相同的PE格式。唯一的区别：用一个字段标识出EXE或DLL。 64位Windows，新的PE : PE32+。普通PE：PE32.PE32+没有任何新的结构加进去。 PE格式定义的主要地方位于头文件 winnt.h，头文件中几乎能找到关于PE文件的所有定

利用PE数据目录的导入表获取函数名及其地址

编程菜鸟---正在努力进阶

06-24

6750

PE文件是以64字节的DOS文件头开始的（IMAGE_DOS_HEADER)，接着是一段小DOS程序，然后是248字节的NT文件头（IMAGE_NT_HEADERS),NT的文件头位置由IMAGE_DOS_HEADER的e_lfanew给出！NT文件头的前4个字节是文件签名（“PE00"字符串），紧接着是20字节的IMAGE_FILE_HEADER结构，它的后面是224字节的IMAGE

2.2 PE结构：文件头详细解析

热门推荐

CSDN

09-04

1万+

PE结构是`Windows`系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置，就是真正的PE文件头的位置，该文件头是由`IMAGE_NT_HEAD

PE文件结构详解之头信息解析

meis27461的博客

06-03

1094

PE文件（Portable Executable File）是Windows上最常见的可执行文件，按文件后缀来说就是.exe.dll文件，还有一些其他的文件，例如.sys系统文件，不过最常见以及常用的就是.exe和.dll，在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置，例如程序的起始地址是0x01，e_lfanew的值是0xF0，那么新的PE头的位置就是0x01+0xF0。

PE文件（一）PE结构概述

2301_78838647的博客

04-18

1836

同一份文件在内存中和在硬盘中的内容是一样的，但是他们文件内存起始位置是不一样的，它们分节之间的空白区域大小是一样的，这似乎与我们之前所作的文件硬盘与内存分布图有所不同，这是由于对齐的机制。我们之前在找DOS头时，DOS头以0x000000e0结尾，指向了左侧地址e0的地方，从图中可知，e0的地方有5045，在最右侧有PE文字，这也正好说明了此处是pe文件真正开始的地方，即NP头开始，但这个e0并不是一直固定的。每一个节，都有一个对应的节表（图中块表）用于记录节的相关信息，如每一个节的概要性信息。

PE文件（九）导出表

最新发布

2301_78838647的博客

07-10

1254

解析此图：该PE文件以.def的方式自定义序号导出函数，定义了序号13、14、16、17、19的导出函数，那么Base的值应为13，那么序号为13的函数相对相对下标就是0，序号14的导出函数相对下标就是1，序号为15的导出函数虽然没有，但是会把位置空出来，定义地址值为NULL，即0x00000000，序号16的导出函数相对下标就是3…导出函数名称表RVA我们在硬盘数据找该表地址时要先转成FOA，这个地址指向的表记录了导出函数的名称字符串RVA首地址，而不是导出函数名称。//导出函数名称表RVA *

PE文件（三）节表

2301_78838647的博客

04-26

1074

Name数组的长度最大为8字节，如果定义节的名称为.text，由于.text对应的ASCII码分别为0x2E， 0x74， 0x65， 0x78，0x74，所以Name数组中的数据为2E 74 65 78 74 00 00 00，一共8字节。所有的节表一起记录了该.exe文件中所有的节的信息，每一个节都有对应的节表来存储信息，所有的节对应的节表组合在一起就构成了PE文件的节表结构。内存中的地址：节表在4GB内存中的地址要加上imagebase的值，才是节表真正在内存中的起始地址。

C语言怎么获得进程的PE文件信息

09-02

4. **文件头（IMAGE_FILE_HEADER）**：从`e_lfanew + sizeof(DWORD)`处读取，可以得到`myFileHeader`，其中`NumberOfSections`字段表示PE文件的节数量。 5. **节表（IMAGE_SECTION_HEADER）**：PE文件由若干个节...

PE文件解析器的原理（C语言代码）

01-16

PE文件的头部由DOS头和NT头组成。DOS头是一个小型的DOS程序，用于在不支持PE格式的系统中显示错误信息。NT头则包含PE签名（"PE\0\0"），以及两个重要的结构体：FileHeader和OptionalHeader。FileHeader提供了关于...

深入剖析PE文件 new

11-17

PE文件的基本结构包含了DOS头（DOS Header）、DOS Stub、PE头（PE Header）和多个节（Sections）。DOS头是PE文件的最开始部分，它由64字节组成，目的是为了保持对早期DOS操作系统的兼容性。DOS头中的一个重要字段是e...

VMProtect SDK使用日记

做一个快乐学习者

09-20

4760

首先是看懂接口 #pragma once #if defined(__APPLE__) || defined(__unix__) #define VMP_IMPORT #define VMP_API #define VMP_WCHAR unsigned short #else #define VMP_IMPORT __declspec(dllimport) #define VMP_API __stdcall #define VMP_WCHAR wchar_t #ifdef _WIN64 #pragma

反调试技术

做一个快乐学习者

05-18

1206

#include <windows.h> int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { HMODULE hModule = GetModuleHandleW(L"ntdll.dll"); if (!hM...

栈溢出攻击基础

做一个快乐学习者

10-25

1159

不知道有没有听说过缓冲区溢出，那什么是缓冲区溢出呢？缓冲区溢出就是在大缓冲区中的数据向小缓冲区复制的过程中，由于没有进行边界检查，从而导致数据从小缓冲区溢出而冲掉了相邻内存区域的其它数据。缓冲区溢出是很常见的内存错误，攻击者入侵系统利用缓冲区溢出几乎可以做任何事情，因为成功利用缓冲区溢出漏洞不仅可以修改内存中变量的数据，还可以劫持进程，执行恶意代码，获取主机控制权。我们要理解这一类攻击手法，那...

根据PEB判断是否被调试

做一个快乐学习者

05-29

546

PEB偏移0x2地方的BeginDebugged标志着当前程序是否被调试 #include <Windows.h> bool CheckDebug() { bool bDebug = false; _asm { push eax //在eax上操作就要先保存好eax的值 mov eax,dword ptr fs:[0x30] //获取PEB mov a...

逆向笔记(一)

做一个快乐学习者

10-20

426

1.main()函数的真正原型 int main(int argc,char *argv[],char *envp[]);不信可以查看MSDN。 2.程序会随着main()函数的结束而退出，所以会接近exit()函数。 3.可以用OllDbg的字符串搜索法快速找到main()函数。 4.可以用栈回溯法找到main()函数。 5.三个常用调用约定_cdecl，_fastcaol，_stdca...

PE文件的导出表解析

做一个快乐学习者

05-31

391

typedef struct _IMAGE_EXPORT_DIRECTORY { DWORD Characteristics;//保留，一直都是00000000 DWORD TimeDateStamp;//导出表创建的时间（GMT） WORD MajorVersion;//导出表的主版本号 WORD MinorVersion;//导出表的次版本号 DWORD ...