pe文件of映像文件头

最新推荐文章于 2022-07-20 11:13:57 发布
最新推荐文章于 2022-07-20 11:13:57 发布
阅读量261 收藏
点赞数
分类专栏: 免杀技术 文章标签: FILE PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/83183962
版权 
typedef struct _IMAGE_FILE_HEADER {
USHORT Machine;//运行平台
USHORT NumberOfSections;//区段数量
ULONG TimeDateStamp;//文件创建时间
ULONG PointerToSymbolTable;//符号表指针
ULONG NumberOfSymbols;//符号表数量
USHORT SizeOfOptionalHeader;//扩展头大小
USHORT Characteristics;//文件属性
}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;

结构体的第一个成员说明CPU的类型。需要了解的话看win32 sdk的宏定义。

结构体的第三个成员使用的是格林尼治时间(GMT)计算的秒数。

结构体最后一个成员说明这个PE文件的属性,EXE文件是0x010f,DLL文件是0x0210。常用的属性有:

  1. 0x0002,IMAGE_FILE_EXECUTABLE_IMAGE,文件可执行
  2. 0x0004,IMAGE_FILE_LINE_NUMS_STRIPPED,不包含行号信息
  3. 0x0100,IMAGE_FILE_32BIT_MACHINE,运行于32位平台
  4. 0x0400,IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP,如果文件在可移动存储介质里,则复制到交换区运行
  5. 0x0800,IMAGE_FILE_NET_RUN_FROM_SWAP,如果文件在网络存储介质里,则复制到交换区中运行
  6. 0x1000,IMAGE_FILE_SYSTEM,系统文件
  7. 0x2000,IMAGE_FILE_DLL,DLL文件

 

ThatAllOver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
创建自定义 Windows PE
Macro Yuan的专栏
12-07 1487
创建自定义 Windows PE 像 发布时间: 2009年10月 更新时间: 2009年10月 应用到: Windows 7, Windows Server 2008 R2 本操作实例介绍了如何创建自定义的 Windows(R) PE 像。用于自定义 Windows PE 3.0 的主要工具是部署像服务和管理 (DISM),它是一个命令行工具。创建自定义像后,可以将像部署
创建自定义 Windows PE 像的过程
子曰小玖的博客
04-30 1839
一、准备 到微软下载AIK,并安装。我用的是6001.18000.080118-1840-kb3aik_cn.iso 二、创建自定义 Windows PE 像的过程 0、使用copype.cmd创建本地 Windows PE 构建环境 copype.cmd x86 c:\winpe_x86 1、使用 ImageX 将基本像 (Winpe.wim) 应用到本地共享目录。例如, ...
PE文件结构详解
神棍之路
07-20 9881
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际像地址减PE文件所要求的像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件PE像尺寸详解
e1135281874的专栏
12-25 2763
pe像就是pe文件加载到内存中的总尺寸,大部分情况下(也可以认为始终就是这样,因为没有资料说必须是这样,但经过试验发现总是为一固定值。为了此文的严谨性,此处用了“大部分情况下”)这个尺寸是以4096字节对其的,这取决于windows的内存机制,内存页的大小总是4096字节。这种情况在磁盘文件中也有所表现,我们可以在磁盘中新建一个txt文件,在里面写入一个字符“a” 并保存。这时我们查看一下此文件
PE文件区段.rar
04-06
在易语言中处理PE文件,可以使用系统提供的PE操作函数,如`读取文件`、`读取PE`等,实现对PE文件区段的读取。 5. **源码分析**:压缩包中的“易语言取PE文件区段源码”很可能是用易语言编写的代码示例,用于演示...
C语言怎么获得进程的PE文件信息
09-02
4. **文件(IMAGE_FILE_HEADER)**:从`e_lfanew + sizeof(DWORD)`处读取,可以得到`myFileHeader`,其中`NumberOfSections`字段表示PE文件的节数量。 5. **节表(IMAGE_SECTION_HEADER)**:PE文件由若干个节...
PE文件信息查看
05-07
在描述中提到的“内存文件的转储”,是指将正在运行的进程内存像保存到磁盘文件中,通常用于调试或分析程序的行为。这种技术可以帮助开发者查看程序在内存中的实际状态,找出可能的问题或异常。 “简单的十六进制...
PE文件分析器,可执行文件分析器
08-30
PE文件分析器主要用于修改程序入口、运行平台、文件中段的个数、内存像总大小、选项大小、子系统、dll标志等,可执行文件的分析,显示文件的详细信息,并且进行加密,需要的朋友可以来本站下载
pe文件分析工具
11-23
使用VC6.0编写的一个分析PE文件格式的工具,输出选定PE文件的有关信息。 程序编写的重点:对PE中的各个struct定位,可以使用API函数,也可以使用ImageHlp提供的有关PE操作的函数编写。 基本思路:读入要分析的PE...
PE3.0-32位原版封装Win10PE镜像
11-30
官网下载超慢的,还是**网盘,这个是用wepe32位工具正常封装的Windows 10 PE,完全没有任何病毒,也没有修改,里面壁纸是自带的,包含Max Dos,没有密码。 官方解释: 微PE工具箱生成ISO镜像后也不会产生过多的文件。根目录有WEPE文件夹EFI文件夹和BOOTMGR文件。 WEPE文件夹中每个文件对应的作用如下: 程序部分 WEPE.TXT - 微PE工具箱说明文档。 WALLPAPER.JPG - 若存在则为自定义PE桌面壁纸文件。 WEPE.INI - 外置程序的配置文件,可以对PE桌面、开始菜单等进行配置。 Res目录 - 若存在,则为放置硬盘安装后保存的引导工具。 引导部分 WEPE64.WIM - WINPE的镜像文件,32位的是WEPE32.WIM。 B64 - BCD文件,32位的是B32。 WEPE64 - 原名 BOOTMGR,32位的是WEPE32。 WEPE.SDI - 原名 BOOT.SDI WEIPE - GRUB4DOS的引导文件GRLDR PELOAD - 用来启动WEIPE MAXDOS.IMG - MAXDOS的镜像文件 WEPE.INI - GRUB4DOS菜单 MESSAGE - GRUB4DOS背景文件 官网:http://www.wepe.com.cn
WINpe镜像,windowsPE镜像
09-21
该镜像为windows的X86PE.iso镜像,用于U盘安装系统使用,将镜像刻录到U盘,然后将需要安装的镜像传进去即可。
Win8Pe镜像
04-17
Win8 PE 镜像文件,用于分区,修复和安装系统,200M不到
PE文件解析-文件与整体介绍
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被射,这种射方式是将文件较高的偏移...
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5370
PE Header 是PE相关结构NT(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE文件格式之MS-DOSPE文件,区块
The Road Of Sec
12-03 2367
PE文件格式之MS-DOSPE文件,RVA,VA,虚拟地址,PE文件格式
PE可选
满天星专栏
10-21 1516
紧跟着PE文件的,是一个叫做PE可选(Optional Header)的数据结构。这个数据结构被叫做可选是因为某些PE格式文件,比如目标文件(.OBJ)没有这个数据结构。但是对于一个可执行文件或动态链接库来说,这个数据结构是必须的。可选由4部分组成,第一部分是一个PE可选签名。通过检查这个签名,我们可以知道这是一个32位的可选还是64位的可选。我们现在只介绍32位的可选
u盘启动pe还原tib文件
最新发布
07-27
TIB文件是由Acronis True Image创建的系统备份文件,它包含了整个系统的完整镜像。下面是使用U盘启动PE还原TIB文件的步骤: 1.准备一个空的U盘,确保其容量足够存储TIB文件PE工具。 2.下载一个适合...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值