pe节表

最新推荐文章于 2024-12-19 17:47:52 发布
最新推荐文章于 2024-12-19 17:47:52 发布
阅读量619 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Iamangle122/article/details/78795985
本文介绍了PE文件的标准结构,包括如何定位可选PE头及节表。详细解释了IMAGE_SECTION_HEADER结构体成员的作用,如Name、VirtualAddress等,并阐述了它们在PE文件中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

doc头lfanew偏移,可以找到标准pe头,标准pe头结束就是可选pe头,可选pe头大小不确定。
怎么找节表:计算可选pe头的大小后,doc+标准pe+可选pe
标准节表内:SizeOfOptionalHeader可选pe头大小
节表:线性结构,多少个,在标准pe头的numberofSection(节)决定有多少个。

...
#define IMAGE_SIEZOF_SHORT_NAME   8
typedef struct _IMAGE_SECTION_HEADER{
    BYTE Name[IMAGE_SIEZOF_SHORT_NAME];
        union{
            DWORD PhysicalAddress;
            DWORD VirtualSize;
        }Misc;
    DWORD VirtualAddress;
    DWORD SizeOfRawData;
    DWORD PointerToRawData;
    DWORD PointerToRlocations;
    WORD  NumberOfRelocations;
    WORD  NumberOFLinenumbers;
    DWORD Characteristics;
}IMAGE SECTION HEADER. *PIMAGE SECTION HEADER;

...

1、Name 8个字节 一般情况下是以“\0”结尾的ASCII码字符串来标识的名称,内容可以自定义。
注意:该名称并不遵守必须以“\0”结尾的规律,如果不是以“\0”结尾,系统会截取8个字节的长度进行处理。
2、Misc 双字 是该节在没有对齐前的真是尺寸,该值可以不准确。//可改
3、VirtualAddress 节区在内存中的偏移地址。加上ImageBase才是在内存中的真正地址。
4、SizeOfRawData 节在文件中对齐后的尺寸
5、PointerToRawData 节区在文件中的偏移
//6、DWOED PointerToRelocations 在obj文件中使用 对exe无意义
//7、DWOED PointerToLinenumbers 行号表的位置 调试的时候使用
//8、WOED NumberOfRelocations 在obj文件中使用 对exe无意义
//9、WOED NumberOfLinenumbers行号表中行号的数量 调试的时候使用
10、charactistics 节的属性

PE文件格式总结 - DOS文件头、PE文件头、详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、详解
PE结构
lygl35的博客
02-24 718
位置的计算:DOS头大小+标准PE头大小+标准PE头SizeofoftimHeader的值
PE-
z1041259928的博客
03-02 523
windowns.h下的定义 name:8个字 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义 misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改 VirtualAddress:内存中的偏移地址,加上imagebase就是内存中真正的地址 SizeofRawData:在文件中对齐后的大小 PointerToRawData 区在文件中的偏移 Po...
PE知识复习之PE
weixin_30628801的博客
09-29 163
          PE知识复习之PE 一丶信息,PE两种状态.以及重要两个成员解析.   确定位置: DOS + NT头下面就是.   确定数量: 数量在文件头中存放着.可以准确知道有多少个.   是一个结构体数组.没一个示了数据在哪,怎么存储. 下方是的结构体 typedef struct _IMAGE_SECTION_HEADER {...
PE文件~
2514804004的博客
04-11 662
结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
PE文件(三)
2301_78838647的博客
04-26 1380
Name数组的长度最大为8字,如果定义的名称为.text,由于.text对应的ASCII码分别为0x2E, 0x74, 0x65, 0x78,0x74,所以Name数组中的数据为2E 74 65 78 74 00 00 00,一共8字。所有的一起记录了该.exe文件中所有的的信息,每一个都有对应的来存储信息,所有的对应的组合在一起就构成了PE文件的结构。内存中的地址:在4GB内存中的地址要加上imagebase的值,才是真正在内存中的起始地址。
PE文件结构学习02-PE
qq_43447375的博客
12-27 423
PE文件头 PE文件头是由IMAGE_NT_HEADERS结构定义的: IMAGE_NT_HEADERS STRUCT +0h DWORD Signature // PE文件标识 +4h IMAGE_FILE_HEADER // FileHeader +18h IMAGE_OPTIONAL_HEADER32 // OptionalHeader(可选PE头) IMAGE_NT_HEADERS ENDS PE文件头的第一个双字是一个标志(MZ),被定义为0000
pe格式从入门到图形化显示(四)-
Mrack的博客
04-06 1276
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE格式的(Section Table)是一个数组,它包含了PE文件中各个(Section)的信息。每个项都是一个IMAGE_SECTION_HEADER结构体,它包含了关于的名称、大小、属性等信息。
PE深度分析】:2步掌握区的奥秘
!... # 摘要 本文详细介绍了PE文件格式及其区的结构和功能,深入探讨了区头部信息、数据类型及存储方式,以及属性与权限设置。...此外,文章还涉及了区漏洞的利用原理和防御策略,提供了深入理解PE
pe-
weixin_45880501的博客
12-05 87
的大小是 0x28个字.也就是两行半(一行16字),观看一行半可以得出名称.在内存中的偏移. 以及数据在文件中的偏移.确定数量: 数量在文件头中存放着.可以准确知道有多少个.确定位置: DOS + NT头下面就是
2.4 PE结构:详细解析
优快云
09-05 5670
(Section Table)是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向等在文件中的位置和大小信息,是操作系统加载文件时根据来进行各个段的映射和初始化的重要依据。中的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件中的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
滴水--------------PE解析
clayoa的博客
12-19 900
上一篇文章我们说到PE头解析,我们这次继续解析 先学习一个新的类型【中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
PE介绍
penjie0418的专栏
01-10 1115
RVA(每个28位) +0 ==>名(8位) +8 ==>物理地址(4位) +C ==>真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般取后一个(4位) +10 ==>区的RVA地址(4位) +14 ==>在文件中对齐后的尺寸(4位) +18 ==>在文件中的偏移量(4位) +1C ==>在OBJ文件中使用,重定位的偏移(4位) +20 ==>行号的偏
5.PE文件之(IMAGE_SECTION_HEADER)
kernelhack
10-26 5898
PE头IMAGE_NT_HEADERS后紧跟着(也可以理解为IMAGE_OPTIONAL_HEADER后为).它由许多个项(IMAGE_SECTION_HEADER)组成,每个项记录了PE中与某个特定的有关的信息,如的属性、的大小、在文件和内存中的起始位置等.的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件结构:
最新发布
WolvenSec的博客
12-19 1059
PE(Portable Executable)文件结构中,是 PE 文件的重要组成部分之一,位于 PE 头之后。记录了各的虚拟地址、大小、PE 文件中的实际大小和属性等内容,用于定义程序在内存中的逻辑布局,操作系统加载 PE 文件时,根据将不同的数据映射到正确的内存区域;定义了各的属性,如是否可执行、可读、可写等,操作系统会根据这些属性对相应内存区域进行保护。在调试过程中,可以用来定位代码和数据在文件和内存中的位置,辅助调试器解析程序结构。
PE结构的解析
qq_58405021的博客
12-01 892
PE结构的解析
手工解析PE()
GNAIXGNAHZ的博客
06-03 386
手工解析PE
PE格式详细讲解4 - 系统篇04|解密系列
weixin_34085658的博客
04-29 160
PE格式详细讲解4-系统篇04 让编程改变世界 Change the world by program 到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块,也成)。 越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释,大伙可以按需要看。 PE...
PE属性
hambaga的博客
05-09 783
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值