pe文件学习

最新推荐文章于 2024-11-16 00:18:50 发布
最新推荐文章于 2024-11-16 00:18:50 发布
阅读量712 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: header image dos file struct byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/InkSnail/article/details/3945166
本文详细介绍了PE文件的各个组成部分,包括DOS MZ HEADER、DOS_STUB、PEHEADER、SectionTable等内容,并解释了这些部分如何帮助理解PE文件的布局。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. PE文件布局
  • DOS MZ HEADER

是一个IAMGE_DOS_HEADER结构,在winnt.h中的定义为: 

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

我们需要关注的是最后的e_lfanew变量,由它我们可以计算出真正的PE头的地址

  • DOS_STUB

用于在不支持PE的操作系统中显示出错信息。

  • PE HEADER

是一个IMAGE_NT_HEADER结构,其中包含很多PE被加载到内存时需要使用到的重要域。在winnt.h中的定义为: 


typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

 

IMAGE_FILE_HEADER的定义为: 

//
// File header format.
//

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;   // 节的个数,枚举所有节要用到
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

 

IMAGE_OPTIONAL_HEADER32定义为: 

//
// Optional header format.
//

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

在32系统中:

typedef IMAGE_OPTIONAL_HEADER32             IMAGE_OPTIONAL_HEADER;

  • Section Table

PE文件中有几个节,Section Table中就有几个成员。每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。排在节表中的最前面的第一个默认成员是text,即代码节头。通过遍历查找方法可以找到其他节表成员(节表头)。

IMAGE_SECTION_HEADER在winnt.h中定义为: 

//
// Section header format.
//

#define IMAGE_SIZEOF_SHORT_NAME              8

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;     // 真实长度
    } Misc;
    DWORD   VirtualAddress;   // RVA
    DWORD   SizeOfRawData;   // 物理长度
    DWORD   PointerToRawData;  // 节基于文件的偏移量
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

用SizeOfRawData减去VirtualSize得到节中空闲的空间大小

  • SECTIONS

 

PE文件真正的内容,节的划分是基于各组数据的共同属性,而不是逻辑概念。

 

InkSnail
关注
2021-10-02PE文件学习
qq_45290991的博客
10-02 635
PE文件学习 推荐工具:lord PE、stud PEPE权威指南》,了解格式,看雪,吾爱破解 ,EXE是如何组成的,如何逆向一个EXE文件和安卓文件。 这些东西不能不知道 EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件 64位不过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。 PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。 而在这个“winnt.h”文件中的image format下就是系
《逆向工程核心原理》学习笔记4 PE文件学习——PE头总结
EloflyS的博客
02-16 375
《逆向工程核心原理》学习笔记4 PE文件学习——PE头总结 1.DOS头 typedef struct _IMAGE_DOS_HEADER //DOS头 { WORD e_magic; //DOS signature :4D5A ("MZ",是确定的值, 被称为DOS签名,如果值被改变,程序无法运行) WORD e_cblp; WORD e_c...
PE文件格式教程
03-16
PE文件格式一览 检查PE文件有效性 节表引入表引出表等等 好东西跟大家分享
PE文件学习
qq_40569221的博客
07-04 1258
PE文件,即Portable Executable文件,是一种标准的文件格式,主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序(如.exe文件)、动态链接库(.DLL文件)、设备驱动(.SYS文件)、ActiveX(.OCX文件)以及其他类型的可执行模块。PE文件格式设计得非常灵活和强大,它允许程序在不同版本的Windows上运行,从而实现了一定程度的可移植性。
PE文件学习(一)
SanSiro1的博客
08-24 1249
PE是Portable executable(可移植的可执行文件)的简写,在Windows系统中PE文件是一种重要的文件格式,其中COM、PIF、SCR、EXE、dll等都是PE文件。所以学习PE文件是了解操作系统工作方式的一种很好的方法。                  学习PE,首先要对PE有个大体的轮廓,所以本人在网上找到了两张PE文件结构图。基于这两张图更进一步的了解PE文件结构:
PE文件学习笔记
最新发布
2401_88120985的博客
11-16 901
-用于定位PE文件文件开始的地方算,过E0个字节就是PE文件开始的地方,但是这个开始的地方是不确定的。//内存中整个PE文件的映射·尺寸,可以比实际值大,但必须是SectionAlignment的整数倍。//可选PE头的大小,32位PE文件默认为E0h,64位默认为F0h,大小可自定义。//未初始化数据大小和(这个和上一个合起来的大小是数字节的大小)//每个位都有特殊的含义,比如010F将它转为二进制,在PE软件中,打勾的位1不打勾的是0。“头”是“节”的描述、简化、说明,“节”是“头”的具体化。
PE文件格式学习(一):概述
tutucoo
11-07 807
1.PE文件简介 PE文件格式是Windows系统中应用最广泛的文件格式之一,我们常见的可执行文件.exe、动态链接库.dll以及驱动文件.sys等都是PE文件格式的。 可以通过十六进制工具如010editor查看PE文件,可以看到PE文件都有一个共同的特点,就是它们的最开头都是4D5A,也就是ASCII字符MZ。见下图 在Windows系统“眼里”,其实只有PE文件,后缀名只是用于关联打开程序...
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
PE文件学习工具,超好用
05-05
本篇将深入解析PE文件学习工具及其重要性,帮助你理解PE文件的结构和工作原理。 首先,PE文件结构包括多个部分,如DOS头、PE头、节表、导入表、导出表等。DOS头是一个兼容MS-DOS的小型引导程序,使得PE文件能在不...
PE文件结构详细图pdf
08-17
通过深入学习PE文件结构,开发者可以更好地理解程序的运行机制,进行逆向工程、调试、安全分析等工作。这个"PE文件结构详细图pdf"很可能包含各种图表和详细解释,帮助读者直观地了解每个组成部分的作用和相互关系。...
PE文件格式详细教程
10-22
PE文件格式 教程,开发破解软件必备 PE文件格式 教程,开发破解软件必备
PE文件头变形技术及实现教程
04-28
讲解PE头变形技术,非常好的一种思想。同时也能让我们对PE文件更加的了解。大家慢慢体会吧 - -
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
PE文件结构学习
xlsj雪松的博客
07-12 501
1.介绍   PE(Portable Executable),既可移植的执行体。PE文件是Windows下使用的可执行文件格式。PE文件是指32位的可执行文件,也称PE32,64位称PE+或PE32+,是PE32的一种扩展形式(不是PE64) 2.PE文件格式 种类 主扩展名 可执行系列 EXE、SCR 库系列 DLL、OCX、CPL、DRV 驱动程序系列 ...
pe文件学习(未完成)
懒羊羊的梦想
11-09 321
pe文件学习 本文目录 pe文件概述 pe文件概述 pe文件就是windows系统下的可执行文件所要遵循的格式,再深究一点就是Windows的装载器是按照pe文件的格式把程序装载到内存的。 如何好好的学习pe文件 pe文件说白了就是很多的结构体,程序的很多运行信息都存储在这个结构体中,只有把这些结构体掌握了才能对于pe文件有个大体掌握,为了简单,我们先来学习很标准的pe文件结构,也就是正常情...
PE教程1: PE文件格式一览
HeYu 's BLOG
11-10 1175
 PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32平
PE文件详解(教程1-7)
diligentcat的专栏
12-02 2222
PE文件详解(教程1-7) ========================================= PE教程1: PE文件格式一览 PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable e
PE 文件格式(二)
dyc13的专栏
06-25 1079
{        strupr(argv[i]);                // Is it a switch character?        if ( (argv[i][0] = = -) || (argv[i][0] = = /) )        {            if ( argv[i][1] = = A )            {   fShowReloc
[re入门]PE文件小知识
网络安全知识分享
03-23 4000
PE入手的信息收集,让恶意样本无处可逃一、 PE文件格式的基础知识1.1 认识PE文件1.2 整体结构1.3 基地址1.4 相对虚拟地址1.5 文件偏移地址1.6 结构1.6.1 DOS头1.6.2 NT头1.7 PE区段分析1.8 PE文件的输入输出表1.8.1 输入表(IT、导入表)1.8.2 输出表1.8.3重定位表二、使用工具来分析PE文件2.1 使用PEview来分析 那是一个沙尘暴都能上热搜的清晨,我揉了揉眼睛从床上爬起来,顶着一路的艰难险阻来到了实验室,开机,hello 酷狗,登录PC微信,
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值