Portable Executable File

最新推荐文章于 2023-12-06 09:17:15 发布
原创 最新推荐文章于 2023-12-06 09:17:15 发布 · 586 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pe #windows

博客提供了一个参考链接,该链接指向http://www.csn.ul.ie/%7Ecaolan/pub/winresdump/winresdump/doc/pefile2.html ,与PE和Windows相关。
探密PE文件格式(Portable Executable File Format)(上)
wensir的老窝
03-27 3683
开篇语:本文只是我学习PE过程中的一些学习笔记,没有什么技术含量。:) PE格式是WINDOWS下最常用的可执行文件格式。本文将用win32汇编进行描述。------------------------------| IMAGE_DOS_HEADER | <-------DOS MZ 文件头------------------------------
Things You Didn't Known About Portable Executable File Format (PECOFF) - Slides - 2011 (BH_US_11_VuksanPericin_PECOFF_Slides)-计算机科学
04-22
THINGS YOU DIDN'T KNOW ABOUT (PECOFF)PORTABLE EXECUTABLE FILE FORMATMario Vuksan & Tomislav Pericin, ReversingLabsBlackHat USA 2011, Las VegasConstant Insecurity� Maturing Code � PE has been on ...
0.PE文件格式(Portable Executable File Format)
kernelhack
10-24 4170
目录 可执行文件 识别PE文件 PE文件结构 PE文件的两种状态 PE(Portable Executable File Format)可移植的执行体文件格式. 可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件.在操作系统存储空间中浮动定位的二进制可执行程序.它可以加载到内存中,由操作系统加载并执行.特定的CPU指令集(如X86指令集)对应的不同平台之间的可执行程序不可直接移植运行. 可执行文件格式: Windows PE(Portable
Portable Executable FILE FORMAT
wang010366的专栏
09-07 1580
basic concept of Portable ExecutableThe Portable Executable (PE) format is a file format for executables, object code, DLLs, FON Font files, and others used in 32-bit and 64-bit versions of Windows ope
PE(Portable Executable)
kl195375的博客
08-21 867
PE格式是微软环境中可移植可执行文件(如exe,dll,vxd,sys,vdm等)的标准文件格式。 简化的PE格式 Dos MZ Head 与 Dos stub和称Dos文件头,PE文件的第一个字节起始于MS-Dos头部,被称作IMAGE_DOS_HEADER,紧随Dos stub的是PE文件头(PE header),PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER...
PE(Portable Executable) File Format(Chinese) - PE(可移植的可执行文件) 文件格式说明(中文)
纪飞的博客
11-08 5762
PE文件结构(PE文件简介) [2008/3/27 15:56:00| By:perfecter]1、 PE文件简介PEPortable Executable,可移植的可执行文件)文件是指在Microsoft Windows95及其之后的Microsoft操作系统上运行的可执行文件,包括.EXE文件和.DLL文件。可移植性(Portable)是指在任何机器(Intel 386 、MI
Peering Inside the PE - A Tour of the Win32 Portable Executable File Format-计算机科学
04-22
Peering Inside the PE: A Tour of the Win32 Portable Executable File FormatMatt PietrekMarch 1994Matt Pietrek is the author of Windows Internals (Addison-Wesley, 1993). He works at Nu-Mega ...
Peering Inside the PE - A Tour of the Win32 Portable Executable File Format - MSDN (1994)-计算机科学
04-22
标题《Peering Inside the PE - A Tour of the Win32 Portable Executable File Format》所指的知识点是关于Windows操作系统的可移植执行文件格式的深入解析。可移植执行文件(Portable Executable,简称PE)格式是...
Portable Executable File Format Compendium version 11
02-21
A very complete PE format Compendium, of theory, tools and much more.
An In-Depth Look into the Win32 Portable Executable File Format-part 1
03-06
### Win32 Portable Executable (PE) 文件格式深入解析(一) #### PE 文件格式概述 Microsoft 的 Win32 Portable Executable (PE) 文件格式作为 Win32 规范的重要组成部分,自诞生以来就承载着执行文件的核心信息...
Portable Executable
y_h_t的专栏
09-25 1635
可移植的可执行文件 (英语:Portable Executable,缩写为PE) 是一种用于可执行文件、目标文件和动态链接库的文件格式,主要使用在32位和64位的Windows操作系统上。“可移植的”是指该文件格式的通用性,可用于许多种不同的操作系统和体系结构中。PE文件格式封装了Windows操作系统加载可执行程序代码时所必需的一些信息。这些信息包括动态链接库、API导入和导出表、资源管理数据和
PE文件结构
南宫封清的博客
04-19 5617
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
The Portable Executable File Format from Top to Bottom
wang010366的专栏
10-16 1204
AbstractThe Windows NT™ version 3.1 operating system introduces a new executable file format called the Portable Executable (PE) file format. The Portable Executable File Format specification, though r
如何使用 C# 判断一个文件是否为程序集
dotNET跨平台
01-21 569
程序集是经由编译器编译得到的,供 CLR 进一步编译执行的那个中间产物。它一般表现为 .dll 或者是 .exe 的格式,但是要注意,它们跟普通意义上的 WIN32 可执行程序是完全不同的...
PE学习笔记(一)
rivershan的专栏
01-22 4270
PE学习笔记 PE 的意思就是 Portable Executable(可移植的执行体)。PE文件结构的总体层次分布图:  --------------|DOS MZ Header ||--------------||DOS Stub      ||--------------||PE Header     ||--------------||Section Table ||---------
The file is absent or does not have execute permission This file is needed to run this program
weixin_50060275的博客
12-06 1659
需要将另一个服务器上的tomcat复制到本服务器上。执行启动命令时报这个错误。意思就是:该文件不存在或没有执行权限运行该程序需要该文件。显然不可能是不存在的。那就是没有执行权限了。
The PE file format
rznice的专栏
04-01 2026
<br />Preface<br />-------<br />The PE ("portable executable") file format is the format of executable binaries (DLLs and programs) for MS windows NT, windows 95 and win32s; in windows NT, the drivers are in this format, too. It can also be used for object
dos窗口输入命令后 提示不是内部或外部命令也不是可执行的程序或批处理文件
璐璐的专栏
11-13 5918
下面以ipconfig命令为例子 方法一、环境变量设置的问题,在CMD里运行path命令,看看有没有c:\windows\system32,如果没有就加上,如果有说明这个ipconfig.exe可能被删掉了,从别的相同的系统上拷过来,放在这个目录下就好了                        造成该问题有两个原因,一是该命令程序已丢失,二是环境变量设置错误。         
【游戏提取/超详细记录向】关于unity游戏的资源提取所需资源及方法简介(AssetBundle及libil2cpp.so等解密)
热门推荐
qq_63149894的博客
01-07 4万+
本文章仅作交流学习用,请大家不要提取游戏资源做违法乱纪的事情,学习者的任何行为与作者无关,请不要抓我,追究违法乱纪的人的责任就好(我是学生别抓我)。 【在别人readme里抄了几句话】请勿将这些东西用于18禁作品,极端宗教宣传,血腥恐怖猎奇作品,人身攻击等。请勿用于商业用途。他人使用本模型所造成的一切不良后果,不由模型作者与平台承担,请向使用者追究全部责任。 所有引用文章、工具皆已注明地址,感谢所有开发者!
An In-Depth Look into the Win32 Portable Executable File Format
最新发布
03-17
<think>好的,用户想深入了解Win32可移植执行文件(PE)格式的结构。首先,我需要回忆PE文件的基本组成部分,比如头部结构、节区、导入导出表等。根据用户提供的参考引用,特别是引用[1]中提到ELF文件的工具使用,可能需要类比到PE文件的分析工具,比如使用dumpbin或PEView等工具来查看结构。 用户的需求是深入分析,所以需要详细讲解PE的各个部分。首先,DOS头部和DOS存根,这部分是兼容旧系统用的。然后是PE签名,接着是文件头和可选头。文件头包含机器类型、节区数量等信息,可选头则有入口点、映像基址等关键数据。节区表之后是具体的节区,如.text、.data、.rsrc等,每个节区的功能需要解释清楚。 接下来,数据目录部分,用户可能需要了解导入表、导出表、资源表、重定位表等结构。这部分对逆向工程和漏洞分析尤为重要,参考引用[2]中提到汇编代码和变量分配对漏洞利用的重要性,因此需要强调数据目录在分析中的作用。 还要提到分析工具,比如PEView、CFF Explorer、WinDbg,以及如何通过编程解析PE结构,例如使用Python的pefile库。这部分可以展示代码示例,帮助用户实际操作。 最后,生成相关问题时要涵盖结构细节、工具使用、安全分析、与ELF的对比以及编程解析,确保问题全面覆盖用户可能感兴趣的方面。需要确保回答结构清晰,符合用户要求的层级,并正确应用引用标记。</think>### Win32可移植执行文件(PE)格式深度解析 #### 1. PE文件基础结构 PE文件由多个层次结构组成,核心部分包括: - **DOS头部**(`IMAGE_DOS_HEADER`):保留MS-DOS兼容性,包含`e_magic`字段(魔术字`MZ`)和`e_lfanew`字段(指向PE文件头偏移)[^1] - **DOS存根程序**:简单DOS程序,用于提示"此程序不能在DOS模式下运行" - **PE签名**:4字节标识`PE\0\0` - **文件头**(`IMAGE_FILE_HEADER`):包含机器类型、节区数量、时间戳等元数据 - **可选头**(`IMAGE_OPTIONAL_HEADER`):定义入口点地址、映像基址、子系统类型等关键运行时参数 #### 2. 节区表与节区数据 $$ \text{节区表项结构} = \begin{cases} \text{Name[8]} & \text{节区名称} \\ \text{VirtualSize} & \text{内存中大小} \\ \text{VirtualAddress} & \text{内存偏移} \\ \text{RawSize} & \text{文件中大小} \\ \text{RawOffset} & \text{文件偏移} \\ \text{Characteristics} & \text{节区属性(可执行/可写等)} \end{cases} $$ 常见节区包括`.text`(代码)、`.data`(初始化数据)、`.rsrc`(资源)、`.reloc`(重定位)等 #### 3. 数据目录与关键表结构 可选头末端包含16个数据目录项,重要结构包括: - **导入表**(`IMAGE_DIRECTORY_ENTRY_IMPORT`):记录依赖的DLL及函数 - **导出表**(`IMAGE_DIRECTORY_ENTRY_EXPORT`):定义模块导出的函数 - **资源表**(`IMAGE_DIRECTION_ENTRY_RESOURCE`):管理图标、字符串等资源 - **重定位表**(`IMAGE_DIRECTORY_ENTRY_BASERELOC`):处理地址重定位 #### 4. 逆向分析工具示例 ```python import pefile pe = pefile.PE("demo.exe") print("入口点: 0x%08x" % pe.OPTIONAL_HEADER.AddressOfEntryPoint) for section in pe.sections: print(section.Name.decode(), hex(section.VirtualAddress)) ``` #### 5. 安全分析要点 - **入口点验证**:检测非标准代码区域(如.rsrc节区包含可执行代码) - **导入函数分析**:识别可疑API调用模式(如`VirtualAlloc`+`WriteProcessMemory`组合) - **节区属性检查**:查找同时具有`WRITE`和`EXECUTE`权限的节区[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值