pe格式从入门到图形化显示(一)-DOS头

已于 2024-04-06 21:38:29 修改
阅读量717 收藏 8
点赞数 8
分类专栏: pe格式从入门到图形化显示 文章标签: 开发语言 c++ qt windows
于 2024-04-05 20:58:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mrack/article/details/137409039
版权
本文详细介绍了WindowsPE格式,包括其基本结构、学习原因,重点剖析了DOS头的作用及其实现。同时,展示了如何使用qt工具解析并图形化显示DOS头数据。内容涵盖了反汇编、调试、文件修改和恶意软件分析等领域应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式?

Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式是Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。

PE格式包含了四个主要的部分:头部、节区表、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。节区表记录了每个节区的信息,如名称、偏移和大小等。节区是程序和数据的实际存储区域,如代码节区、数据节区和资源节区等。数据目录包含了一些重要的数据结构,如导出表、导入表和异常处理表等。

二、为什么要学习Windows PE格式

学习Windows PE文件格式可以让你了解和理解Windows操作系统中可执行文件的结构和组织方式。具体来说,学习Windows PE文件格式可以帮助你完成以下几个方面的工作:

反汇编和反编译:了解PE文件的结构可以帮助你将其转化为可读的汇编代码,以便进行静态分析、漏洞挖掘和逆向工程等任务。

调试和分析:通过学习PE文件格式,你可以更好地理解可执行文件在内存中的加载和运行情况,以便进行调试和动态分析。

文件修改和打包:有时候你可能需要修改PE文件,如修复漏洞、修改程序行为或插入恶意代码等。了解PE文件格式可以帮助你进行这些操作,并确保修改后的文件仍然是有效的可执行文件。

病毒和恶意软件分析:许多恶意软件和病毒使用PE文件格式作为主要载体。学习PE文件格式可以帮助你理解和分析这些恶意文件的行为和特征。

开发和编程:如果你是一个开发人员,学习PE文件格式可以帮助你更好地理解和使用Windows API,以及编写和调试Windows平台上的应用程序。

综上所述,学习Windows PE文件格式可以为你提供一系列在软件分析、安全研究和开发等领域中需要的技能和知识。

三、什么是DOS头?

DOS头(也称为MS-DOS Stub Program)位于PE(Portable Executable)文件的开头,并且是一个固定大小的结构体,通常为64字节(0x40字节)。它的主要作用是兼容旧的MS-DOS操作系统,当在MS-DOS环境下运行PE文件时,会执行这个Stub程序。但实际上,现代Windows系统在加载PE文件时会直接跳过DOS头,寻找位于文件偏移0x3C处的PE文件头。

四、解析DOS头并显示

1.DOS头数据结构

以下为DOS头中每个字段的含义
e_magic:用于标识文件的开头部分,通常为"MZ"(即0x4D 0x5A)。
e_cblp:表示DOS文件头的大小(以段为单位)。
e_cp:表示DOS文件头的大小(以段为单位)。
e_crlc:表示DOS文件头中的重定位项数量。
e_cparhdr:表示DOS文件头的大小(以段为单位)。
e_minalloc:表示DOS文件头的最小额外段数。
e_maxalloc:表示DOS文件头的最大额外段数。
e_ss:表示DOS文件头的初始堆栈段。
e_sp:表示DOS文件头的初始堆栈指针。
e_csum:表示DOS文件头的校验和。
e_ip:表示DOS文件头的初始指令指针。
e_cs:表示DOS文件头的初始代码段。
e_lfarlc:表示DOS文件头中的重定位表的文件偏移。
e_ovno:表示DOS文件头的覆盖号。
e_res:表示DOS文件头的保留字段。
e_oemid:表示DOS文件头的OEM标识符。
e_oeminfo:表示DOS文件头的OEM信息。
e_res2:表示DOS文件头的保留字段。
e_lfanew:表示PE文件头(IMAGE_NT_HEADERS)的开始位置。
在DOS文件头(IMAGE_DOS_HEADER)中,e_magic字段用于标识文件的开头部分,通常为"MZ"(即0x4D 0x5A)。这个字段在现代PE文件中仍然存在,但主要是为了兼容旧的MS-DOS操作系统。e_lfanew字段则指明了PE文件头(IMAGE_NT_HEADERS)的开始位置。这个字段在现代Windows系统中非常重要,因为它告诉操作系统如何找到PE文件的核心信息。然而,其他字段(如e_cblp、e_cp、e_crlc等)在现代PE文件中几乎已经废弃,因为它们主要用于描述MS-DOS环境下的程序信息。在现代Windows系统中,这些字段的信息已经被IMAGE_NT_HEADERS中的其他结构所取代。总之,虽然DOS文件头中的其他字段在现代PE文件中几乎已经废弃,但e_magic和e_lfanew字段仍然非常重要,因为它们用于标识文件类型和定位PE文件头。

struct IMAGE_DOS_HEADER
{
最低0.47元/天 解锁文章
winpe添加explorer教程
01-30
winpe添加explorer教程 压缩包内分为三个部分
WIN11 PE系统下自定义启动LOGO及桌面背景图片
ggkggn的博客
11-07 1598
下载HackBGRT运行。下载Dism++运行。
PE文件格式
最新发布
weixin_43905689的博客
01-20 986
PE文件是windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(CommonObjectFileFormat,通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统下的移植性,但实际上这种文件格式仅用在windows系列的操作系统下。PE文件是指32位的可执行文件,也称为PE32。64位的可执行文件称为PE+或者PE32,是PE文件的一种扩展形式(注意不是PE64)
1.PE文件之DOS(IMAGE_DOS_HEADER)
kernelhack
10-24 9353
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
pe格式入门图形化显示(三)-可选
Mrack的博客
04-06 1272
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
【2021.01.11】DOS属性说明
oalken的博客
01-11 677
IMAGE_DOS_HEADER DOS DOS由两部分组成:DOS MZ文件DOS块。 DOS块不是结构体,而是由单个字节组成的数据,可以填写任何内容。 但是DOS MZ文件是一个结构体。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; ..
PE文件格式(一)
周星星的博客
10-18 8642
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE-file-format.rar_PE格式
09-22
PE文件的开DOS,它包含了一个简化的MS-DOS程序,允许在不支持PE格式DOS系统上执行简单的检查。紧跟DOS的是PE签名("PE\0\0"),标志着文件是PE格式。接着是COFF(Common Object File Format)文件,提供...
pedump_src.rar_PE格式_Pe-file_infector_pe_pe dump_pedump
09-19
1. DOS:这是PE文件的起始部分,包含一个简化的MS-DOS程序,使得在不支持PE格式的旧版DOS系统上也可以运行文件(通常称为“伪DOS”或“DOS stub”)。 2. PE(NT):紧跟在DOS后面的是PE,它包含了PE...
dos_stub.rar_DOS st_DOS stub_DOS-stub_pe_run
09-23
Windows PE 文件在 DOS 下运行一般会显示:This program cannot be run in DOS mode. 这是PE文件部的一个"dos stub"程序,这个就是"dos stub"的源码,我们可以修改它,用fasm.exe编译,在vc连接时,加上 /stub:stub....
详解详解windowsPE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
它包含一个简单的DOS程序,可以跳转到PE。 - **PEPE Signature)**:DOS后面是PE签名("PE\0\0"),标志着文件是一个PE文件。接着是COFF(Common Object File Format),包含了关于文件的基本信息,如...
PeViewer - PE格式文件查看器 - 中文版
11-20
PeViewer.exe 是这个压缩包中的主执行文件,通常是一个图形用户界面的应用程序,用户可以直接运行它来启动PeViewer工具,进行PE文件的查看和分析。 **扩展知识:** PE文件格式是微软为Windows操作系统设计的可执行...
JIURL PE 格式学习总结(一)-- PE文件概述.docx
12-07
PE文件格式详解:从基础到深入理解》 PE文件格式,全称为Portable Executable,是Windows操作系统中用于执行程序和动态链接库(DLL)的主要文件格式。这个格式的精妙之处在于它的跨平台性和可移植性,即使在不同...
pe-loader:Windows PE格式的文件加载器
05-15
Windows可执行文件加载器这是Windows PE格式的文件加载器应用程序,提供与OS内部可执行文件加载器类似的功能,但从用户模式运行。 它将可执行文件映射到内存,打补丁并初始化几种机制,然后将控制流传递给加载的映像...
pe-bear-releases:PE-bear(仅内置)
05-22
其目标是为恶意软件分析人员提供快速,灵活的“第一视图”,并稳定且能够处理格式错误的PE文件。 警告: PE-bear不是开源的-您只能在此处找到内部版本。 但是,PE-bear的PE解析器是开源的,可以在这里找到: PE-...
PEview - 打开Windows平台PE格式文件的小工具
11-20
1. **文件和节表**:PE文件以DOS开始,它包含一个简单的DOS程序,用于将控制权转移到PEPE接着是COFF(Common Object File Format),提供了关于文件的基本信息,如机器类型、文件数和节的数量。节表紧...
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 6236
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式PE
使用微软官方的Winpe系统安装操作系统(包括下载Winpe、制作U盘启动工具、安装操作系统)
热门推荐
lengye7的博客
11-24 3万+
一、安装Winpe Winpe是微軟官方提供的用來部署windows操作系統的工具,在win10版本1809之前,Winpe随着ADK工具一起分发,只要安装ADK就能够获得winpe,在这个版本之后,winpe不再随着ADK一起下发,我们需要在安装好ADK工具之后,再单独安装winpe工具。 ADK下载 这一次,我选择下载了下载适用于 Windows 10 版本 2004 的 Windows ADK,此 ADK 支持 Windows 10 版本 2004、Windows 10 版本 20H2 和 Wi
PE文件结构
2403_87020251的博客
11-22 1866
(完整结构)多多复习多多理解!!!
深入解析Windows PE文件格式入门指南
本文将详细探讨Windows PE文件格式的基础知识,为读者提供一个全面的学习入门教程。 首先,PE文件格式Windows操作系统中的可执行文件格式,其扩展名通常为.exe或.dll。PE文件格式是基于COFF(Common Object File ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值