pe格式从入门到图形化显示(三)-可选头

原创 已于 2024-04-06 21:47:43 修改 · 1.3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#qt #c++ #windows #数据分析

于 2024-04-06 18:37:31 首次发布
本文详细介绍了WindowsPE文件格式的可选头,包括32位和64位版本的区别,以及如何通过Magic字段识别版本。同时展示了如何使用Qt进行PE文件的可选头解析并图形化显示关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式可选头?

PE文件格式的可选头(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选头的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。

二、怎么区别32位版本和64位版本

要区分32位PE文件版本和64位PE文件版本,可以查看PE文件的可选头中的Magic字段。Magic字段是一个标识PE文件类型的幻数,它有两个值:

对于32位PE文件,Magic字段的值为0x010B。
对于64位PE文件,Magic字段的值为0x020B。
因此,只需检查PE文件的可选头中的Magic字段,就可以判断PE文件是32位版本还是64位版本。如果Magic字段的值为0x010B,则PE文件是32位版本;如果Magic字段的值为0x020B,则PE文件是64位版本。

三、解析可选头并显示

1.32位和64位区别

32位PE文件版本和64位PE文件版本的结构体主要区别在于它们的可选头结构体。32位PE文件使用IMAGE_OPTIONAL_HEADER32结构体,而64位PE文件使用IMAGE_OPTIONAL_HEADER64结构体。这两个结构体的主要区别在于它们的字段类型和大小。
以下是一些主要的区别:

1、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的ImageBase字段是一个DWORD类型,表示PE文件默认装入的基地址而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的ImageBase字段是一个ULONGLONG类型,表示PE文件默认装入的基地址。

2、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的SizeOfStackReserve和SizeOfStackCommit字段是DWORD类型,表示线程的栈初始保留的虚拟内存大小和初始提交的虚拟内存大小。而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的SizeOfStackReserve和SizeOfStackCommit字段是ULONGLONG类型,表示线程的栈初始保留的虚拟内存大小和初始提交的虚拟内存大小。

3、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的SizeOfHeapReserve和SizeOfHeapCommit字段是DWORD类型,表示进程的堆保留的虚拟内存大小和初始提交的虚拟内存大小。而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的SizeOfHeapReserve和SizeOfHeapCommit字段是ULONGLONG类型,表示进程的堆保留的虚拟内存大小和初始提交的虚拟内存大小。

2.32位可选头数据结构以及字段描述

Magic:指定PE文件的目标机器类型,如I386、AMD64、ARM等。
MajorLinkerVersion:表示PE文件的主要链接器版本号。
MinorLinkerVersion:表示PE文件的次要链接器版本号。
SizeOfCode:表示PE文件中代码段的大小。
SizeOfInitializedData:表示PE文件中已初始化数据段的大小。
SizeOfUninitializedData:表示PE文件中未初始化数据段的大小。
AddressOfEntryPoint:表示PE文件的入口点地址。
BaseOfCode:表示PE文件中代码段的基址。
BaseOfData:表示PE文件中数据段的基址。
ImageBase:表示PE文件在内存中的基址。
SectionAlignment:表示PE文件中节的对齐方式。
FileAlignment:表示PE文件中文件的对齐方式。
MajorOperatingSystemVersion:表示PE文件所需的主要操作系统版本号。
MinorOperatingSystemVersion:表示PE文件所需的次要操作系统版本号。
MajorImageVersion:表示PE文件的主要图像版本号。
MinorImageVersion:表示PE文件的次要图像版本号。
MajorSubsystemVersion:表示PE文件所需的主要子系统版本号。
MinorSubsystemVersion:表示PE文件所需的次要子系统版本号。
Win32VersionValue:表示PE文件的Win32版本值。
SizeOfImage:表示PE文件在内存中的大小。
SizeOfHeaders:表示PE文件中头部的大小。
CheckSum:表示PE文件的校验和。
Subsystem:表示PE文件所需的子系统类型,如GUI、CUI等。
DllCharacteristics:表示PE文件的DLL特性。
SizeOfStackReserve:表示PE文件的堆栈保留大小。
SizeOfStackCommit:表示PE文件的堆栈提交大小。
SizeOfHeapReserve:表示PE文件的堆保留大小。
SizeOfHeapCommit:表示PE文件的堆提交大小。
LoaderFlags:表示PE文件的加载器标志。
NumberOfRvaAndSizes:表示PE文件中数据目录的数量。
DataDirectory:表示PE文件中数据目录的数组。

struct IMAGE_OPTIONAL_HEADER32 {
   
   
    WORD Magic;
    BYTE MajorLinkerVersion;
    BYTE MinorLinkerVersion;
    DWORD SizeOfCode;
    DWORD SizeOfInitializedData;
    DWORD SizeOfUninitializedData;
    DWORD AddressOfEntryPoint;
    DWORD BaseOfCode;
    DWORD BaseOfData;
    DWORD ImageBase;
    DWORD SectionAlignment;
    DWORD FileAlignment;
    WORD MajorOperatingSystemVersion;
    WORD MinorOperatingSystemVersion;
    WORD MajorImageVersion;
    WORD MinorImageVersion;
    WORD MajorSubsystemVersion;
    WORD MinorSubsystemVersion;
    DWORD Win32VersionValue;
    DWORD SizeOfImage;
    DWORD SizeOfHeaders;
    DWORD CheckSum;
    WORD Subsystem;
    WORD DllCharacteristics;
    DWORD SizeOfStackReserve;
    DWORD SizeOfStackCommit;
    DWORD SizeOfHeapReserve;
    DWORD SizeOfHeapCommit;
    DWORD LoaderFlags;
    DWORD NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
};

3.64位可选头数据结构以及字段描述

Magic:指定PE文件的目标机器类型,如AMD64等。
MajorLinkerVersion:表示PE文件的主要链接器版本号。
MinorLinkerVersion:表示PE文件的次要链接器版本号。
SizeOfCode:表示PE文件中代码段的大小。
SizeOfInitializedData:表示PE文件中已初始化数据段的大小。
SizeOfUninitializedData:表示PE文件中未初始化数据段的大小。
AddressOfEntryPoint:表示PE文件的入口点地址。
BaseOfCode:表示PE文件中代码段的基址。
ImageBase:表示PE文件在内存中的基址。
SectionAlignment:表示PE文件中节的对齐方式。
FileAlignment:表示PE文件中文件的对齐方式。
MajorOperatingSystemVersion:表示PE文件所需的主要操作系统版本号。
MinorOperatingSystemVersion:表示PE文件所需的次要操作系统版本号。
MajorImageVersion:表示PE文件的主要图像版本号。
MinorImageVersion:表示PE文件的次要图像版本号。
MajorSubsystemVersion:表示PE文件所需的主要子系统版本号。
MinorSubsystemVersion:表示PE文件所需的次要子系统版本号。
Win32VersionValue:表示PE文件的Win32版本值。
SizeOfImage:表示PE文件在内存中的大小。
SizeOfHeaders:表示PE文件中头部的大小。
CheckSum:表示PE文件的校验和。
Subsystem:表示PE文件所需的子系统类型,如GUI、CUI等。
DllCharacteristics:表示PE文件的DLL特性。
SizeOfStackReserve:表示PE文件的堆栈保留大小。
SizeOfStackCommit:表示PE文件的堆栈提交大小。
SizeOfHeapReserve:表示PE文件的堆保留大小。
SizeOfHeapCommit:表示PE文件的堆提交大小。
LoaderFlags:表示PE文件的加载器标志。
NumberOfRvaAndSizes:表示PE文件中数据目录的数量。
DataDirectory:表示PE文件中数据目录的数组。

struct IMAGE_OPTIONAL_HEADER64 {
   
   
    WORD Magic;
    BYTE MajorLinkerVersion;
    BYTE MinorLinkerVersion;
    DWORD SizeOfCode;
    DWORD SizeOfInitializedData;
    DWORD SizeOfUninitializedData;<
最低0.47元/天 解锁文章

200万优质内容无限畅学
[系统安全] 二十二.PE数字签名之()微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 671
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
PE可选
BiCai2的博客
09-16 1392
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像 BYTE MajorLinkerVersion; 链接器版本号 BYTE MinorLinkerVersion; 链接器副版本号 DWORD
PE文件格式详解,第讲,可选文件格式,以及节表
weixin_30287169的博客
10-11 162
          PE文件格式详解,第讲,可选文件格式,以及节表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作用 typedefstruct_IMAGE_OPTIONAL_HEADER { WORD Magic;              ...
IMAGE_OPTIONAL_HEADER->IMAGE_DATA_DIRECTORY->IMAGE_EXPORT_DIRECTORY和IMAGE_IMPORT_DESCRIPTOR
最新发布
2402_87631701的博客
05-21 243
这个导入表的结构我们可以简单将他看作是一个DWORD类型的数组 有4个成员 当他的最高位为1的时候低31位为他的导出序号 否则OriginalFirstThunk和FirstThunk会重新指向一个结构体。6-AddressOfNames 存储着一个RVA 此RVA指向了一个数组 这个数组的元素个数由NumberOfNames来决定 这个数组里面存储的是各个导出函数名的RVA。// 指向一个包含所有导出函数地址的RVA数组的RVA。// 指向一个包含函数序号的RVA数组的RVA。// 导出函数的总数。
笔记:PE结构(3)可选解析*
Q324411601的博客
08-30 281
笔记:PE结构(3)可选解析*
iczelion pe tutcn4
jimgreen的专栏
08-29 841
 PE教程4: Optional Header我们已经学习了关于 DOS header 和 PE header 中部分成员的知识。这里是 PE header 中最后、最大或许也是最重要的成员,optional header。回顾一下,optional header 结构是 IMAGE_NT_HEADERS 中的最后成员。包含了PE文件的逻辑分布信息。该结构共有31个域,一些是很关键,另
pe格式入门图形化显示(二)-文件
Mrack的博客
04-05 969
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE格式文件(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。Windows PE格式文件包含以下字段:Signature(签名):用于确定文件是否为PE格式文件,通常为"PE\0\0"或"PE\0\0\0\0"。
pe格式入门图形化显示(六)-数据目录
Mrack的博客
04-07 838
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE(Portable Executable)文件格式中的数据目录是一个表,它提供了关于PE文件中各种数据结构和资源的位置信息。数据目录位于PE文件可选(Optional Header)部分,紧跟在标准PE之后。PE文件格式中的数据目录总共有16个1、导出目录(Export Directory):包含有关从PE文件导出的函数和数据的信息。
windowsPE入门与精通
08-27
同时,OEM和ISV可以通过Windows PE构建定制化的恢复解决方案,用于恢复和重建运行Windows 7的计算机,如从恢复CD或恢复分区启动,重新格式化硬盘并重新安装系统。 **Windows PE的体系结构** Windows PE 3.0基于...
PE文件格式图表 详细介绍(BMP图片形式)
12-01
PE文件格式(BMP图片形式),详细介绍 PE 文件的大致布局,PEPE Header),在 PE和真正的 section 资料之间,横躺着一个 section table 。其中内含 image 的 每一个sections 的信息。sections 是以其起始地址来排列,而不是以其字母次序来排列。
PE Header中的OptionalHeader
weixin_34239592的博客
06-28 347
typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // +18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) +1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号 +1Bh B...
学习PE文件
peterchilly的博客
03-31 462
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 表示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
PE之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 2095
目录预备知识一、相关实验二、C32Asm、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
PE可选PEIMAGE_OPTIONAL_HEADER32/64 简(
想喝奶茶的胖大海
12-26 1217
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE中的第部分,可选(扩展)PE,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
PE文件
满天星专栏
10-20 2377
大体上,PE文件由下面几个部分组成,DOSPE可选,节表,以及各节的数据。这些数据结构在文件中的位置如下图所示。 PE文件的第一部分是一个DOS,一般我们称之为DOS STUB。 这个DOS实际上就是一个完整的DOS应用程序。这样当你在DOS下试图运行这个程序的时候,DOS将会把它识别成一个DOS可执行程序。一般这个DOS STUB会在屏幕上打印一条信息“该程序需要W
Windows编程系列:PE文件结构
a1b2c3是弱口令
08-31 1342
/大小为: 0x40(64)字节0x5A4D// MZ// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
《逆向工程核心原理》第13章——PE文件格式(1):PE
diamond_biu的博客
12-05 938
介绍 本章将详细讲解WIndows操作系统的PE(Portable Executable)文件格式相关知识。同时整理有关进程,内存,DLL等的内容。 PE是指32位可执行文件,也称PE32。64位可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。 PE文件格式 PE文件种类如下: 种类 主扩展名 可执行系列 exe scr 库系列 dll ocx cpl drv 驱动程序系列 sys vxd 对象文件系列 obj 严格来讲,obj文件之外的所有文件都是.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值