pe格式从入门到图形化显示(六)-数据目录

最新推荐文章于 2024-06-10 19:29:16 发布
最新推荐文章于 2024-06-10 19:29:16 发布
阅读量836 收藏 19
点赞数 18
CC 4.0 BY-SA版权
分类专栏: pe格式从入门到图形化显示 文章标签: 开发语言 c++ qt windows 数据分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mrack/article/details/137482661

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式中的数据目录?

PE(Portable Executable)文件格式中的数据目录是一个表,它提供了关于PE文件中各种数据结构和资源的位置信息。数据目录位于PE文件头的可选头(Optional Header)部分,紧跟在标准PE头之后。
PE文件格式中的数据目录总共有16个
1、导出目录(Export Directory):包含有关从PE文件导出的函数和数据的信息。
2、导入目录(Import Directory):包含有关PE文件依赖的其他模块和函数库的信息。
3、资源目录(Resource Directory):包含有关PE文件中嵌入的资源(如图标、字符串、位图等)的信息。
4、异常目录(Exception Directory):包含有关PE文件中定义的异常处理信息。
5、安全目录(Security Directory):包含有关PE文件的安全证书和权限集的信息。
6、重定位目录(Relocation Directory):包含有关PE文件可能需要进行的重定位操作的信息。
7、调试目录(Debug Directory):包含有关PE文件的调试信息。
8、版权目录(Architecture Directory):包含有关PE文件特定于处理器体系结构的信息。
9、全局指针目录(Global Ptr Directory):包含有关PE文件使用的全局指针的信息。
10、TLS目录(TLS Directory):包含有关PE文件使用的线程局部存储(Thread Local Storage)的信息。
11、负载配置目录(Load Configuration Directory):包含有关PE文件的安全性和稳定性配置的信息。
12、绑定导入目录(Bound Import Directory):包含有关PE文件绑定的导入信息。
13、IAT目录(Import Address Table Directory):包含有关PE文件中导入函数的地址表的信息。
14、延迟加载导入目录(Delay Import Directory):包含有关PE文件中延迟加载的导入信息。
15、COM表(COM Descriptor Directory):包含有关PE文件作为COM组件的信息。
16、预留类型表(Reserved):一个预留的条目,通常未使用。

二、解析数据目录并显示

1.数据目录结构体

数据目录表由一个或多个目录条目组成,每个条目描述了一个特定的数据结构或资源的位置。每个目录条目包含以下两个字段:
VirtualAddress(虚拟地址):该字段给出了数据结构或资源在PE文件虚拟地址空间中的起始地址。这个地址是一个RVA(相对虚拟地址)。
Size(大小):该字段给出了数据结构或资源的字节大小。

struct IMAGE_DATA_DIRECTORY
{
   
   
    DWORD VirtualAddress;
    DWORD Size;
};

2.解析数据目录表

bool PEParser::parserFileData(const QByteArray &fileData)
{
   
   
    //判断是否是MZ开头的文件
    if (fileData.left(2) != "MZ")
    {
   
   
        return false;
    }
    //解析DOS头
    parserDOSHeader(fileData.left(sizeof(IMAGE_DOS_HEADER)));
    //DOSStub数据
    m_dosStubData = fileData.mid(sizeof(IMAGE_DOS_HEADER)
最低0.47元/天 解锁文章

200万优质内容无限畅学
PE文件结构(二) 数据目录
jzz5072的博客
01-18 1421
PE文件及结构 MS-DOS头 标准PE头 扩展PE数据目录 节表 数据目录 数据目录表的具体信息实例: 数据目录的各种表的信息,所代表的含义,以及部分表的说明 数据目录表的具体结构 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //起始位置 DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; ...
PE文件学习(三)数据目录表之资源
SanSiro1的博客
08-26 2636
资源是PE文件中最复杂的结构了,资源在PE文件中是以目录结构的形式存在的,一般情况下分为3层,从根目录开始分别是资源类型、目录资源ID与资源代码页。      3层目录结构都是由一个IMAGE_RESOURCE_DIRECTORY结构为头部,后面跟着一个IMAGE_RESOURCE_DIRECTORY_ENTRY结构数组。       结构体IMAGE_RESOURCE_DIRECTORY_E
PE文件结构 - 数据目录表学习
bcbobo21cn的专栏
03-20 2083
数据目录表,是一个结构体数组。数组里的每个元素对应一个数据表。通常有16个。 数组每个元素都是一个结构体,结构体如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 数据表的起始虚拟地址 DWORD Size;// 数据表大小 }IMAGE_DATA_DIRECTORY,*IMAGE_DATA_DIRECTORY 16个数据表依次如下: 导出表、导入表、资源表、异常处理表、安全表、...
PE文件格式数据目录项中的资源表
qq_35426012的博客
11-16 483
资源表 资源表地址在数据目录的数组下标为2的地方,定位到资源表后就可以遍历资源 资源是树形结构,一般有3层 根目录目录 文件 根目录结构结构体如下定义 typedef struct _IMAGE_RESOURCE_DIRECTORY { DWORD Characteristics;          资源属性 DWORD TimeDateStamp;        ...
PE解析器的编写(四)——数据目录表的解析
Masimaro的专栏
05-08 2046
PE结构中最重要的就是区块表和数据目录表,上节已经说明了如何解析区块表,下面就是数据目录表,在数据目录表中一般只关心导入表,导出表和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不会存在资源,所以在这个工具中只是简单的解析了一下导出表和导出表。这节主要说明导入表,下节来说导出表。 RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址找到其在文
pe格式入门图形化显示(一)-DOS头
Mrack的博客
04-05 771
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:头部、节区表、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
pe格式入门图形化显示(三)-可选头
Mrack的博客
04-06 1356
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选头(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选头的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
pe格式入门图形化显示(四)-节表
Mrack的博客
04-06 1269
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE格式的节表(Section Table)是一个数组,它包含了PE文件中各个节(Section)的信息。每个节表项都是一个IMAGE_SECTION_HEADER结构体,它包含了关于节的名称、大小、属性等信息。
pe格式入门图形化显示(二)-文件头
Mrack的博客
04-05 968
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE格式文件头(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。Windows PE格式文件头包含以下字段:Signature(签名):用于确定文件是否为PE格式文件,通常为"PE\0\0"或"PE\0\0\0\0"。
数据目录视图
cuipeng3714的博客
09-28 161
数据目录视图[@more@]数据目录视图DBA_TABLES表存储,行和块信息DBA_INDEXES索引存储,行和块的信息INDEX_STATS索引深度和散布信息DBA_DATA_FILES数据文件位置,名称,和大小信息DBA_...
PE文件(五)数据目录
最新发布
2301_78838647的博客
06-10 1348
添加shellcode有以下几种的方式:1.直接在任意节的空白区添加代码2.新增节添加代码3.扩大最后一个节添加代码4.合并节并添加代码今天我们学习如何扩大节,合并节扩大节在上一节的学习中,我们可以通过上移NT头和节表覆盖DOS Stub以获取足够的空白区来增加新的节表以及后续新增节,但是当整体上移覆盖DOS Stub之后,多出来的空白区域还不够新增节表时,我们就可以使用扩大最后一个节的方法来添加我们的shellcode扩大节主要用于当我们在。
遍历PE文件头、扩展头、数据目录表、区段表信息
cyxvc
11-18 3030
遍历PE文件头、扩展头、数据目录表、区段表信息
打印PE目录数据信息
weixin_33878457的博客
03-14 168
printf("数据目录信息:\n"); PIMAGE_DATA_DIRECTORY MyDataDir; MyDataDir = PIMAGE_DATA_DIRECTORY((&MyOptionalHeader->NumberOfRvaAndSizes + 1));//定位目录位置 for (int i = 0; i < 16;i++) { ...
零基础逆向工程21_PE结构05_数据目录表_导出表
weixin_30378311的博客
10-04 120
数据目录 1、我们所了解的PE分为头和节,在每个节中,都包含了我们写的一些代码和数据,但还有一些非常重要 的信息是编译器替我们加到PE文件中的,这些信息可能存在在任何可以利用的地方。 2、这些信息之所以重要,是因为这些信息包含了诸如: PE程序的图...
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1493
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE格式----目录----导出表
一个热爱逆向,喜爱学习、分享的猿。
05-03 569
PE 文件被执行时,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 数据目录表的第一个成员指向导出表,是一个IMAGE_EXPORT_DIRECTORY(以后简称IED)结构: IMAGE_EXPORT_DIRECTORY STRUCT【导出表,共40字节】 { +00 h DWORD Characteristics ; 未使用,总是定义为0
PE文件学习(二)数据目录表之导出表与导入表
SanSiro1的博客
08-25 4812
数据目录表是PE中比较重要的一个组成部分,其结构如下: IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 //导出表 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1
PE文件常用数据目录遍历方法
weixin_30507269的博客
07-20 318
说明:AppendStrData(char *):向RichEdit添加字符串    AppendSectionData(char *,RGB):向RichEdit添加有颜色的字符串 导入表: void GetImportTable() { AppendSectionData("\n导入表:\r\n",RGB(00,0xBB,0)); if (pNtHeade...
PE文件解析--导出表
qq_31125257的博客
12-22 1702
1、定位导出表 可选pe头中的最后一个字段:数据目录项 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; DWORD Size; } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY; 如何找到这个结构前面的文章已经说过。而且这个 Size 字段不一定是真实的。 上面 Vi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值