逆向启程（4）：第四周培训

最新推荐文章于 2025-12-07 12:00:22 发布

原创最新推荐文章于 2025-12-07 12:00:22 发布 · 1.4k 阅读

30 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

第四周培训

第四周学习任务 1.nssctf上5-10题，写出wp 2.了解pe文件系统中的dos头，pe头部分，安装winhex破解版 3.了解VA，IMAGEBase，RVA，FA具体指什么 4.编程判断主机字节序（了解大小端序）以上内容均写入博客。

一.了解pe文件系统中的dos头，pe头部分

初识PE文件--dos头、pe头 - cunren - 博客园 (这个网站讲的巨全面)

首先如何判断是否为PE文件

1.我们可以通过010Editor，winhex等工具来观察头信息，是不是MZ

2.通过PEiD这个工具直接得出

PE 结构包含的结构体有 DOS 头、PE 标识、文件头、可选头、目录结构、节表等。

关于DOS头

无论是32位或64位可执行文件，其文件的头部必定是IMAGE_DOS_HEADER

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

MZ文件头和Dos Stub。

MZ文件头：IMAGE_DOS_HEADER 结构体，其大小占64个字节，并且该结构中的最后一个LONG类型e_lfanew成员指向PE文件头的位置为中的PE文件头标志的地址。

这里有两个比较有用的成员信息：

1、e_magic，用于判断PE文件的标识。如果不是MZ即不是十六进制值：0x5A4D。计算机存储顺序是低位在前高位在后，所以存储为：0x4D5A。

2、e_lfanew，这里是指pe的偏移量，用于找到pe头的位置

如下阴影区域：

DOS stub：dos存根，在IMAGE_DOS_HEADER和IMAGE_NT_HEADERS之间存在一DOS存根，这其实是一段汇编代码：

PE文件是运行在32位或64位操作系统下的。

其功能是当该EXE运行在16位环境下，输出一段文字：“This program cannot be run in DOS mode”，然后并退出该进程。

在pe文件利用的时候，我们可以把payload写入到当前区域，诸如存放我们的shellcode，在读取时，获取dos头字节数，减去MZ头字节数，即为dos存根字节大小。然后拿去操作加载shellcode等。

PE头：

在MS-DOS头下main，就是PE头，PE头是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称，其中包含许多PE装载器用到的重要字段。

IMAGE_NT_HEADER数据结构定义：

typedef struct _IMAGE_NT_HEADERS {
  DWORD                   Signature;
  IMAGE_FILE_HEADER       FileHeader;
  IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

将文件标识为 PE 映像的 4 字节签名。字节为“PE\0\0”。这个字段是PE文件的标志字段，通常设置成00004550h，其ASCII码为PE00，这个字段是PE文件头的开始，前面的DOS_HEADER结构中的字段e_lfanew字段就是指向这里。

剩下的都可以看那个网站里面的，特别好