(加密解密技术内幕)File Header (文件头)

最新推荐文章于 2025-04-19 10:00:00 发布
最新推荐文章于 2025-04-19 10:00:00 发布
阅读量2.9k 收藏 2
点赞数
本文深入讲解PE文件结构中的DOS MZ header与PE header部分,包括IMAGE_DOS_HEADER及IMAGE_NT_HEADERS结构。重点介绍了PE header的FileHeader部分,详细解释了Machine、NumberOfSections和Characteristics等字段的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们将要研究PE header的file header(文件头)部分。

至此,我们已经学到了哪些东东,先简要回顾一下:

DOS MZ header又命名为IMAGE_DOS_HEADER.。其中只有两个域比较重要:e_magic包含字符串"MZ",e_lfanew包含PE 
header在文件中的偏移量。

比较e_magic是否为IMAGE_DOS_SIGNATURE以验证是否是有效的DOS header。比对符合则认为文件拥有一个有效的DOS 
header。

为了定位PE 
header,移动文件指针到e_lfanew所指向的偏移。

PE header的第一个双字包含字符串"PE\0\0"。该双字与IMAGE_NT_SIGNATURE比对,符合则认为PE header有效。

本课我们继续探讨关于PE header的知识。PE header的正式命名是IMAGE_NT_HEADERS。再来回忆一下这个结构。

IMAGE_NT_HEADERS STRUCT    Signature dd ?    FileHeader IMAGE_FILE_HEADER <>    
OptionalHeader IMAGE_OPTIONAL_HEADER32 <>IMAGE_NT_HEADERS ENDS

SignaturePE标记,值为50h, 45h, 00h, 00h(PE\0\0)。FileHeader该结构域包含了关于PE文件物理分布的一般信息。OptionalHeader该结构域包含了关于PE文件逻辑分布的信息。

最有趣的东东在OptionalHeader里。不过,FileHeader里的一些域也很重要。本课我们将学习FileHeader,下一课研究OptionalHeader。

IMAGE_FILE_HEADER STRUCT    Machine WORD ?    NumberOfSections WORD ?    TimeDateStamp dd 
?    PointerToSymbolTable dd ?    NumberOfSymbols dd ?    
SizeOfOptionalHeader WORD ?    Characteristics WORD ?IMAGE_FILE_HEADER 
ENDS

Field 
name

Meanings

Machine    该文件运行所要求的CPU。对于Intel平台,该值是IMAGE_FILE_MACHINE_I386(14Ch)。我们尝试了LUEVELSMEYER的pe.txt声明的14Dh和14Eh,但Windows不能正确执行。看起来,除了禁止程序执行之外,本域对我们来说用处不大。    

NumberOfSections    文件的节数目。如果我们要在文件中增加或删除一个节,就需要修改这个值。    

TimeDateStamp    文件创建日期和时间。我们不感兴趣。    

PointerToSymbolTable    用于调试。    

NumberOfSymbols    用于调试。    

SizeOfOptionalHeader    指示紧随本结构之后的OptionalHeader结构大小,必须为有效值。    

Characteristics    关于文件信息的标记,比如文件是exe还是dll。    

简言之,只有三个域对我们有一些用:Machine,NumberOfSections和Characteristics。通常不会改变Machine和Characteristics的值,但如果要遍历节表就得使用NumberOfSections。为了更好阐述NumberOfSections的用处,这里简要介绍一下节表。

节表是一个结构数组,每个结构包含一个节的信息。因此若有3个节,数组就有3个成员。我们需要NumberOfSections值来了解该数组中到底有几个成员。也许您会想检测结构中的全0成员起到同样效果。Windows确实采用了这种方法。为了证明这一点,可以增加NumberOfSections的值,Windows仍然可以正常执行文件。据我们的观察,Windows读取NumberOfSections的值然后检查节表里的每个结构,如果找到一个全0结构就结束搜索,否则一直处理完NumberOfSections指定数目的结构。为什么我们不能忽略NumberOfSections的值?有几个原因。PE说明中没有指定节表必须以全0结构结束。Thus there may be a situation where the last array member 
is contiguous to the first section, without empty space at all. Another reason 
has to do with bound imports. The new-style binding puts the information 
immediately following the section table's last structure array member.因此您仍然需要NumberOfSections。

BruceEditCode
关注
File Header和Page Header
AmorHZR的博客
01-05 2250
💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨。
文件加密解密之位异或运算解密(javascript篇)
kfyzjd2008的博客
06-12 1784
这算是一个入门的文件加密解密文章吧。虽然说当今互联网信息共享。但是我真的搜索不到什么比较好的由浅入深讲解文件加密解密的文章。可能我的姿势不太对。这篇文章算是记录一下我的学习。也同时分享给大家。如果错误,欢迎指正。 一、当然是了解文件的存储结构了。 太底层的东西就不讲了,因为我也不清楚。大家都知道计算机其实只认识1and0。其实就是一个高电压和一个低电压。 好吧,其实我也不懂。这部分略过。 ...
iczelion pe tutcn3
jimgreen的专栏
08-29 835
 PE教程3: File Header文件头)本课我们将要研究 PE headerfile header文件头)部分。至此,我们已经学到了哪些东东,先简要回顾一下:DOS MZ header 又命名为 IMAGE_DOS_HEADER.。其中只有两个域比较重要: e_magic 包含字符串"MZ",e_lfanew 包含PE header在文件中的偏移量。 比较
(转)File Header文件头,通过检查文件头来判断文件类型
Amos318的专栏
10-29 2325
view plaincopy to clipboardprint? function checkFileType($fileName){           $file     = fopen($fileName, "rb");           $bin      = fread($file, 2); //只读2字节           fclose($file);
ELF Format-1-File Header
Starr
01-02 509
文章目录0. 获取readelf源码1. File Header1.1 基本信息1.2 程序头表1.3 段表1.4 readelf中的代码 这个分析过程可以在windows中用010editor的elf模板打开一个elf文件对照分析。 elf文件大致结构: | file header | readelf -h |---------------------| |program hea...
IntelliJ IDEA File Header
热门推荐
学而不厌 诲人不倦
09-01 1万+
介绍 利用IntelliJ IDEA构造Java文件的头信息(File Header),如作者,时间,版本,Class的描述信息等。 步骤 找到配置File Header的位置,依据 File -&gt; Settings -&gt; Editor -&gt; File and Code Templates 如下图所示 对应Includes中的File Header 构造...
【软件加密_技术内幕
04-24
[Trial version] 加密解密技术内幕.htm [Trial version] 目录.htm [Trial version] 第1章 PE文件格式深入研究 [Trial version] 1.1 PE文件格式格式纵览 [Trial version] PE文件格式一览.html [Trial version] ...
软件加密技术内幕 chm
10-04
软件加密技术内幕 要花时间看 第1章 PE文件格式深入研究 1.1 PE文件格式格式纵览 1.1.1 区块(Section) 1.1.2 相对虚拟地址(Relative Virtual Addresses) 1.1.3 数据目录 1.1.4 输入函数(Importing ...
【DXF文件安全性策略】:Java中的加密与解密技术深度解析
[【DXF文件安全性策略】:Java中的加密与解密技术深度解析](https://img-blog.csdnimg.cn/e3717da855184a1bbe394d3ad31b3245.png) # 摘要 随着数字化时代的来临,DXF文件因广泛应用于工程图纸和设计领域而面临日益...
MP4文件格式中的加密与解密技术深入研究
MP4文件内部通常包含多个轨道(track),如音频轨道、视频轨道、字幕轨道等,这使得MP4文件能够同时存储多种媒体数据,方便实现多媒体资源的管理和播放。 ## 1.2 MP4文件格式的结构和特点 MP4文件格式采用基于容器...
File Header文件头,通过检查文件头来判断文件类型
billhu专栏
12-21 3451
由这些文件头即使文件后缀被乱改也可以通过查看二进制文件查出文件的匹配格式,当然这就是一些播放器识别文件的方法1、从Ultra-edit-32中提取出来的JPEG (jpg)文件头:FFD8FF PNG (png)文件头:89504E47 GIF (gif)文件头:47494638 TIFF (tif)文件头:49492A00 Windows Bitmap (
使用idea设置文件头File Header,使每次新建类都会自动生成一些信息
leyili_s的博客
03-28 1万+
使用idea时,看见别人每次新建类都会自动生成一些个人信息,捣鼓半天,并附上以前见过的佛主镇楼图:这是我个人的配置效果/** * Created by *** * Date 2018/3/28 0:53 * Description */本人使用的是idea2017 2.4版本 其余版本配置大体相同   路径为 setting--&gt;editor--&gt;File and Code ...
idea 设置注释File Header
yuell102的博客
09-09 1510
文章目录 /** * @description <功能描述> * @author: <user> 工号 * @Date: ${DATE} */
文件头格式解析
最新发布
2301_78919866的博客
04-19 581
在CTF竞赛的MISC(杂项)方向中,文件头分析是破解隐写术、文件修复、数据恢复等题目的核心技能。文件头File Header)是文件开端的特定字节序列,用于标识文件类型和格式。本文将从实战角度总结常见文件头特征、分析技巧及解题套路。
IDEA 中设置 File Header 以及自定义类、方法注释模板的方法
Jaylon Wang的专栏
06-03 6075
IDEA 中设置 File Header 以及自定义类、方法注释模板的方法 1 设置 File Header File -> Settings -> File and Code Templates -> Includes -> File Header -> 编辑 2 自定义类、方法注释 File -> Settings -> Live T...
PE Header中的FIleHeader(文件头)
weixin_34007291的博客
06-28 631
IMAGE_FILE_HEADER STRUCT Machine WORD ? NumberOfSections WORD ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader WORD ? Characteristic...
修改file header ()
"杰"出虚拟平台-数据运维~~
07-15 1471
学习使用数据库手术刀:bbed
怎么判断文件是TSD-Header加密
03-16
<think>好的,用户想知道如何判断文件是否经过TSD-Header加密。首先,我需要明确TSD-Header是什么,但用户提供的信息中没有直接提到。不过根据用户提供的引用,特别是引用[1]提到如何验证DOS header,引用[2]关于加密值生成,引用[3]关于PES包头的DTS和PTS。可能需要结合这些信息来分析。 TSD-Header可能是一种自定义的文件头结构,用于标识加密。类似DOS header的验证方法,可能需要检查文件头的特定标识符。例如,DOS header的魔数IMAGE_DOS_SIGNATURE(0x5A4D),TSD-Header可能也有类似的魔数或特征值。 根据引用[2],node版生成正确的加密值,可能涉及特定的加密算法或哈希值存储在头中。因此,判断TSD-Header加密可能需要检查文件头是否有特定的加密标识、魔数或哈希值。此外,可能需要工具来解析文件头,查看是否符合TSD的结构。 步骤可能包括:1. 检查文件头是否有已知的TSD标识符;2. 分析文件结构是否符合TSD规范;3. 使用工具解析头信息或验证加密签名。 需要确认是否有公开的TSD-Header规范,或者是否有工具支持检测该加密类型。如果TSD是专有加密,可能需要特定工具或密钥来验证。此外,引用[3]中的时间戳处理可能不相关,但如果是流媒体加密,可能与封装格式有关。 总结,判断方法可能包括检查文件头魔数、结构分析、使用特定工具或脚本验证加密特征,以及参考相关文档或加密算法信息。</think>要判断文件是否经过TSD-Header加密,可以按照以下步骤进行: ### 一、文件头特征验证 1. **魔数比对** TSD-Header作为加密标识,通常会包含特定字节序列(类似DOS header的`0x5A4D`)。使用十六进制编辑器(如HxD、010 Editor)查看文件起始字节: - 若发现固定格式的标识符(如`0x54 0x53 0x44`对应ASCII的"TSD"),则可能是TSD-Header[^1] - 示例:有效DOS header的验证逻辑可参考`if(e_magic == IMAGE_DOS_SIGNATURE)`的实现方式 2. **结构完整性检查** TSD-Header可能包含长度字段或加密参数,需验证: - 头长度是否符合预期(如固定32字节) - 是否包含加密算法标识(如AES、RSA的OID编码) - 是否存在密钥索引或哈希值(如引用[2]提到的`aHt0c6Lyn9Ox28S8K0OqN...`这类加密特征值) ### 二、加密特征分析 1. **熵值检测** 使用工具如`binwalk -E`检测文件熵值。加密后的数据熵值接近8,而未加密文件熵值通常较低。 2. **已知模式匹配** 若TSD-Header采用特定加密模式(如CBC+HMAC),可通过解密脚本尝试提取头部的IV(初始化向量)和MAC值,并验证是否符合格式。 ### 三、工具推荐 1. **010 Editor模板** 编写自定义模板解析疑似TSD-Header结构,自动校验魔数和字段逻辑关系。 ```python # 示例模板片段 if ReadByte(0) == 0x54 && ReadByte(1) == 0x53 && ReadByte(2) == 0x44 { Printf("Detected TSD-Header"); } else { Printf("Not a TSD encrypted file"); } ``` 2. **加密识别工具** - `file`命令(Linux):结合magic number数据库扩展 - `TrID`(Windows):通过文件特征库识别加密类型 ### 四、引用文献交叉验证 若文件涉及流媒体加密(如引用[3]中PES包头的时间戳机制),需注意TSD-Header可能与媒体容器格式(如MPEG-TS)的加密扩展规范相关,此时应参考相关RFC文档进行协议级验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值