PE文件头常用字段总结

最新推荐文章于 2021-09-22 11:23:23 发布
原创 最新推荐文章于 2021-09-22 11:23:23 发布 · 2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#alignment #image #import

本文详细介绍了PE文件格式的关键部分,包括PE文件头、入口点、数据目录表等,并解释了如何通过这些信息来理解PE文件的加载过程及重定位表的作用。

文件头 3Ch偏移处:PE文件头的地址

PE文件头28h偏移处:入口点的RVA
2Ch:代码段RVA

30h处:data段RVA
34h处:默认装入地址

38h,3Ch:内存中alignment(一般为1000h,一页),文件中alignment(一般为200h)
50h:image尺寸
78h:数据目录表开始
目录表结构: 8bytes,DWORD 保存起始RVA,DWORD保存 数据表长度
80h:输入表的目录表
输入表的IID结构: 5个DWORD,第一个OriginFirstThunk,最后一个FirstThunk,分别指向INT和IAT,都是IMAGE_HTUNK_DATA数组
IMAGE_THUNK_DATA:1个DWORD的union,一般为表示函数名字符串的RVA,或直接为函数地址
函数名字符串:IMAGE_IMPORT_BY_NAME:WORD hint(2字节)+ ascII 串


在OEP处设段,抓取的dump映像里面,IAT已经被外壳填充为真实的输入函数地址,所以要重构输入表,把他还原为INT的形式,运行时由PE加载器去枚举INT,获取真正的输入函数地址,填充IAT

 

A0h:重定位表的目录表

重定位表结构: DWORD 起始RVA,DWORD 数据长度,WORD数组,偏移值 。重定位表一般按页面组织

起始RVA+偏移值低12位=要重定位的地址的RVA,起始RVA一般为1000h,因为要重定位的基本都是代码段里面的直接地址引用之类。 一般只有DLL要用到重定位表,EXE都能加载到预定地址0x400000

PE文件格式总结 - DOS文件头PE文件头、节详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头PE文件头、节详解
PE文件结构详解之头信息解析
meis27461的博客
06-03 1615
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
PE头字说明
tell_me_404的博客
08-09 497
PE头字说明一、 PE格式结构图二、PE各字说明三、对应关系 一、 PE格式结构图 建议放大看 二、PE各字说明 未注释的代是重点 1、DOC头: WORD e_magic * "MZ标记" 用于判断是否为可执行文件. DWORD e_lfanew; * PE头相对于文件的偏移,用于定位PE文件 2、标准PE头: WORD Machi
PE文件详解(一)--数据结构字
lj94093的专栏
01-12 1583
DOS MZ头IMAGE_DOS_HEADER STRUCT : IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic //Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4hWORD e_cp
PE文件地址与内存地址
软件调试的变革
12-14 3226
1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址与VA(virtualAddress)之间的转换。 文件偏移地址(file offset)文件相对于文件开头的偏移 装载基址(image base)PE装入内存时的基地址
PE文件:(1)基础知识
weixin_43972499的博客
04-06 1154
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区,区中包含文件基本信息、数据、代码,各个区按页大小对齐,每个区都有自己的属性,如是否可读、可写和可执行。 PE文件结构
【计算机安全与软件开发】PE文件头详解:Windows可执行文件结构与加载过程分析
最新发布
07-22
PE文件采用分层结构,操作系统加载器通过解析PE文件头确定程序的内存布局、依赖关系和执行入口点。文章依次讲解了PE文件的各个组成部分:DOS头部、DOS存根、PE文件签名、COFF文件头PE可选头以及节区头和数据目录...
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2741
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址PE文件格式
PE文件结构(一) MS-DOS头 ,PE
jzz5072的博客
10-31 705
漏洞 漏洞具体介绍 漏洞类型 漏洞价值 对于安全从业者而言可以用来止损
PE文件头的各种信息查询
01-16
查询PE文件头的基本信息,导入,导出,重定位,资源信息的C实现
获取PE文件入口
::CreateFile
09-26 4931
<br />大家好,最近在网上看了一下PE文件结构的解释的文章,里面有一个修改PE文件的示例,是向PE文件插入一个消息框,以让目标PE文件执行时首先显示插入的消息框,其中有一代码如下:<br /><br />//计算新的程序入口地址<br />DWORD dwNewEntryAddress = dwEntryWrite + dwCodeOffset;<br /><br />这代码我看不明白,为什么要在最后加上代码偏移值呢?被写入的代码是写在dwEntryWrite地址处,把入口点改在这个地方不就可以了么
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE文件头的结构
qq_45944873的博客
05-16 1332
PE文件是windows下可移植的可执行文件,常见的有exe、dll后缀文件都是PE文件。PE文件头是对整个PE文件数据存储的说明和文件信息的阐述,是一种数据组织方式。32位系统的PE头包括以下结构:DOS MZ头,DOS Stub,PE头,PE头,节和节内容。 DOS ...
滴水逆向三期实践1:PE头字解析,附PE结构下载
Rivival_S 的博客
09-22 2535
视频资源详见网盘搜索 或 在线的B站滴水逆向三期 其课件也能在优快云或百度搜索到,以下部分为课件内容摘要,部分为自己的理解 最后附上详细注释的自写代码 PE(Portable Executable)文件,是windows上的可移植的可执行文件,常见的 .exe .dll .sys 等都是PE文件。那么PE文件和计算机网络的各种包头一样,都有自己独特的格式。 这里有张PE格式图的部分截图,完整版链接:https://pan.baidu.com/s/1ToG2wc_qOi0BfrLTe...
PE中重要数据结构(winnt.h)
CHkylin的博客
08-24 1704
在winnt.h头文件中保存了PE中用到的所有结构体。 //DOS头 typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header     WORD   e_magic;                     // Magic number     WORD   e_cblp;                      // Byt
PE文件格式各个头部结构
qq_35426012的博客
11-13 843
pe文件格式 Dos头 Dos头数据格式定义如下 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number (固定标志,不会变的标志)4D5A MZ,用来判断是否是DOS程序的 WORD e_cblp; ...
PE文件解析-文件头与整体介绍
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
探索PE文件头信息的解析工具
PE文件头的解析通常涉及到一系列固定的结构和字,例如: - Signature(签名):确定文件是否为有效的PE文件; - IMAGE_NT_HEADERS(NT头):包含PE格式特有的数据; - IMAGE_NT_HEADERS.FileHeader(文件头):...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值