PE可选头

最新推荐文章于 2024-06-03 21:10:17 发布
原创 最新推荐文章于 2024-06-03 21:10:17 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据结构 #image #windows #header #byte #struct

本文深入解析PE文件格式中的可选头结构,包括其组成、字段含义及作用,并介绍了环境子系统的定义。

紧跟着PE文件头的,是一个叫做PE可选头(Optional Header)的数据结构。这个数据结构被叫做可选头是因为某些PE格式文件,比如目标文件(.OBJ)没有这个数据结构。但是对于一个可执行文件或动态链接库来说,这个数据结构是必须的。可选头由4部分组成,

第一部分是一个PE可选头签名。通过检查这个签名,我们可以知道这是一个32位的可选头还是64位的可选头。我们现在只介绍32位的可选头。 对于32位的PE文件来说,这个签名是0x10b

紧跟签名的第二部分是一个标准COFF标准数据。再接下来的第三部分是Windows对COFF头所做的一些扩展。最后一部分是PE文件中一些重要数据结构(导入表,导出表等)的索引。

在WINNT.h中,我们可以看到这个可选头的C语法声明:

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

下面我们来看下这里最主要的几个字段。

Field

Description

Magic

一般 0x10b

SizeOfCode

段大

SizeOfInitializedData

初始化的数据大

SizeOfUninitializedData

未初始化数据大

AddressOfEntryPoint

程序入口点 .

BaseOfCode

段在文件中的起始位

 

Field

Description

ImageBase

文件基地址 ,必须 64K 对齐 . 假如应用程序被加载到这个地址,就不需要重定位了。

Win32VersionValue

Reserved, must be zero.

Subsystem

运行该程序需要的环境子系统

DllCharacteristics

DLL 属性

SizeOfStackReserve

默认堆栈大小

SizeOfHeapReserve

默认堆大小

NumberOfRvaAndSizes

数据目录表大小。(下一篇会描述)


环境子系统常量定义

Constant

Value

Description

IMAGE_SUBSYSTEM_UNKNOWN

  0

未知子系统

IMAGE_SUBSYSTEM_NATIVE

  1

Windows 驱动程序

IMAGE_SUBSYSTEM_WINDOWS_GUI

  2

WIN32 GUI

IMAGE_SUBSYSTEM_WINDOWS_CUI

  3

WIN32 控制台

IMAGE_SUBSYSTEM_POSIX_CUI

  7

POSIX

IMAGE_SUBSYSTEM_WINDOWS_CE_GUI

  9

Windows CE

IMAGE_SUBSYSTEM_XBOX

14

XBOX


pe格式从入门到图形化显示(三)-可选
Mrack的博客
04-06 1515
通过分析解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选的结构体有两个版本:IMAGE_OPTIONAL_HEADER32IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)
永不放弃_浪子文---------------黑客文化
02-12 713
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像,是一个可选的结构,但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中
笔记:PE结构(3)可选解析*
Q324411601的博客
08-30 302
笔记:PE结构(3)可选解析*
PE文件格式详解,第三讲,可选文件格式,以及节
weixin_30287169的博客
10-11 175
          PE文件格式详解,第三讲,可选文件格式,以及节 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作用 typedefstruct_IMAGE_OPTIONAL_HEADER { WORD Magic;              ...
【计算机安全与软件开发】PE文件字段详解:Windows可执行文件结构与加载过程分析
07-22
文章依次讲解了PE文件的各个组成部分:DOS部、DOS存根、PE文件签名、COFF文件PE可选以及节区数据目录。每个部分都包含了详细的字段解释,如DOS部的魔数、PE签名的位置与值、COFF文件的目标平台...
windows PE结构可选PE
06-04
PE(Portable Executable)文件的可选部(Optional Header)位于PE部(PE Header)之后,它包含了一些可选信息,例如程序运行时需要的基本信息、PE文件的属性、数据目录等等。可选部的结构如下: ``` typedef...
PE文件结构详解之信息解析
meis27461的博客
06-03 1590
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew示的是新的PE的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE的位置就是0x01+0xF0。
PE文件-文件
weixin_45012273的博客
11-06 213
文件格式 文件是NT的第二个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号偏移 DWORD NumberOfSymbols; //5.
学习PE文件
peterchilly的博客
03-31 477
PE文件(portable executable)大致结构1.DOS文件 64byte                     其中最重要的是: e_magic 示MS-DOS文件的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
PE文件COFF文件格式分析——签名、COFF文件可选文件1
方亮的专栏
07-19 6805
本文将讨论PE文件中非常重要的一部分信息。(转载请指明来源于breakSoftware的优快云博客)         首先说一下VC中对应的数据结构。“签名、COFF文件可选文件”这三部分信息组合在一起是一个叫IMAGE_NT_HEADERS的结构体。 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMA
可选 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 332
//IMAGE_OPTIONAL_HEADER结构(可选映像) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
PE文件COFF文件格式分析——签名、COFF文件可选文件3
方亮的专栏
08-31 2732
        《PE2》中介绍了一些可选文件中重要的属性,为了全面起见,本文将会讲解那些不是那么重要的属性。虽然不重要,但是还是可以发现很多好玩的情况。首先看一下32位的可选文件详细定义。(转载请指明来源于breaksoftware的优快云博客) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields....
第三课 完善可选(整个PE课程中最重要的一课)
xuenixiang.com
07-20 364
上一节课中我写好了_IMAGE_OPTIONAL_HEADER 的前10个成员,今天我接着来完善这个结构中最重要的两个成员,在学习第11个第12个成员之前我们先来认识一下PE磁盘文件与内存映像结构图。 做一个RVAtoRAW的转换练习(根据上节课讲的转换公式) RVA: (Relative Virtual Address 简称RVA),RVA只是内存中的一个简单的相对于PE文件装入地...
PE可选PEIMAGE_OPTIONAL_HEADER32/64 简(三)
想喝奶茶的胖大海
12-26 1235
文章目录IMAGE_OPTIONAL_HEADER32/64WORD Magic程序入口DWORD CheckSum IMAGE_OPTIONAL_HEADER32/64 PE中的第三部分,可选(扩展)PE,重点为“+” typedef struct _IMAGE_NT_HEADERS { DWORD Signature //PE标识 IMAGE_FILE...
pe文件of映像文件
做一个快乐学习者
10-19 319
typedef struct _IMAGE_FILE_HEADER { USHORT Machine;//运行平台 USHORT NumberOfSections;//区段数量 ULONG TimeDateStamp;//文件创建时间 ULONG PointerToSymbolTable;//符号指针 ULONG NumberOfSymbols;//符号数量 USHORT SizeOfOpt...
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 1318
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
(转载)PE文件结构
dgvfx80822的专栏
04-03 158
PE可选部 转载注明出处: http://blog.163.com/yl32940@126/blog/static/50356084201301454044891/   PE可执行文件中接下来的224个字节组成了PE可选部。虽然它的名字是“可选部”,但是请确信:这个部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选部的...
PE文件结构剖析---基本结构
For Geek
04-25 1520
PE简介 PE文件衍生于早期建立的COFF文件格式,EXEDLL文件实际上用的是同一种文件格式,唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。64位Windows格式为PE32+。只是简单的将以前的32位字段扩展到64位。 重要要点 要认识到PE文件不是作为单一内存映射文件被装入内存的。 PE加载器通过遍历PE文件决定哪一部分被映射。 磁盘上的数据结构布局内存中的数据结构布局是一致...
可选pe头结构
最新发布
09-04
<think> 嗯好的,用户这次想了解可选PE的结构,看来是在研究Windows可执行文件格式。从引用内容看,用户已经接触过PE文件的基础概念,现在需要深入理解可选的具体组成功能。 用户可能正在学习逆向工程或系统开发,需要掌握PE文件解析技术。引用[2][3][4]特别提到了可选的版本差异数据结构,这应该是重点内容。用户上次提到的是PE整体结构,这次聚焦可选说明学习在逐步深入。 需要特别注意几个技术要点:一是32位64位版本的魔术字差异(0x10b0x20b),这在引用[4]的宏定义里有明确体现;二是可选中的关键字段如AddressOfEntryPointImageBase,这些关系到程序执行入口内存映射;三是数据目录的结构,它指向导入导出等核心信息。 用户提供的引用[5]提到模块概念很有意思,虽然可选没有直接关系,但可以说明用户对PE文件的整体认知是清晰的。在回答时要注意区分文件(IMAGE_FILE_HEADER)可选(IMAGE_OPTIONAL_HEADER)的界限,引用[4]特别强调过前者描述文件特征后者管理装载信息。 考虑到用户的技术水平,准备用格形式呈现字段偏移量会更直观。由于涉及指针位宽差异,要明确标注32/64位版本的不同字段大小。DataDirectory数组的解析需要单独说明,因为它是嵌套结构。 最后生成的问题需要考虑用户可能的后续研究方向:结构内存映射关系、实际解析工具的使用、安全领域的应用场景等。特别要包含区块对齐这类难点问题,引用[3]提到过区块(section header)与可选的关联性。 </think> 以下是关于 PE 可选(`IMAGE_OPTIONAL_HEADER`)的详细解析,结合引用内容整理关键信息: --- ### **一、可选的作用** 可选是 NT (`IMAGE_NT_HEADERS`)的重要组成部分,紧跟在**文件(`IMAGE_FILE_HEADER`)**之后。它的核心作用是**管理 PE 文件被操作系统加载到内存时的关键信息**,包括: - 程序入口点(EntryPoint) - 内存对齐方式 - 所需系统版本 - 堆栈大小 - 数据目录(指向导入、导出等)[^2][^4] > 引用说明:*“文件描述文件基本信息,可选管理装载信息”*[^4]。 --- ### **二、32位与64位版本的区别** 可选分为 **`IMAGE_OPTIONAL_HEADER32`(32位)** **`IMAGE_OPTIONAL_HEADER64`(64位)**,通过**魔术字(Magic)** 区分: - `0x10B` → 32 位版本 - `0x20B` → 64 位版本 - `0x107` → ROM 镜像(较少见)[^4] ```cpp // 系统宏定义(引用[4]) #define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b #define IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b ``` > **关键差异**: > - 64 位版本**删除**了 `BaseOfData` 字段(32位独有)。 > - 地址字段(如 `ImageBase`)从 `DWORD`(4字节)扩展为 `ULONGLONG`(8字节)。 --- ### **三、数据结构与关键字段解析** #### **1. 通用字段(32/64位共用)** | 字段名 | 偏移 | 大小 | 说明 | |----------------------|------|------|------| | **Magic** | 0x00 | 2 | 标识版本(0x10B/0x20B) | | **AddressOfEntryPoint** | 0x10 | 4 | **程序执行入口地址**(RVA) | | **ImageBase** | 0x1C | 4/8 | 文件加载到内存的基地址 | | **SectionAlignment** | 0x24 | 4 | 内存中区块的对齐值(通常 0x1000) | | **FileAlignment** | 0x28 | 4 | 文件中区块的对齐值(通常 0x200) | | **SizeOfImage** | 0x38 | 4 | 加载到内存后的总大小(对齐后) | | **Subsystem** | 0x44 | 2 | 文件类型(GUI=2, CONSOLE=3) | #### **2. 32位特有字段** | 字段名 | 偏移 | 大小 | 说明 | |-----------------|------|------|------| | **BaseOfData** | 0x14 | 4 | 数据段的起始 RVA(64位已移除) | #### **3. 数据目录(DataDirectory)** 位于可选末尾(32位偏移 `0x60`,64位偏移 `0x70`),包含 **16 个结构体数组**,每个结构体定义: ```c typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; // 数据起始 RVA DWORD Size; // 数据大小 } IMAGE_DATA_DIRECTORY; ``` **重要目录索引**: - 0: 导出(`Export Table`) - 1: 导入(`Import Table`) - 2: 资源(`Resource Table`) - 5: 重定位(`Base Relocation Table`) > 引用说明:*“数据目录指向导入、导出等核心结构”*[^4]。 --- ### **四、内存映射关系** 可选中的字段直接影响 PE 加载行为: 1. **`ImageBase` + `AddressOfEntryPoint`** → 程序第一条指令地址。 2. **`SectionAlignment`** **`FileAlignment`** 共同决定区块在磁盘文件与内存中的布局差异。 3. **`SizeOfImage`** 确保系统预留足够内存空间[^3][^4]。 --- ### **五、解析示例(C++伪代码)** ```cpp // 读取 NT IMAGE_NT_HEADERS* pNtHeader = (IMAGE_NT_HEADERS*)(pDosHeader + pDosHeader->e_lfanew); // 获取可选指针(兼容32/64位) if (pNtHeader->OptionalHeader.Magic == 0x10B) { IMAGE_OPTIONAL_HEADER32* pOptHeader = &(pNtHeader->OptionalHeader32); DWORD entryPoint = pOptHeader->AddressOfEntryPoint; // 入口点 RVA DWORD imageBase = pOptHeader->ImageBase; // 基址 } else if (pNtHeader->OptionalHeader.Magic == 0x20B) { IMAGE_OPTIONAL_HEADER64* pOptHeader = &(pNtHeader->OptionalHeader64); // 64位字段处理... } ``` > 完整源码可参考引用[^3][^4]。 --- ### **总结** 可选是连接**文件结构**与**内存执行**的桥梁,其字段精确控制了 PE 文件如何被操作系统加载运行。掌握其结构对逆向分析、漏洞挖掘及安全加固至关重要[^1][^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值