PE的些许知识

最新推荐文章于 2025-08-13 18:59:48 发布
最新推荐文章于 2025-08-13 18:59:48 发布
阅读量156 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jordan22/article/details/89810099
本文详细介绍了PE文件的组成,包括IMAGE_DOS_HEADER、stub、IMAGE_NT_HEADERS32等部分。阐述了各部分的字节大小、定位方式及关键参数含义,如PE标志、程序执行入口、内存对齐值等,对理解PE文件结构有重要意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE的组成

IMAGE_DOS_HEADER  (64bytes)  +0x3c定位PE标志

stub(填充区域)

IMAGE_NT_HEADERS32(4+20+224 = 248bytes)

    PE标志           DWORD     4bytes

    IMAGE_FILE_HEADER(20bytes)

                    +0x00 Machine               WORD

                    +0x02 NumberOfSections      WORD

                    +0x10 SizeOfOptionalHeader  WORD 32BIT---E0    64BIT---F0  

                    +0x12 Characteristics       WORD exe(010f)    dll(2102)    

    IMAGE_OPTIONAL_HEADER32(224bytes)

                    +0x00 Magic    WORD  PE32(010B) PE32+(020B 64位PE)

                    +0x02 MajorLinkerVersion BYTE

                    +0x03 MinorLinkerVersion BYTE

                    +0x04 SizeOfCode  DWORD 所有代码区块的大小

                    +0x10 AddressOfEntryPoint DWORD(PE + 0x28 2行半 RVA + base = OEP)程序执行入口

                    +0x14 BaseOfCode DWORD(RVA PE + 0x2C)代码区块起始RVA

                    +0x18 BaseOfData DWORD(RVA PE + 0x30)数据区块起始RVA 

                    +0x1C ImageBase  DWORD 程序默认载入基地址 PE标志3行第二个4字节对应的值

                    +0x20 SectionAlignment DWORD 内存对齐值

                    +0x24 FileAlignment    DWORD 文件对齐值

                    +0x38 SizeOfImage      DWORD 映像载入内存后的总大小

                    +0x3C SizeOfHeaders    DWORD DOS头+PE文件头+区块表的大小

        IMAGE_DATA_DIRECTORY(16 * 8 = 128bytes)

                    +0x00 DWORD RVA 数据块的起始RVA

                    +0x04 DWORD Size

IMAGE_SECTION_HEADER (40Bytes 2行半)

        +0x00 Name                     BYTES[8] 区块名字

        +0x08 VirtualSize             DWORD 区块的尺寸

        +0x0C VirtualAddress      DWORD 区块的RVA

        +0x10 SizeOfRawData    DWORD 在文件中对齐后的尺寸

        +0x14 PointerToRawData DWORD 在文件中的偏移

        +0x24 Characteristics  DWORD 区块属性

jordan22
关注
免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天
2301_77578012的博客
10-27 1389
【代码】免杀对抗-基础知识入门和如何对抗反沙箱、反调试技术 第一天。
NT内核和驱动开发的基础知识-笔记
kernelspy
10-25 3138
这是我在学习NT内核和驱动开发的基础知识时记录的一些笔记,不是连续的教程,欢迎指正错误的地方 -------------------------------------------------------------------------------------------- NT内核模式组成部分(从上到下:NT执行体/NT内核/HAL硬件抽象层): 1、HAL硬件抽象层    NT内
PE头解析(仅限于PE头)
qq_58405021的博客
11-30 1866
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
PE文件解析
zhang14916的博客
11-22 4152
IMAGE_DOS_HEADER结构(DOS头部) typedef struct _IMAGE_DOS_HEADER {     WORD   e_magic;         // MZ标志     WORD   e_cblp;        WORD   e_cp;          WORD   e_crlc;        WORD   e_cparhdr;     WORD ...
WINDOWS+PE权威指南读书笔记(13)
沐一 · 林 的博客
11-26 934
目录 资源表 菜单资源解析: 图标资源解析: 图标组资源解析: 对话框资源解析: 资源表编程: 更改图标实验: 提取程序图标实例: 更改程序图标实例: 总结: 资源表 菜单资源解析: 以下内容以 PE.exe 为例,首先来看对菜单资源的解析。 首先回顾一下前面菜单目录的菜单的汇编语言语法: 菜单项的语法格式如下: 菜单资源定位: 从 PEInfo 中查看到菜单资源的位置和大小分别是: 口文件位置: 0x00001018 口菜单项大小: 1
PE文件结构详解以及内存粒度对齐问题
最新发布
Tarnishedone的博客
08-13 784
PE文件结构详解
免杀的艺术:PE文件后门的植入(二)
weixin_34109408的博客
09-20 722
本文讲的是免杀的艺术:PE文件后门的植入(二), 在上一篇《免杀的艺术 1》中,我们详细列举了各种实现免杀的技术。 今天,我们将继续为大家进行免杀的话题——PE文件后门的植入, 不过还是和上一篇一样,我们建议读者需要了解x86程序集,调试器和PE文件的基本知识。 现在几乎所有的安全研究人员,安全测试人员和恶意软件分析人员每天都要处理各种各样与后门攻击相...
论系统重装
rove920426的博客
09-04 998
论系统重装——送给还不懂的你     系统重装是一个大家都不陌生的事情,就算没有亲手操作过,至少也听过,或者让别人给你装过系统。常见的系统ghost版本不外乎下面图中罗列的这些: 那么到底系统重装有什么特点,为什么经常拿到电脑店里动不动系统重装?其次系统重装有没有什么注意事项,下面我说的这些都是基于我这么多年积累的实际心得,相信总有那么几点是你不曾注意到的。   一、系统重装——包治“百
制作一辆“自动驾驶”平衡自行车需要用到哪些知识
LANXIAMAO的博客
09-10 388
先列举出需要学习的内容:元器件、电路板设计、CAD画图、MCU、C语言、Python因为主要是想学机器视觉和控制相关的知识,为了省去电路设计、CAD模型设计, 我从网上直接买了一辆平衡小车进行改造。调整了代码让小车自己兜圈。后面加了视觉寻迹的功能。有时间考虑做下基于视觉避障的优化。这是小车的顶部视角图片。
如何度过人生艰难:魔都28岁硬核知识型美少女自救指南
IT派
11-18 5666
Hello大家好,我是柱柱哥,以及一个正在接受Rchop方案化疗的滤泡型淋巴瘤4期病人。其实很不想提笔写自己的事情,好像强迫别人了解接受自己一样。可是这两天一直刷到朋友圈...
西班牙PE电气V5软启动器用户手册.pdf
10-15
根据提供的文件内容,我们可以了解到关于西班牙PE电气V5软启动器用户手册的一些详细知识点。由于文档内容经过OCR扫描可能存在些许误差,需要在理解的基础上进行适当的修正和补充。下面是关于V5软启动器用户手册的...
U盘WinPE:无光驱情况下重装系统必备教程
以下是关键知识点: 1. **U盘WinPE的优势**:使用U盘作为PE启动盘的优点在于无需依赖光驱,方便在没有传统安装媒介时进行系统重装。然而,实际操作中需要配合GHO(Ghost Image)镜像文件,这通常是个系统备份或克隆...
深入解析Windows性能分析工具WPA
虽然这个标签有些许拼写错误,但其含义应该是指与WPA相关的性能分析和优化知识。 5. WPA:这个标签是Windows Performance Analyzer的缩写,进一步确认了工具的功能和用途。 详细说明: WPA工具集成了ETW(Event ...
电赛历年试题&经验分享.7z
08-12
电赛历年试题&经验分享.7z
PLC立体车库智能仿真系统:基于博途V15的西门子1200PLC控制与触摸屏操作 - PLC编程 v1.5
08-12
基于博途V15软件平台构建的3×2立体车库智能仿真系统。该系统采用西门子1200PLC进行控制,配备触摸屏操作界面,实现了自动出入库、电梯式小车移动以及变频器输出等功能。文中展示了详细的程序注释和模块化编程方法,如使用TON定时器实现载车板升降的速度控制,利用FC块封装车辆检测模块,通过GRAPH语言编写自动出入库逻辑等。此外,还提到了系统的IO表设计和故障处理机制,以及未来可能加入AI算法进行智能车位分配的设想。 适合人群:对PLC编程、工业自动化控制系统感兴趣的工程师和技术爱好者。 使用场景及目标:适用于学习和研究PLC编程技巧、工业自动化控制系统的仿真开发,帮助理解和掌握PLC控制逻辑、触摸屏交互设计、变频器仿真等关键技术。 其他说明:该项目不仅提供了完整的源代码和详细的注释,还能在博途PLCSIM Advanced环境中进行全仿真测试,为实际工程应用提供宝贵的经验和参考。
LuWu-陆吾,一个简单的无代码深度学习平台
08-12
资源下载链接为: https://pan.quark.cn/s/2f73b93e37c3 LuWu——陆吾,一个简单的无代码深度学习平台。(最新、最全版本!打开链接下载即可用!)
Python自动化测试框架pytest入门与实战.doc
08-12
Python自动化测试框架pytest入门与实战.doc
统计学习,机器学习,神经网络,深度学习,使用matlab实现
08-12
资源下载链接为: https://pan.quark.cn/s/6c421a94aa8d 统计学习,机器学习,神经网络,深度学习,使用matlab实现.(最新、最全版本!打开链接下载即可用!)
深入解析PE文件格式,掌握必备知识
PE文件格式的知识对于理解操作系统加载程序、病毒检测、逆向工程以及安全研究等领域至关重要。 ### PE文件的基本结构 PE文件的基本结构可以分为几个主要部分: 1. **DOS头(DOS Header)**:这是PE文件的旧式DOS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值