PE文件结构

最新推荐文章于 2024-07-29 16:32:12 发布
原创 最新推荐文章于 2024-07-29 16:32:12 发布 · 124 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析PE文件结构,包括DOS头、NT头、虚拟内存地址等关键概念,揭示PE文件如何在Windows环境下运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)

在这里插入图片描述

在这里插入图片描述

DOS头

typedef struct _IMAE_DOS_HEADER {		//DOS .EXE header                                    位置
	WORD e_magic;						//Magic number;                                      0x00
	WORD e_cblp;                        //Bytes on last page of file                         0x02
	WORD e_cp;                          //Pages in file										 0x04
	WORD e_crlc;                        //Relocations                                        0x06
	WORD e_cparhdr;						//Size of header in paragraphs                       0x08
	WORD e_minalloc;                    //Minimum extra paragraphs needed                    0x0A
	WORD e_maxalloc;					//Maximum extra paragraphs needed                    0x0C
	WORD e_ss;                          //Initial (relative) SS value						 0x0E
	WORD e_sp;							//Initial SP value									 0x10
	WORD e_csum;						//Checksum											 0x12
	WORD e_ip;							//Initial IP value									 0x14
	WORD e_cs;							//Initial (relative) CS value                        0x16
	WORD e_lfarlc;						//File address of relocation table                   0x18
	WORD e_ovno;						//Overlay number                                     0x1A
	WORD e_res[4];						//Reserved words                                     0x1C
	WORD e_oemid;						//OEM identifier (for e_oeminfo)                     0x24
	WORD e_oeminfo;						//OEM information; e_oemid specific                  0x26 
	WORD e_res2[10];					//Reserved words                                     0x28
	LONG e_lfanew;						//File address of new exe header                     0x3C
} IMAGE_DOS-HEADER, *PIMAGE_DOS_HEADER;
  • e_magic 字段是一个DOS可执行文件的标识符,该字段占用两个字节,该位置保存着的字符是“MZ”。
  • e_lfanew字段是新exe头部的文件地址。用于表示DOS头之后的NT头的相对文件起始地址的偏移。
NT头
typedef struct _IMAGE_NT_HEADERS {
  DWORD                   Signature;
  IMAGE_FILE_HEADER       FileHeader;
  IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

typedef struct _IMAGE_FILE_HEADER {
  WORD  Machine;		//文件的运行平台,是x86、x64还是I64等
  WORD  NumberOfSections;		//该PE文件中有多少个节,也就是节表中的项数
  DWORD TimeDateStamp;	//PE文件的创建时间
  DWORD PointerToSymbolTable;	//COFF文件符号表在文件中的偏移
  DWORD NumberOfSymbols;	//符号表的数量
  WORD  SizeOfOptionalHeader;	//可选头的大小
  WORD  Characteristics;	//可执行文件的属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER {
  WORD                 Magic;		//标志字
  BYTE                 MajorLinkerVersion;	//链接程序的主版本号
  BYTE                 MinorLinkerVersion;	//链接程序的次版本号
  DWORD                SizeOfCode;	//所有含代码的节的总大小
  DWORD                SizeOfInitializedData;	//所有含已初始化数据的节的大小
  DWORD                SizeOfUninitializedData;	//所有含未初始化数据的节的大小
  DWORD                AddressOfEntryPoint;	//程序执行入口
  DWORD                BaseOfCode;	//代码的区块起始RVA
  DWORD                BaseOfData;	//数据的区块起始RVA
  DWORD                ImageBase;		//程序的首选装载地址
  DWORD                SectionAlignment;	//内存中区块的对齐大小
  DWORD                FileAlignment;	//文件中区块的对齐大小
  WORD                 MajorOperatingSystemVersion;	//要求操作系统最低版本号的主版本号
  WORD                 MinorOperatingSystemVersion;	//要求操作系统最低版本号的副版本号
  WORD                 MajorImageVersion;		//可运行于操作系统的主版本号	
  WORD                 MinorImageVersion;		//可运行于操作系统的次版本号
  WORD                 MajorSubsystemVersion;	//要求最低子系统主版本号
  WORD                 MinorSubsystemVersion;	//要求最低子系统的次版本号
  DWORD                Win32VersionValue;	//没有实际意义。不被利用的情况下,一般为0
  DWORD                SizeOfImage;	//映像装入内存后的总尺寸
  DWORD                SizeOfHeaders;	//所有头+区块表的尺寸大小
  DWORD                CheckSum;	//映像的校验和
  WORD                 Subsystem;	//可执行文件期望的子系统
  WORD                 DllCharacteristics;		//DllMain函数何时被调用。默认为0
  DWORD                SizeOfStackReserve;	//初始化时的栈大小
  DWORD                SizeOfStackCommit;	//初始化时实际提交的栈大小
  DWORD                SizeOfHeapReserve;	//初始化时保留的堆大小
  DWORD                SizeOfHeapCommit;	//初始化时实际提交的堆大小
  DWORD                LoaderFlags;	//与调试相关的值,默认为0
  DWORD                NumberOfRvaAndSizes;	//下面数据目录的项数,自Windows NT发布以来,一直是16
  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];	//数据目录表
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
地址名词相关
  1. 虚拟内存地址(VA)
    PE文件对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址是VA,VA的范围是4GB。VA=进程基地址+RVA
  2. 相对虚拟内存地址(RVA)
    每个模块都有一个基地址。如果两个模块的基地址是相同的,就由操作系统来决定模块的具体位置。
    RVA是针对于模块的概念,用来定位某个特殊位置距离某个模块基地址的偏移量。

模块:同时加载到进程空间的文件

  1. 文件偏移地址(FOA)
    FOA和内存无关,是指某个位置距离头文件的偏移。
PE文件结构详解
leolewin的博客
08-23 2974
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
PE文件结构详细图pdf
08-17
标题中的"PE文件结构详细图pdf"指的是一个关于Portable Executable (PE) 文件格式的详细图解文档。在Windows操作系统中,大多数可执行文件、动态链接库(DLLs)和其他可加载模块都采用PE文件格式。这个PDF文档很可能...
pdf格式Pe文件结构图及工具源码,pe文件结构详解,C,C++
09-10
PDF格式的PE文件结构图及工具源码是一个深入解析PE(Portable Executable)文件格式的资源,涵盖了C和C++编程语言的相关知识。PE文件格式是Windows操作系统中用于执行程序和动态链接库(DLLs)的主要文件格式。下面...
pe文件结构
最新发布
2303_81165358的博客
07-29 1489
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
PE文件结构(0x03)
u012173720的博客
09-07 337
PE文件的NT映像头  IMAGE_NT_HEADERS STRUCT{ +0H DWORD //Signature +4H IMAGE_FILE_HEADER //FileHeader +18H IMAGE_OPTIONAL_HEADER32 //OptionalHeader } IMAG...
PE文件结构(详解)--一
m0_73452266的博客
03-17 1176
介绍PE文件的结构是什么样的,windows下exe有哪些部分组成。各参数又有什么用
PE文件结构详解精华(从头看下去就能大概了解PE文件结构了)
热门推荐
雨化于画
02-13 1万+
前言 此博客绝大部分内容来自云课堂武大慕课《软件安全-恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节:PE文件的引入函数机制 引出函数节:DLL文件的函数引出机制 资源节:文件资源索引、定位与修改 重定位节:镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件(PE,Portable...
PEPE文件结构学习
dr0op's blog
03-31 1617
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2568
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
程序员必懂PE文件结构图解
PE文件结构是程序员在Windows操作系统中经常遇到的一个重要概念,它是Portable Executable(可移植的可执行文件)的缩写。PE文件格式是微软Windows操作系统用来存储可执行文件、对象代码、DLL等文件的一种标准格式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值