逆向工程-PE文件结构

最新推荐文章于 2024-11-04 15:01:48 发布
最新推荐文章于 2024-11-04 15:01:48 发布
阅读量340 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向编程 文章标签: PE 文件结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37774304/article/details/86768368
本文详细探讨了PE文件的组成部分,包括DOS文件头、标准PE头、可选头和节表,揭示了Windows可执行文件的核心构造。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pe通常由以下几部分组成,DOS文件、标准PE头、可选头、节表和相应的节。

DOS文件头:

_IMAGE_DOS_HEADER{
	WORD e_magic; //MZ标记*,用于判断是否为可执行文件1
	WORD e_cblp;  //bytes on last page
	WORD e_cp;    //pages of file
	WORD e_crlc;  //relocations
	WORD e_cparhdr;//size of  header
	WORD e_minalloc;//mininum memory
	WORD e_maxalloc;//maxinum memory
	WORD e_ss;      //initial ss value
	WORD e_sp;      //initial sp value
	WORD e_csum;    //checksum
	WORD e_ip;      //initial ip value
	WORD e_cs;      //initial cs value
	WORD e_lfarlc;  //table offset
	WORD e_ovno;    //overlay number
	WORD e_res[4];  //reserved words
	WORD e_oemid;   //oem identifier
	WORD e_oeminfo; //oem information
	WORD e_res2[10];//reserved words
	DWORD e_lfanew;//PE头相对于文件的偏移,用于定位PE文件*1
}

标准PE头:

struct _IMAGE_FILE_HEADER{
	WORD Machine;*程序运行的CPU型号:0x0任何处理器/0x14c 386及后续处理器1
	WORD NumberOfSections;*文件中存在的节的总数,如果要新增节或合并节就需要修改这个值1
	DWORD TimeDateStamp;*时间戳:文件的创建时间和操作系统的创建时间无关,编译器填写的
	DWORD PointerToSymbolTable
最低0.47元/天 解锁文章

200万优质内容无限畅学
逆向工程PE文件结构
luguifang2011的专栏
04-17 1514
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
PeViewer - PE格式文件查看器 - 中文版
11-20
"查看Windows平台的PE格式文件的节区信息" 指出PeViewer能够详细展示PE文件中的节区信息,这是PE文件结构中的重要组成部分,包含了程序的代码、数据和资源等。 **标签解读:** "PE文件" 是Windows操作系统中执行...
PE文件逆向工具(010Editor、PEview、ASN1DumpUtility、SignTool)等
03-10
该资源是坐着系列网络安全博客的文章,主要是PE文件逆向工具,包括: 010 Editor PEview ASN1DumpUtility SignTool 详细内容请阅读对应博客: https://blog.youkuaiyun.com/Eastmount/article/details/104769616 [网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一) 基础性资源,希望对您有所帮助。 ---------------------------------------------------------- By:Eastmount 优快云
逆向-PE文件结构
写代码的小阿帆的博客
05-21 1138
首先复习一下PE文件的结构: MS-DOS头 DOS部首有MZ Header和Dos stub两个部分组成,这两部分通常合成为Dos 文件头,其中Dos stub多由编译器自动生成,用户较少关注,PE文件的第一个字节为IMAGE_DOS_HEADER,其结构如下: 其中e_magic和e_lfanew两个字段比较重要,e_magic被称为魔术字,所有能与MS-DOS兼容的可执行文件内,该值都被设置为5A4DH,对应ASCII码为“MZ”,是DOS系统创建者之一 Mark Zbikowski 的缩写。e_
逆向工程——PE(一)
weixin_33751566的博客
12-06 559
本章参考书《逆向工程核心原理》 什么是PEPE(Protable Executable),是Windows操作系统下使用的可执行文件,因为Windows分32位操作系统和64位操作系统,因此与之相对应有PE(或称为PE32),PE+(或称为PE32+)。这里主要分析PE32。 PE的分类 其中我们遇见的比较多的是exe可执行文件、sys驱动程序文件、dll动...
逆向工程PE文件
qq_41698500的博客
02-01 318
PE文件是Windows操作系统下使用的可执行文件格式。 64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式。 其中有4个重要部分,设置错误会无法运行。 几个特殊码的作用与初始值。 code拥有执行读取权限,date有非执行读写权限,resource具有非执行读取权限。
IDF实验室之简单的PE文件逆向
forbidd3n,keep going
10-09 3154
原题链接:http://ctf.idf.cn/index.php?g=game&m=article&a=index&id=38 因为是个pe文件,我们现在PC上运行以下,如下图: 也就是说要输对flag,内部大概是字符串的对比 直接上IDA ,一路F5,于是在函数sub_4113A0中找到判断代码 前面一大串定义了一些int常量、一个char数组,一些字符 直
商业编程-源码-PE文件分析器.zip
06-21
首先,PE文件结构是基于COFF(Common Object File Format)的,包含了程序的元数据、代码和数据。PE头包含两个主要部分:DOS头和PE头。DOS头是一个遗留元素,确保程序能在DOS环境下运行,而PE头则包含指向PE文件各...
逆向工程实战:Python解析PE文件结构.pdf
最新发布
04-18
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿...
PE文件格式详解(附有原文和源代码,逆向工程的基础教程)
07-05
此文的英文原文为The Portable Executable File Format from Top to Bottom,我找到了两篇不同出处的译文,题名分别为《PE文件格式详解》和《可移植的可执行文件格式全接触》。并且搜集到了文章中所提到的两个附件PEF2034B.ZIP和PEF2034C.ZIP。压缩为ZIP上传共享并作为备份。
滴水逆向培训基础教程_PE结构笔记
06-01
滴水逆向培训基础教程_PE结构笔记
windows逆向之PE文件输入表
m0_57836225的博客
08-12 1219
然后通过 `dosHeader->e_lfanew` 计算出 `IMAGE_NT_HEADERS` 的偏移地址,并将其与 `baseAddress` 相加,再强制转换为 `PIMAGE_NT_HEADERS` 类型的指针 `ntHeaders`。`e_lfanew` 是 `IMAGE_DOS_HEADER` 结构中的一个成员。所以 `dosHeader->e_lfanew` 表示获取 `dosHeader` 所指向的 `IMAGE_DOS_HEADER` 结构中的 `e_lfanew` 成员的值。
逆向基础-PE文件结构
AppWhite_Star的博客
07-30 456
逆向基础-PE文件结构
逆向基础:PE文件结构
lm19770429的专栏
10-24 2947
如何识别PE文件: 利用ultraedit打开文件,观察二进制
【逆向基础】十六、PE文件格式(一)
幸福之家的博客
10-23 1054
PE文件格式是可移植、可执行文件格式。在学习PE文件格式的过程中,也可以梳理优化进程、内存、DLL等内容,它们是Windows操作系统最核心的部分。值得我们花时间去消化。
【逆向基础】十八、PE文件格式(三)
幸福之家的博客
11-04 1016
文章主要讲解了讲结构体`IMAGE_DATA_DIRECTORY`数15种数据目录中的导出表和导出表;这两种表是我们深入理解PE文件格式的关键,有助于我们想更深入的逆向分析前进;假以时日,我相信理解完所有表格的我们,也会像很多前辈一样,可以修改或者保护我们的PE文件,以达到加壳,防止逆向等效果。学海无涯,且行且珍惜呀。
逆向工程核心原理第十三章——PE文件格式解析
weixin_41748164的博客
05-30 403
PE文件格式 DOS 头 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file WORD e_cp; // Pages in file WORD
PE文件的基本结构-2 NT头
zhangxinrun的专栏
08-24 1303
<br />1 PE文件头(NT文件头)<br />从DOS文件头的_lfanew字段(文件头偏移003ch)得到真正的PE文件头位置[$0000 0100]后,现在来看看它的定义,PE文件头是由IMAGE_NT_HEADERS结构定义的:<br />PImageNtHeaders = ^TImageNtHeaders;<br />_IMAGE_NT_HEADERS = packed record<br />    [$0100]Signature: DWORD;<br />    [$0104]FileH
程序员必懂PE文件结构图解
了解PE文件结构对于逆向工程、病毒分析、软件安全、系统编程等方面都有很大的帮助。 首先,PE文件结构大体上可以分为以下几个部分: 1. DOS头(DOS MZ Header):这是为了保持与DOS操作系统的兼容性而存在的,通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值