2021-10-02PE文件学习

已于 2022-04-23 20:11:51 修改
阅读量625 收藏 2
点赞数
分类专栏: WEB渗透学习 文章标签: 逆向
于 2021-10-02 11:33:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45290991/article/details/120584507
版权
本文深入探讨PE文件格式,重点讲解基址重定位的原理和资源管理,包括如何理解PE文件结构,重定位表的作用,以及资源在PE文件中的组织方式。适合逆向工程和安全分析人员阅读。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注

PE文件学习

推荐工具:lord PEstud PE PE权威指南》,了解格式,看雪,吾爱破解 EXE是如何组成的,如何逆向一个EXE文件和安卓文件。

  • 这些东西不能不知道

EXE文件和DLL文件实际上是一样的,唯一的区别就是用一个字段标示出了这个文件是EXE文件还是DLL文件

64位不过就是把32位的字段拓展成64位,也叫PE32+文件,没本质区别。

PE文件的定义基本都在“我的电脑”——下的“winnt.h”头文件中。

而在这个“winnt.h”文件中的image format下就是系统定义的PE结构:

我们需要能看懂这张图片:(桌面)

  • PE文件基础知识

Pe文件是一个平面地址结构,所有代码和数据都被合并在一起,组成一个很大的结构。

文件的内容被分为不同的区块(堆、栈……),各个区块按照页边界来对齐,区块没有大小限制,是一个连续的结构(区块 = 很多连续的页合起来)。

PE文件被放在硬盘中的时候,按照那张图一样放着,但是使用pe文件的时候要映射到内存中,注意映射过来之后不是100%格式没变,在硬盘中啥样在内存中还是啥样。而是由一个叫做PE装载器的东西决定哪里要映射哪里不要映射。一般文件较高偏移位置也要映射到较高的内存地址。

映射关系如下:

我们在使用(调用)一个pe文件的时候必须抓住它的基地址,一般使用函数:

HMODULE GETModuleHandle (LPCTSTR IpModuleName)

返回一个句柄指针(基地址编号,可以理解为基地址,指向这个基地址的指针) , 一个pe文件可以视为一个模块,参数是指向这个pe文件(模块)名称的指针。

  • DOS头部分

小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)_fish_c的博客-优快云博客

  • PE头(NT)

小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用(PE详解02)_fish_c的博客-优快云博客

PE文件头(Image_NT_Header)挨着DOS stub,在执行pe文件的时候,pe装载器将从IMAge_DOS_Header结构体中的elfanew中找到pe头的起始偏移量,加上基地址就可以得到pe头文件的指针。

拿上图来说:00h + D0h = D0h   pe头指针 = IMage 基址 + dos_header ->elfanew

从这里开始看到的是NT部分(pe头部分):

一开始是signature 5045表示是pe头标记(P/E的anscii码)

然后是文件头file_header:这个结构体包括:

机器平台(CPU类型):014c说明这是x86平台的CPU

这个EXE文件拥有的区块表数目:4块

文件何时被创建:

可选文件头大小:一般32位是00 E0,64位是00F0,决定了后面的可选文件头大小多大

文件信息标志,文件属性:012F , 这个需要或运算结合微软的表格来。

接下来是可选映像头部,

小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用(PE详解03)_fish_c的博客-优快云博客

特别大一块,

这个地方记着不可以背,只是工具书!

Address of entry point,

Image base :

对于EXE文件来说,由于每个文件总是使用独立的虚拟地址空间,优先装入地址不可能被**模块占据,所以EXE总是能够按照这个地址装入,这也意味着EXE 文件不再需要重定位信息。对于DLL文件来说,由于多个DLL文件全部使用宿主EXE文件的地址空间,不能保证优先装入地址没有被**的DLL使用,所以 DLL文件中必须包含重定位信息以防万一。因此,在前面介绍的 IMAGE_FILE_HEADER 结构的 Characteristics 字段中,DLL 文件对应的 IMAGE_FILE_RELOCS_STRIPPED 位总是为0,而EXE文件的这个标志位总是为1。

在链接的时候,可以通过对link.exe指定/base:address选项来自定义优先装入地址,如果不指定这个选项的话,一般EXE文件的默认优先装入地址被定为00400000h,而DLL文件的默认优先装入地址被定为10000000h。

数据块如果可以一致,那就是“兼容”。

最低0.47元/天 解锁文章
PE学习笔记1
我还在的博客
10-14 674
文章目录与PE相关概念地址扩展虚拟内存VA相对虚拟内存地址RVA文件偏移FOA特殊地址数据目录节对齐PE文件结构 学习笔记来源《Windows.PE权威指南》这本书 与PE相关概念 地址 VA(Virtual Address):虚拟内存地址 RVA(Relative Virtual Address):相对虚拟内存地址 FOA(File Offset Address):文件偏移地址 特殊地址 扩展 ...
PE 学习之总结1
脚踏实地的做自已
10-20 1112
学习一门新的课程,我都会习惯性的问自已几个问题,为什么要学习它?学习它之后我能干什么? 什么是PE? 为什么要学习PE学习PE我能干什么?
PE学习
weixin_30670965的博客
09-27 112
直接写一遍PE结构吧 看看记得住不? MS-DOS { MZ ````` e_lfanew } 64字节 dos-stub 112字节 不定 NT header { Signature 4 IMAGE_FILE_HEADER { machine NumberOfSections timedatastamp Pointe...
PE文件学习(一)
SanSiro1的博客
08-24 1237
PE是Portable executable(可移植的可执行文件)的简写,在Windows系统中PE文件是一种重要的文件格式,其中COM、PIF、SCR、EXE、dll等都是PE文件。所以学习PE文件是了解操作系统工作方式的一种很好的方法。                  学习PE,首先要对PE有个大体的轮廓,所以本人在网上找到了两张PE文件结构图。基于这两张图更进一步的了解PE文件结构:
PEPE文件结构学习
dr0op's blog
03-31 1564
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
[re入门]PE文件小知识
网络安全知识分享
03-23 3973
PE入手的信息收集,让恶意样本无处可逃一、 PE文件格式的基础知识1.1 认识PE文件1.2 整体结构1.3 基地址1.4 相对虚拟地址1.5 文件偏移地址1.6 结构1.6.1 DOS头1.6.2 NT头1.7 PE区段分析1.8 PE文件的输入输出表1.8.1 输入表(IT、导入表)1.8.2 输出表1.8.3重定位表二、使用工具来分析PE文件2.1 使用PEview来分析 那是一个沙尘暴都能上热搜的清晨,我揉了揉眼睛从床上爬起来,顶着一路的艰难险阻来到了实验室,开机,hello 酷狗,登录PC微信,
商业编程-源码-判断你的文件是否为合法的PE文件和应用类型.zip
06-23
在编程领域,尤其是在Windows系统开发中,PE(Portable Executable)文件格式是至关重要的。PE文件格式用于存储可执行...通过学习和使用这段代码,开发者能够更有效地处理和分析PE文件,提升软件安全性和系统诊断能力。
教育科研-学习工具-PE塑料墙贴.zip
08-11
综上所述,"教育科研-学习工具-PE塑料墙贴.zip" 文件可能包含一个详细介绍了PE塑料墙贴的设计、制作、教育应用、环保特点和安全性的PDF文档,为教育工作者提供了关于如何有效利用这种学习工具的全面指导。
PEview - 打开Windows平台PE格式文件的小工具
11-20
无论是为了学习PE文件格式,还是进行逆向分析和调试,PEview都是一款不可或缺的实用工具。通过深入理解PE文件的组成和PEview的使用,开发者和安全专家能够更好地理解和操作Windows平台上的软件。
教育科研-学习工具-PE木塑组合式太阳能花箱.zip
08-11
标题中的“教育科研-学习工具-PE木塑组合式太阳能花箱”暗示了这是一个与教育、科研相关的项目,其中涉及到了一种特殊的太阳能花箱。这种花箱采用了PE木塑组合材料,这是一种环保且耐用的合成材料,常用于户外家具和...
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
[re入门]PE文件结构
网络安全知识分享
02-24 5666
PE文件结构分析基本概念整体结构基地址相对虚拟地址文件偏移地址DOS头NT头(内容多)PE区段分析PE文件的输入输出表重定位表 基本概念 认识PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 EXE和DLL文件之间的区别完全是语义上的,他们使用完全相同的PE格式。唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。还有
PE文件基础
qq_45835867的博客
02-13 835
PE文件结构 文章目录PE文件结构前置知识整体结构DOS头DOS头的定义(C语言):DOS程序NT头NT头的定义(C语言):PE签名(Signature)PE文件头(IMAGE_FILE_HEADER)PE文件头的定义(C语言):结构解释:PE可选头(IMAGE_OPTIONAL_HEADER)PE可选头的定义(C语言):结构解释:节表(IMAGE_SECTION_HEADER)节表的定义(C语言):结构解释:节(块)导入表和导出表导入表和导出表统一使用一下结构:导入表的定义(C语言):结构解释:结构解释:
PE 视频学习笔记
Oops-re的博客
12-20 1097
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
PE 学习 打印pe格式
h1028962069的专栏
08-26 1008
// petool.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include <stdlib.h> #include <windows.h> FILE *fp; IMAGE_DOS_HEADER myDosHeader; IMAGE_FILE_HEADER myFileHead
PE资料如何学习
why
05-23 480
新手不会用api编程但是c语言中的文件操作足够强大,给个c语言版的大家多多练习!#include "stdafx.h"#include "windows.h"#include "stdio.h"int main(int argc, char* argv[]){    FILE *p;    IMAGE_DOS_HEADER mydosheader;    unsigned long
PE文件学习笔记(五):导入表、IAT、绑定导入表解析
nethm的专栏
12-03 358
作者:Apollon_krj  来源:优快云  原文:https://blog.youkuaiyun.com/apollon_krj/article/details/77417063  版权声明:本文为博主原创文章,转载请附上博文链接!
PE文件:(1)基础知识
weixin_43972499的博客
04-06 952
基础知识基本概念PE文件结构Dos头NT头(1)PE标志(2)文件头(3)可选头区段表总结 基本概念   PE文件的全称是"Portable Executable File Format",也就是可移植的执行体,目前是Windows平台上的主流可执行文件格式。   PE文件使用的是一个平面地址空间,所有的代码和数据都合并在了一起,组成了一个完整的文件结构。文件内容被分成了不同的部分区段,区段中包含文件基本信息、数据、代码,各个区段按页大小对齐,每个区段都有自己的属性,如是否可读、可写和可执行。 PE文件结构
从零开始的PE格式学习
bbszhenshuai的博客
05-15 604
导语 如果你想学习PE病毒的编写,那么你首先得知道PE的格式和他的工作原理。 PE的百度百科 PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。 PE文件的结构 一张简简单单的图送给各位 还有一个比较详细的pdf送给各位 链接:https://pan.baidu.com/s/1SGU2AUQvzoHU9Foxx1-UYQ 提取码:ckdi MS-DOS(DOS头)
HAL_TIM_PeriodElapsedCallback函数在哪里
最新发布
03-20
<think>嗯,用户想找HAL_TIM_PeriodElapsedCallback函数的定义位置和用法。首先,我需要回忆一下STM32的HAL库结构。这个回调函数应该和定时器中断相关,对吧?当定时器的周期到了,就会触发这个回调函数。 根据用户提供的引用资料,特别是引用[3],里面提到使用HAL_TIM_Base_Start_IT来启动定时器并开启中断,然后实现中断服务程序中的任务。所以HAL_TIM_PeriodElapsedCallback应该是在用户代码中定义的,用来处理周期性的中断事件。HAL库通常采用回调机制,用户需要自己实现这些回调函数,比如这个函数可能是在定时器更新事件时被调用。 接下来,关于定义的位置,HAL库中的弱定义应该在某个头文件或源文件中,比如stm32xx_hal_tim.h或者对应的.c文件中。用户需要在自己的代码中重新定义这个函数,覆盖弱符号。例如,在main.c或者专门的定时器处理文件中定义。 用法方面,用户需要在初始化定时器并启动中断后,编写这个回调函数的内容,比如翻转LED或者处理数据。同时要注意定时器实例的判断,如果有多个定时器的话,需要用htim的参数来选择正确的定时器。 可能用户遇到的问题是没有正确实现回调函数,或者没有启动中断。需要检查是否调用了正确的启动函数,比如HAL_TIM_Base_Start_IT而不是HAL_TIM_Base_Start,后者可能不会开启中断。 另外,用户可能需要知道如何查找HAL库中的弱定义,这通常是在HAL的源文件中,使用__weak关键字修饰。例如在stm32xx_hal_tim.c中会有这个函数的弱定义,用户在自己的代码中重新实现即可。 还需要提醒用户,中断服务函数的名字可能和CubeMX生成的有关,确保中断向量表正确,以及中断优先级设置合理。如果有多个定时器,回调函数中需要通过htim->Instance来判断是哪个定时器触发的,从而执行不同的操作。 总结一下,回答应该包括回调函数的定义位置在用户代码中,需要覆盖HAL的弱定义,用法是在定时器中断发生时执行用户代码,并注意定时器实例的判断。同时提供示例代码和常见问题解答,帮助用户正确使用。</think>### HAL_TIM_PeriodElapsedCallback 函数解析 #### 1. 函数定义位置 `HAL_TIM_PeriodElapsedCallback` 是STM32 HAL库中定时器更新事件(周期中断)的**弱定义回调函数**,其默认实现位于HAL库的定时器驱动文件中(例如:`stm32xx_hal_tim.c`),但用户需要在工程中**重新实现该函数**以覆盖默认的弱定义[^3]。 具体来说: - **弱定义位置**:`stm32xx_hal_tim.c`(例如`stm32h7xx_hal_tim.c`) - **用户实现位置**:用户代码中(如`main.c`或自定义的定时器处理文件) #### 2. 函数作用 当定时器的计数器溢出(或达到预设周期值)时,触发更新事件中断,此时`HAL_TIM_PeriodElapsedCallback` 会被调用,用于执行用户自定义的周期性任务,例如:LED闪烁、传感器数据采集等[^3]。 #### 3. 函数原型 ```c __weak void HAL_TIM_PeriodElapsedCallback(TIM_HandleTypeDef *htim) { // 默认空实现(需用户覆盖) } ``` #### 4. 使用步骤 1. **定时器初始化** 配置定时器参数(预分频系数、计数周期等),例如: ```c TIM_HandleTypeDef htim3; htim3.Instance = TIM3; htim3.Init.Prescaler = 8399; // 84MHz/(8400) = 10kHz htim3.Init.CounterMode = TIM_COUNTERMODE_UP; htim3.Init.Period = 9999; // 10kHz/10000 = 1Hz HAL_TIM_Base_Init(&htim3); ``` 2. **启动定时器中断** 使用 `HAL_TIM_Base_Start_IT` 启动定时器并开启中断[^3]: ```c HAL_TIM_Base_Start_IT(&htim3); ``` 3. **实现回调函数** 在用户代码中重新定义函数: ```c void HAL_TIM_PeriodElapsedCallback(TIM_HandleTypeDef *htim) { if (htim->Instance == TIM3) // 判断触发源 { HAL_GPIO_TogglePin(GPIOA, GPIO_PIN_5); // 示例:翻转LED } } ``` #### 5. 注意事项 - 若使用多个定时器,需在回调函数中通过 `htim->Instance` 判断具体触发源[^3]。 - 必须调用 `HAL_TIM_Base_Start_IT`(而非 `HAL_TIM_Base_Start`)以启用中断功能。 - 确保中断服务函数 `TIMx_IRQHandler` 已正确关联到定时器(通常由CubeMX自动生成)。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值