逆向工程——查看PE文件

最新推荐文章于 2025-07-02 10:44:06 发布
原创 最新推荐文章于 2025-07-02 10:44:06 发布 · 4.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Windows环境下使用Visual Studio Command Prompt配置dumpbin工具查看PE文件头部信息和节表,以及在Linux系统中利用objdump进行PE文件分析。同时提到了Winhex二进制编辑器在解析PE文件原始二进制信息中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dumpbin和objdump工具的使用
1.打开vs2010->tools->visual studio command prompt(原来这个是要自己配置的,那时候用的电脑刚好有,就以为vs里都会有)
vs2017->工具(发现竟然没有命令行),于是搜了搜,要打开外部工具自行进行添加:
配置命令行环境的方法,参考了博客https://blog.youkuaiyun.com/u013553529/article/details/77417058
这里写图片描述
参数是:/k “C:\Program Files (x86)\Microsoft Visual Studio\2017\Community\Common7\Tools\VsDevCmd.bat”

2.在打开vs的命令行后,输入dumpbin即可看到帮助文档
之前出现了一个小问题,第一次查询头部信息的时候,没有出现,第二次才出现
这里写图片描述

在帮助文档下使用dumpbin工具查看PE文件的头部信息、节、节表信息
https://docs.microsoft.com/en-us/windows/desktop/Debug/pe-format
3.现在使用dumpbin查看notepad

最低0.47元/天 解锁文章

200万优质内容无限畅学
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2344
什么是PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
逆向工程笔记】第13章PE文件——给定一个exe文件,如何找到第一个IID文件
wuwuhe99的博客
05-31 577
第1个IID的函数地址列表(76324906为文件的入口地址,不真实,要找内存的入口地址)在winhex里导航至6EAC,第1个IID的库名字 comdlg32.dll。WINHEX跳转至6EFA,找到库名字为SHELL32.dll。第1个IID:(从6A04向右数20个字节,为下图黄色区域)在PE中计算:RVA=00007AAC,RAW=6EAC。找到真正的入口地址,PE-数据目录表-IAT表-入口地址。WINHEX导航至6D90:(数40个字节)打开Winhex,导航至6A04。
Winhex解读PE文件结构
06-22
利用winhex查看PE文件结构,了解PE文件结构,比较基础
VC++中的DUMPBIN 工具用来查看PE(可移植执行体)文件(EXE、dll。。。)
ylwdi的专栏
04-25 868
Visual C++ 附有一个DUMPBIN 工具软件,可以观察PE 文件格式。
PE 文件详解
最新发布
m0_57771536的博客
07-02 1492
在实际解析 PE 文件时,一个常见的操作是将 RVA 转换为文件偏移量,因为原始数据是在文件中存储的。加载器会遍历这些条目,并根据新的实际加载基地址计算出正确的偏移量,然后修改这些地址。Windows 操作系统中的加载器是一个复杂而高效的组件,负责将 PE 文件从磁盘加载到内存并使其可执行。一旦依赖的 DLL 被加载到内存,加载器会解析这些 DLL 的导出表,找到当前 PE 文件所导入的函数或变量的实际内存地址。:数据在 PE 文件内部的物理位置,从文件开头(0x0)计算的字节偏移量。
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2557
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件结构
2301_80096119的博客
07-22 934
可执行文件:可以由操作系统进行加载并执行的文件称为可执行文件格式:windows:采用 PE(Portable Executable)文件结构。Linux:采用 ELF(Executable and Linking Format)文件结构。
PE文件格式(一)
周星星的博客
10-18 8942
PE文件Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件格式剖析——解剖PE格式文件
10-25
通过对PE文件格式的理解,不仅可以帮助开发者更好地编写高效、安全的程序,还能为逆向工程和安全分析等领域提供有力的支持。随着技术的发展,PE文件格式将继续演进,以适应不断变化的需求和技术挑战。
pediy——对PE文件进行加壳保护
08-21
标题 "pediy——对PE文件进行加壳保护" 指涉的是一个关于保护可执行文件PE文件)免受恶意攻击的技术。PE文件Windows操作系统中的可执行格式,包括.exe和.dll等类型。加壳技术是将原始的PE文件包裹在一层外壳程序...
解析PE文件结构分析dll导出符号列表
abc1990fly的专栏
01-01 1094
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件
PE文件引用库查看器(含源代码)
09-06
PE文件引用库查看器(含源代码),对基于VC等生成非中间字节码的PE文件支持良好,对字节码文件不支持
PE信息查看工具
01-19
查看可执行文件的强大工具,详细的PE结构分类,辅助查看程序加壳状态,编程语言状态,程序编译时间等(中文版)
PE文件结构详解
热门推荐
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
跟着王哥学逆向——PE文件详解篇(第一篇)
qq_52642385的博客
03-12 6964
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
linux pe ef 详解,PE工具列表(看雪學院)
weixin_36211941的博客
05-16 867
PE編輯工具2008.5.31資源名溢出漏洞。緩沖區長度檢測是char,但是拷貝的時候是wchar,所以溢出了。by somuchhttp://bbs.pediy.com/showthread.php?t=649352006.11.30更新freecat制作的功能插件LordPeFix.dll,修正LordPE只顯示60個進程的bug(http://bbs.pediy.com/showthread...
PE 视频学习笔记
Oops-re的博客
12-20 1445
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
深入浅出PE文件格式---自己动手打造PE Show
WiNrOOt的逆向工程专栏
09-04 2523
                深入浅出PE文件格式---自己动手打造PE Show                                                            作者:廉明//////////////////////////////////////////////////////////////////////                       
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值