【滴水三期】32/64位——PE文件节表打印与解析

于 2024-08-03 23:17:32 发布
阅读量618 收藏 6
点赞数 15
CC 4.0 BY-SA版权
分类专栏: WIN32 API  逆向 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunqingyu888/article/details/140898653

【作业内容】

1、手动查,画个PE文件图。

2、编写程序打印节表中的信息。

3、根据节表中的信息,到文件中找到所有的节,观察节的开始位置与大小是否与节表中的描述一致

【PE file_buffer文件图】

【IMAGE_SECTION_HEADER解析】

<winNT.h> 头文件定义如下

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //保存节的名字的数组。
    union {
            DWORD   PhysicalAddress;	//该节在文件中的实际大小
            DWORD   VirtualSize;		//该节在内存中占用的大小,节在内存中的大小会因为对齐或填充而增加
    } Misc;
    DWORD   VirtualAddress;		         //该节在进程的虚拟空间中的起始地址,内存偏移。加载器使用这个地址将节的内容映射到内存中相应的虚拟地址上。
    DWORD   SizeOfRawData;		        //该节在PE文件中对齐后的原始数据大小,由于 SizeOfRawData 字段是四舍五入的,而 VirtualSize 字段不是四舍五入的,因此 SizeOfRawData 字段也可能大于 VirtualSize。
    DWORD   PointerToRawData;		    //该节在PE文件的实际位置,即相对于文件开始的偏移量。加载器会根据这个偏移量从文件中读取节的内容,并将其加载到内存中。
    DWORD   PointerToRelocations;		//该节的重定位表在文件中的起始位置,如果节中有重定位项,该字段指出重定位表的文件偏移量。数据节可能需要重定位以修正基于位置的引用;没有重定位的映像,该值设为零。(在obj文件中使用,对exe无意义)。
    DWORD   PointerToLinenumbers;		//如果节包含源代码行号信息;;已被弃用,改值应为0
    WORD    NumberOfRelocations;		//该节有多少重定位条目;对于可执行文件,该值设为零。(在obj文件中使用,对exe无意义)。
    WORD    NumberOfLinenumbers;		//该行有多少行
最低0.47元/天 解锁文章

200万优质内容无限畅学
滴水三期32/64——PE文件头字段打印解析
sunqingyu888的博客
08-03 1031
滴水三期32/64——PE文件头字段打印解析
PE64)文件之导入
玄道的网安博客
01-06 1832
导入PE文件中一个重要的项,负责声明从其他的库中调入函数。一般代着这个PE文件使用了哪些其他库的函数。 首先我们先了解下几个名词: PE文件:PE结构的文件,一般为可执行程序,.exe、.dll、.sys、.vxd、.ocx、.com等。 VA(Virtual Address): 虚拟地址,代PE文件映射进内存之后的地址。 RVA(Reverse Virtual Address):相对虚拟地址,对于PE文件映射进内存之后相对基地址偏移。 FOA(File Offset Addres..
滴水三期完整版(96课时)
04-20
第1讲:2015-01-12(进制01) 第2讲:2015-01-13(进制02) 第3讲:2015-01-14(数据宽度-逻辑运算03) 第4讲:2015-01-15(通用寄存器-内存读写04) 第5讲:2015-01-16(内存寻址-堆栈05) 第6讲:2015-01-19(EFLAGS寄存器06) 第7讲:2015-01-20(JCC) 第8讲:2015-01-21(堆栈图) 第8讲:2015-01-21(宝马问题) 第9讲:2015-01-22(堆栈图2) 第10讲:2015-01-23(C语言01_后半段) 第10讲:2015-01-23(C语言完整版) 第11讲:2015-01-26(C语言02_数据类型) 第12讲:2015-01-27(C语言03_数据类型_IF语句) 第13讲:2015-01-28(C语言04_IF语句逆向分析上) 第14讲:2015-01-28(C语言04_IF语句逆向分析下) 第15讲:2015-01-29(C语言04_正向基础) 第16讲:2015-01-30(C语言05_循环语句) 第17讲:2015-02-02(C语言06_参数_返回值_局部变量_数组反汇编) 第18讲:2015-02-02(2015-01-30课后练习) 第19讲:2015-02-03(C语言07_多维数组) 第20讲:2015-02-03(2015-02-02课后练习) 第21讲:2015-02-04(C语言08_结构体) 第22讲:2015-02-05(C语言09_字节对齐_结构体数组) 第23讲:2015-02-06(C语言10_Switch语句反汇编) 第24讲:2015-02-26(C语言11_指针1) 第25讲:2015-02-27(C语言11_指针2) 第26讲:2015-02-28(C语言11_指针3) 第27讲:2015-02-28(C语言11_指针4) 第28讲:2015-03-02(C语言11_指针5) 第29讲:2015-03-03(C语言11_指针6) 第30讲:2015-03-04(C语言11_指针7) 第31讲:2015-03-06(C语言11_指针8) 第32讲:2015-03-09(运算) 第33讲:2015-03-10(内存分配_文件读写) 第34讲:2015-03-11(PE解析_手动) 第35讲:2015-03-12(PE头字段说明) 第36讲:2015-03-13(PE) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲:2015-03-20(扩大节-合并节-数据目录) 第42讲:2015-03-23(静态连接库-动态链接库) 第43讲:2015-03-24(导出) 第44讲:2015-03-25(重定) 第45讲:2015-03-26(移动导出-重定) 第46讲:2015-03-27(IAT) 第47讲:2015-03-27(导入) 第48讲:2015-03-30(绑定导入) 第49讲:2015-03-31(导入注入) 第50讲:2015-04-01(C++ this指针 类 上) 第51讲:2015-04-01(C++ this指针 类 下) 第52讲:2015-04-02(C++ 构造-析构函数 继承) 第53讲:2015-04-03(C++ 权限控制) 第54讲:2015-04-07(C++ 虚函数) 第55讲:2015-04-08(C++ 动态绑定-多态-上) 第56讲:2015-04-08(C++ 动态绑定-多态-下) 第57讲:2015-04-09(C++ 模版) 第58讲:2015-04-10(C++ 引用-友元-运算符重载) 第59讲:2015-04-13(C++ new-delete-Vector) 第60讲:2015-04-14(C++Vector实现) 第61讲:2015-04-15(C++) 第62讲:2015-04-16(C++实现) 第63讲:2015-04-16(C++二叉树) 第64讲:2015-04-17(C++二叉树实现) 第65讲:2015-04-20(Win32 宽字符) 第66讲:2015-04-21(Win32 事件-消息-消息处理函数) 第67讲:2015-04-22(Win32 ESP寻址-定回调函数-条件断点) 第68讲:2015-04-23(Win32 子窗口-消息处理函数定) 第69讲:2015-04-24(Win32 资源文件-消息断点) 第70讲:2015-04-27(Win32 提取图标-修改标题) 第71讲:2015-04-28(Win32 通用控件-VM_NOTIFY) 第72讲:2015-04-29(Win32 PE查看器-项目要求) 项目一:PE查看器 开发周期(5天) 需求文档 第73讲:2015-05-07(Win32 创建线程) 第74讲:2015-05-08(Win32 线程控制_CONTEXT) 第75讲:2015-05-11(Win32 临界区) 第76讲:2015-05-12(Win32 互斥体) 第77讲:2015-05-13(Win32 事件) 第78讲:2015-05-14(Win32 信号量) 第79讲:2015-05-15(Win32 线程同步线程互斥) 第80讲:2015-05-18(Win32 进程创建_句柄) 第81讲:2015-05-20(Win32 以挂起形式创建进程) 第82讲:2015-05-21(Win32 加密壳_项目说明) 项目二:加密壳 开发周期(5天) 需求文档 第83讲:2015-05-28(Win32 枚举窗口_鼠标键盘事件) 第84讲:2015-05-29(Win32 CE练习) 第85讲:2015-06-01(Win32 OD练习) 第86讲:2015-06-03(Win32 ShellCode_远程线程注入) 第87讲:2015-06-04(Win32 加载EXE_模块隐藏) 第88讲:2015-06-09(Win32 IAT_HOOK) 第89讲:2015-06-10(Win32 InlineHook) 第90讲:2015-06-11(Win32 进程通信) 第91讲:2015-06-11(Win32 进程监控_项目说明) 项目三:进程监控 开发周期(5天) 需求文档 第92讲:2015-06-15(硬编码_01) 第93讲:2015-06-16(硬编码_02) 第94讲:2015-06-17(硬编码_03) 第95讲:2015-06-18(硬编码_04) 第96讲:2015-06-19(硬编码_05)
滴水三期:day29.1-节
Edimade的博客
05-02 1403
一、节(1.节引入>2.定计算个数>3.节结构)>二、节每个字段的含义>三、作业(1.手动解析>2.编写程序打印中的信息)
滴水三期PE源码)File->FileBuffer->ImageBuffer->存盘
wxslaoli的博客
06-26 703
#define _CRT_SECURE_NO_DEPRECATE 1#include #include #include typedef unsigned short WORD; typedef unsigned int DWORD; typedef unsigned char BYTE; #define IMAGE_SIZEOF_SHORT_NAME 8 #define MessageBox 0x76250D80 BYTE shellcode
VS2022MFC非常基础的pe解析器(滴水三期自查用,只适用于64
最新发布
10-10
VS2022MFC非常基础的PE解析器是为“滴水三期”项目定制开发的一个64程序,它使用MFC框架,能够执行PE文件的基本分析。该项目可能涉及安全自查,工具集合被命名为“petools”,但具体内容和用途需要进一步的信息...
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
PE查看器源码分析:滴水三期win32项目解析
滴水三期win32作业项目PE查看器是一个针对Windows操作系统的编程作业项目,旨在通过Win32 API(Windows 32应用程序接口)实现一个PE(Portable Executable,可移植执行体)文件查看器。PE文件是Windows操作系统中...
64PE文件导入的修改
ava66的专栏
12-09 3645
32PE文件没什么大的区别, 只要注意一个结构: #include "pshpack8.h"                       // Use align 8 for the 64-bit IAT. typedef struct _IMAGE_THUNK_DATA64 {     union {         ULONGLONG ForwarderString;  /
5.PE文件之节(IMAGE_SECTION_HEADER)
kernelhack
10-26 5897
PE头IMAGE_NT_HEADERS后紧跟着节(也可以理解为IMAGE_OPTIONAL_HEADER后为节).它由许多个节项(IMAGE_SECTION_HEADER)组成,每个节项记录了PE某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始置等.节中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE打印 c语言随笔
02-14
PE打印 c语言随笔,使用文件fseek定,需要修改才能正确显示。简单。
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的置经常在变,这样可以节省内存开支、避开错误的内存置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代的“可执行文件”、以D
pe格式从入门到图形化显示(二)-文件头
Mrack的博客
04-05 970
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE格式文件头(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节、入口点等。Windows PE格式文件头包含以下字段:Signature(签名):用于确定文件是否为PE格式文件,通常为"PE\0\0"或"PE\0\0\0\0"。
PE文件(三)节
2301_78838647的博客
04-26 1368
Name数组的长度最大为8字节,如果定义节的名称为.text,由于.text对应的ASCII码分别为0x2E, 0x74, 0x65, 0x78,0x74,所以Name数组中的数据为2E 74 65 78 74 00 00 00,一共8字节。所有的节一起记录了该.exe文件中所有的节的信息,每一个节都有对应的节来存储信息,所有的节对应的节组合在一起就构成了PE文件的节结构。内存中的地址:节在4GB内存中的地址要加上imagebase的值,才是节真正在内存中的起始地址。
滴水--------------PE解析
clayoa的博客
12-19 900
上一篇文章我们说到PE解析,我们这次继续解析 先学习一个新的类型【节中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
机器学习方法检测恶意文件
zourzh123的专栏
08-12 7193
1. 恶意文件的传统检测方法    恶意文件检测在机器学习方法流行之前,一直是杀毒引擎的黑箱技术,很少为外界所周知。对于一般粗浅的应用者而言,最简单的做法是有两种:     1. 寻找各种开源的病毒库或者威胁情报网站,收集恶意文件的MD5值,作为黑名单使用。     2. 同时集成各种知名的杀毒软件或者沙箱,然后保存每个杀毒软件或沙箱对恶意文件的执行结果,然后综合所有的执行结果做综合判定:设...
PE-节
z1041259928的博客
03-02 522
windowns.h下的定义 name:8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义 misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改 VirtualAddress:内存中的偏移地址,加上imagebase就是内存中真正的地址 SizeofRawData:节在文件中对齐后的大小 PointerToRawData 节区在文件中的偏移 Po...
PE格式详细讲解4 - 系统篇04|解密系列
weixin_34085658的博客
04-29 160
PE格式详细讲解4-系统篇04 让编程改变世界 Change the world by program 到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块,也成节)。 越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释,大伙可以按需要看。 PE...
PE文件:节(区块
pjz969的专栏
02-26 5571
(区块): PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节总是被存放在紧接在PE文件
滴水三期:全面深入的编程逆向工程课程
进入PE(Portable Executable)部分,课程详细解析Windows可执行文件的结构,包括PE解析(44)、PE(46)以及相关的文件操作、内存分配(33)。此外,还涉及到动态和静态链接库(42),导出(43)、重定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值