PE结构学习笔记(四)

最新推荐文章于 2024-04-08 17:12:06 发布
最新推荐文章于 2024-04-08 17:12:06 发布
阅读量96 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/maplewan/p/3231343.html

Chinese:

这个篇幅将通过一个具体实例来从16进制文本中找到区块表

1、首先用一个16进制编辑器(UltraEdit, WinHex etc..)打开一个可执行文件(exe)

2、在00000200h找到PE Header,+04h的偏移地址是File Header,+14h的地址记录了IMAGE_OPTIONAL_HEADER32结构的大小

3、+18h是OptionalHeader,OptionalHeader的地址加上SizeOfOptionalHeader即为区块表的地址:00000218h + E0h = 000002F8h

4、区块表结构如下:

typedef struct IMAGE_SECTION_HEADER

{

BYTE Name[IMAGE_SIZEOF_SHORT_NAME];  //节表名称,如".text", IMAGE_SIZEOF_SHORT_NAME=4

union

{

DWORD PhysicalAddress;  //物理地址

DWORD VirtualSize;  //真实长度

} Misc;

DWORD VirtualAddress;  //节区的RVA地址

DWORD SizeOfRawData;  //在文件中对齐后的尺寸

DWORD PointerToRawData;  //在文件中的偏移量

DWORD PointerToRelocations;  //在obj文件中使用,重定位的偏移

DWORD PointerToLinenumbers;  //行号表的偏移(供调试使用地)

WORD NumberOfRelocations;  //在ojb文件中使用,重定位项数目

WORD NumberOfLinenumbers;  //行号表中行号的属木

DWORD Characteristics;  //节属性 如可读、可写、可执行等

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

 

可以算出每个区块表的结构占40个字节,专成16进制就是28h,也就是说第二个区块表的地址是0x000002F8h + 28h = 0x00000320h

5、同理可以算出第三个、第四个、第五个。。。

转载于:https://www.cnblogs.com/maplewan/p/3231343.html

PE结构学习笔记
weixin_44164182的博客
02-25 354
1.PE文件基本结构 (1)DOS头: DOS MZ头,IMAGE_DOS_HEADER结构体 DOS块 (2)PE文件头 PE文件头标志 PE文件表头,IMAGE_OPTIONAL_HEADER结构体 PE文件可选头,IMAGE_OPTIONAL_HEADER32结构体 (3)节表,IMAGE_SECTION_HEADER结构 (3)节数据 2.PE文件的两种存在形式 PE文件在磁盘文件...
秦万强PE文件学习笔记.pdf
06-06
学习PE文件结构对于理解Windows程序的加载和执行过程、逆向工程以及病毒分析等方面都非常重要。由于PE文件是Windows平台程序运行的基础,因此深入了解PE格式是每个Windows平台下的程序员和安全研究员的基本技能。
【汇编语言02】第2章 寄存器
Fighting_hawk的博客
07-30 1786
1. 了解CPU中寄存器的概念。8086CPU中有14个寄存器,本章主要掌握4个通用寄存器ax、bx、cx、dx,和两个与指令指向相关的寄存器CS、IP。 2. 掌握修改寄存器的指令:mov、add、jmp。掌握其命令格式、功能,理解其注意事项比如说计算结果超出寄存器所能存储的位数等。 3. 理解物理地址作用和形成原理。......
地址偏移地址
u010783226的专栏
02-03 9341
首先必须明白 cpu和内存的区别 cpu 中央处理器 内存是物理数据存放的地方 cpu不直接存放数据而是通过内存来存放数据 cpu和内存之间通过20条地址总线相连接,地址总线就是cpu通过地址找到对应的内存的物理数据的传递工具 计算机只能处理0,1 二进制数据 每一条线可以处理 0,1 两种类型数据 所以20根线的 总共能拥有 2^20=1048576个不相同的地址 也就是能搜索 1048576个地址范围内的内存 那么 一个地址代表一个存储单元 一个存储单元能够存储 1byte数据 那么也就
PE结构学习(1)_认识PE文件
xf555er的博客
08-07 717
可执行文件在不同的操作系统平台有不同的结构常见的PE文件后缀名有EXE, DLL,SYS等。
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 916
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
PE结构学习(4)_节的操作
xf555er的博客
08-07 1538
对文件的节表进行扩大,为了方便操作,只需对最后一个节进行扩大OK了此处演示扩大1000(16进制)个字节的操作扩大节扩出来的空白区还需要考虑节的权限问题,若扩大出来的节没有执行代码的权限,那么还要修改整个节的权限属性,节的权限属性由节表结构体的最后一个成员Characteristics决定因为新增的节可以自己设置权限,所以相比扩大节而言还是方便挺多的新增节有一个前提条件,最后一个节后面至少要有40个字节的空白区若前提条件不满足, 那只能合并节,即将多个节合并成一个节,多余的空间就可以用于新增节。...
PE 视频学习笔记
Oops-re的博客
12-20 1535
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件 而 PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
PE文件结构学习笔记
abc_670的博客
01-26 1271
PE 的意思就是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"(可移植的执行体)意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上,任何win32
PE结构笔记
Tokameine的博客
02-25 482
范本与工具:010Editor & Notepad.exe 种类 主拓展名 可执行 EXE / SCR 驱动程序 SYS / VXD 库 DLL / OCX / CPL / DRV 对象文件 OBJ (但这并不是可执行的,在逆向分析中不怎么需要关心) 正经的PE结构头包括:DOS头(DOS header) & DOS存根(Dos Stub) & 节区头(Section header) &a...
C++Primer Plus学习笔记
weixin_45068267的博客
04-08 2752
此博文是通过翻阅C++ Primer Plus中文第6版(2020),逐章学习记录笔记由此学习C++的基础特性和语法知识,有别于其它视频教学+代码+笔记的学习途径,更趋向传统的书籍+代码+笔记学习,Cpp第6版以C++11标准为主,学习C++基础编程绰绰有余.
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
pc样本学习笔记PE类恶意程序与启发査杀.docx
05-10
### PE文件结构与恶意程序的关系 PE文件格式由多个部分组成,包括DOS头、PE签名、文件头、可选头、节表以及节区数据等。这些结构不仅定义了程序如何加载到内存中运行,也为恶意软件提供了隐藏和执行的场所。例如: ...
永磁同步电机矢量控制算法优化与仿真验证研究.docx
09-05
永磁同步电机矢量控制算法优化与仿真验证研究.docx
perl-Hash-StoredIterator-0.008-12.el8.tar.gz
最新发布
09-05
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
Multisim软件在音频功率放大器设计与仿真中的应用探讨.docx
09-05
Multisim软件在音频功率放大器设计与仿真中的应用探讨.docx
生成式人工智能金融服务的风险与治理探讨.docx
09-05
生成式人工智能金融服务的风险与治理探讨.docx
《一个64位操作系统的设计与实现》读书笔记&随书源码.zip
09-05
《一个64位操作系统的设计与实现》读书笔记&随书源码.zip
人工智能在研究生教育中的应用与挑战.docx
09-05
人工智能在研究生教育中的应用与挑战.docx
秦万强PE文件系统详解与学习笔记概览
秦万强的《PE文件学习笔记》是一份详细的文档,主要针对Windows可执行文件(PE文件)进行了深入解析。PE文件是Windows操作系统下二进制可执行文件的标准格式,用于存储应用程序的机器代码、资源数据和相关元数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值