[PE格式分析] 3.IMAGE_NT_HEADER

最新推荐文章于 2025-05-20 17:05:51 发布

转载最新推荐文章于 2025-05-20 17:05:51 发布 · 213 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/night-ride-depart/p/5769493.html

文章标签：

#操作系统

本文介绍了PE文件的基本结构，重点解析了_IMAGE_NT_HEADERS结构体及Signature字段的作用。在PE文件中，Signature字段始终设置为0x00004550（即ASCII码“PE00”），标志着PE文件头的开始。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

源代码如下：

typedef struct _IMAGE_NT_HEADERS {
+00h    DWORD Signature; // 固定为 0x00004550  根据小端存储为："PE.."
+04h    IMAGE_FILE_HEADER FileHeader;
+18h    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature字段

在一个有效的 PE 文件里，Signature 字段被设置为0x00004550, ASCII 码字符是“PE00”。标志这 PE 文件头的开始。

PE00” 字符串是 PE 文件头的开始，DOS 头部的 e_lfanew 字段正是指向这里。

如下图所示：

再来一个例子:

转载于:https://www.cnblogs.com/night-ride-depart/p/5769493.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lyuharvey

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

小甲鱼PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用（PE详解02）

07-29

2245

上一讲：小甲鱼PE详解之IMAGE_DOS_HEADER结构定义即各个属性的作用PE Header 是PE相关结构NT映像头（IMAGE_NT_HEADER）的简称，里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~（视频教程：http://fishc.com

PE文件详解之IMAGE_NT_HEADER结构

知其所以然

09-02

5597

参与评论您还未登录，请先登录后发表或查看评论

Windows逆向工程提升之IMAGE_NT_HEADER

最新发布

0xCC说逆向

05-20

1241

/ PE 头标志 ("PE\0\0")// 文件头// 可选头。

NT头 IMAGE_NT_HEADER

dengjiatao9832的博客

09-21

151

typedef struct_IMAGE_NT_HEADERS{ DWORD Signature; // 固定为 0x00004550 “PE00" IMAGE_FILE_HEADER FileHeader;//IMAGE_FILE_HEADER文件头结构 IMAGE_OPTIONAL_HEADER32 OptionalHeade...

PE头部IMAGE_NT_HEADERS

夜空中最亮的星

10-19

4639

PE头部是真正用来装载Win32程序的头部，PE头的定义为IMAGE_NT_HEAD

2.PE文件之NT头(IMAGE_NT_HEADERS)

kernelhack

10-25

5259

IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..

PE头之IMAGE_OPTIONAL_HEADER解析

ChuMeng1999的博客

10-17

2098

PE结构详解：IMAGE_NT_HEADERS和IMAGE_FILE_HEADER

小甲鱼的PE结构网页内容整理是关于PE文件格式的详细讲解，涵盖了PE文件的基本结构、PE Header的组成、IMAGE_NT_HEADERS结构、IMAGE_FILE_HEADER结构等方面的知识点。首先，PE文件格式是Windows操作系统中一种常用...

PE头之IMAGE_FILE_HEADER解析

ChuMeng1999的博客

10-17

1019

OEP.rar_OEP_Pe-file_infector

09-24

Visual C++提供的`<windows.h>`库包含了`IMAGE_DOS_HEADER`、`IMAGE_NT_HEADERS`等结构体，可以直接用来解析PE文件。此外，"Pe-file_infector"这一标签暗示了可能涉及到PE文件的感染或修改。在恶意软件领域，某些...

PE 头文件 IMAGE_NT_HEADER

Relaxpeng

07-03

1316

PE文件之IMAGE_NT_HEADERS

jiangqin115的专栏

03-30

1604

继续看PE文件格式：IMAGE_NT_HEADERS紧接在DOS Stub之后，其位置由IMAGE_DOS_HEADER中的e_lfanew所指；IMAGE_NT_HEADERS由三部分组成，他们分别是DWORD类型的PE签名Signature；IMAGE_FILE_HEADER类型的FileHeader；以及IMAGE_OPTIONAL_HEADER32类型的OptionalHeader。IMA...

学破解 <二> PE格式之IMAGE_NT_HEADERS

weixin_34358365的博客

04-18

181

这个IMAGE_NT_HEADERS其实就是PE相关结构的映像头，NT据我揣测应该是New Technology的缩写，区分于DOS WIN9X的新技术，您老要是非觉得是NTR什么的也没关系。IMAGE_NT_HEADERS的结构是这个样子的 IMAGE_NT_HEADERS STRUCT { +0h DWORD Signature +4h IMAGE_FILE_...

PE文件之 _IMAGE_NT_HEADERS

2402_87631701的博客

05-17

274

所以实际的偏移量和数值是一一对应的我们先走到距离文件头0x3c的地址并解引用赋值给dwoffest 然后定义一个DWORD类型的指针来指向。第三个成员是可选的拓展PE头有两种一种是32位一种是64位 OptionalHeader指向了_IMAGE_OPTIONAL_HEADERS。第二个成员是标准PE头 FileHeader成员指向了标准PE头_IMAGE_FILE_HEADER。IMAGE_NT_HEADERS有两种类型一种是32位一种是64位他们所占用的大小是不同的。

PE文件格式

weixin_43905689的博客

01-20

1116

PE文件是windows操作系统下使用的可执行文件格式。它是微软在UNIX平台的COFF(CommonObjectFileFormat，通用对象文件格式)基础上制作而成。最初设计用来提高程序在不同操作系统下的移植性，但实际上这种文件格式仅用在windows系列的操作系统下。PE文件是指32位的可执行文件，也称为PE32。64位的可执行文件称为PE+或者PE32，是PE文件的一种扩展形式（注意不是PE64）