PE文件详解一:M_DOS头部IMAGE_DOS_HEADER STRUCT结构

最新推荐文章于 2024-06-03 21:10:17 发布
转载 最新推荐文章于 2024-06-03 21:10:17 发布 · 312 阅读 · 0
文章标签:

#操作系统

本文详细介绍了M_DOS头部结构体IMAGE_DOS_HEADER的各字段含义及其在PE文件中的作用,包括DOSStub和PE头的位置标识。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.M_DOS头部结构体:

IMAGE_DOS_HEADER STRUCT 

{ 
+00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 
+02h WORD e_cblp // Bytes on last page of file 
+04h WORD e_cp // Pages in file 
+06h WORD e_crlc // Relocations 
+08h WORD e_cparhdr // Size of header in paragraphs 
+0ah WORD e_minalloc // Minimun extra paragraphs needs 
+0ch WORD e_maxalloc // Maximun extra paragraphs needs 
+0eh WORD e_ss // intial(relative)SS value DOS代码的初始化堆栈SS 
+10h WORD e_sp // intial SP value DOS代码的初始化堆栈指针SP 
+12h WORD e_csum // Checksum 
+14h WORD e_ip // intial IP value DOS代码的初始化指令入口[指针IP] 
+16h WORD e_cs // intial(relative)CS value DOS代码的初始堆栈入口 
+18h WORD e_lfarlc // File Address of relocation table 
+1ah WORD e_ovno // Overlay number 
+1ch WORD e_res[4] // Reserved words 
+24h WORD e_oemid // OEM identifier(for e_oeminfo) 
+26h WORD e_oeminfo // OEM information;e_oemid specific 
+29h WORD e_res2[10] // Reserved words 
+3ch LONG e_lfanew // Offset to start of PE header 指向PE文件头 
} IMAGE_DOS_HEADER ENDS

 


1.该结构有两个重要的成员

DWORD e_magic和LONG e_lfanew。DWORD e_magic为"MZ",定义为IMAGE_DOS_SIGNATURE。LONG e_lfanew存放PE头的文件偏移量。

#define IMAGE_DOS_SIGNATURE 0x4D5A // MZ
#define IMAGE_OS2_SIGNATURE 0x4E45 // NE
#define IMAGE_OS2_SIGNATURE_LE 0x4C45 // LE
#define IMAGE_NT_SIGNATURE 0x50450000 // PE00



2.DOS Stub
它是一个总是由大约100个字节所组成的和MS-DOS 2.0兼容的可执行体,用来输出
“this program needs windows NT”之类的错误信息win32系统都直接跳过DOS Stub定
位到PE头。

PE文件学习--Dos头部
KOOKNUT的博客
03-23 583
PE(Portable Executeable File Format)可移植的执行文体格式,我们平时常见的exe\dll\sys等都是PE文件种。PE文件的组成可以被分为PE Head和PE Body,我们先从PE文件头的Dos头部说起。 DOS头部分为两部分:第部分是DOS MZ头第二部分是DOS Stub(指令字节码)。 以下为DOS MZ头部微软给出的定义,其中我学习中用到的最关键两...
IMAGE_DOS_HEADER解析
ChuMeng1999的博客
10-17 1082
目录预备知识、C32Asm二、PEiD三、StudPE四、LordPE实验目的实验环境实验步骤实验步骤二实验步骤三1.e_magic字段2.e_lfanew字段 预备知识 、C32Asm C32Asm是款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。 二、PEiD PEiD是款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信
DOS头部IMAGE_DOS_HEADER
07-09 429
对于PE文件来说,最开始的位置就是DOS程序。DOS程序包含DOS头和DOS程序体。 DOS头部是由IMAGE_DOS_HEADER结构体来定义的。 该结构体定义如下: [cpp] view plain copy typedef struct _IMAE_DOS_HEADER {       //DOS .EXE he
IMAGE_DOS_HEADER STRUCT小记
weixin_33725722的博客
10-27 372
IMAGE_DOS_HEADER STRUCT{+00h WORD e_magic// Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记+02hWORD e_cblp // Bytes on last page of file +04h WORD e_cp // Page...
DOSIMAGE_DOS_HEADER
dengjiatao9832的博客
09-21 173
1 IMAGE_DOS_HEADER STRUCT 2 { 3 +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 4 +2h WORD e_cblp // Bytes on last page of file 5 +4h WORD e_cp // Pages in ...
1.PE文件DOS头(IMAGE_DOS_HEADER)
kernelhack
10-24 9472
IMAGE_DOS_HEADER结构是面对于16位程序的.现在大部分程序都是32或者64位的. 32或者64位的程序已经不使用IMAGE_DOS_HEADER结构里面的成员了,但是有两个成员还需使用. IMAGE_DOS_HEADER 结构及成员含义如下: //大小为: 0x40(64)字节 #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ typedef struct _IMAGE_DOS_HEADER { ..
PE文件详解IMAGE_NT_HEADER结构
知其所以然
09-02 5597
PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE头之IMAGE_FILE_HEADER解析
ChuMeng1999的博客
10-17 1019
目录预备知识、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA) 预备知识 、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。 二、C32Asm C32Asm是款国产的16进制编辑器,可以十分方
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 2098
目录预备知识、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
PE文件结构详解之头信息解析
最新发布
meis27461的博客
06-03 1386
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
PE结构读取之DOS Header
kwfly的专栏
09-21 1442
PE文件 DOS Header 结构
PE DOS
weixin_52971884的博客
05-03 883
DOS头,PE文件的开始 DOS头是用来兼容MS-DOS操作系统的,目的是当这个文件在MS-DOS上运行时提示段文字,大部分情况下是:This program cannot be run in DOS mode.还有个目的,就是指明NT头在文件中的位置。NT头包含windows PE文件的主要信息,其中包括个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32),头部的详细结构以及其具体意义在PE文件头文章中详细描述。 节表
PE详解IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
永不放弃_浪子文---------------黑客文化
02-12 678
在这里为大家做好了详细的注释,免得大家头雾水,另外可以结合小甲鱼《加密系列》-系统篇-PE结构详解视频教程学习~若有纰漏之处还望大家不吝指正。 (注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT  {  +0h WORD e_magic  // Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记  +2h
IMAGE_DOS_HEADER STRUCT
namewangyue的专栏
09-26 413
IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic//Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h WORDe_cblp//Bytes on last page of file +4hWORDe_cp//Pages in file +6hWORDe_crlc//Relocations
PE文件格式详解(三)――DOS Header & PE Header
lwglucky的专栏
03-13 1492
节中我们对PE文件的各个部分的作用有了个总体的认识,从这节起我们会对PE文件的每个部分作更进步的解释,当然别忘记了上节中我提出的两个问题。 1.DOS MZ headerDOS Stub:         所有 PE文件(甚至32位的 DLLs) 必须以个简单的 DOS MZ header 开始。我们通常对此结构没有太大兴趣。有了它,旦程序在DOS下执行,DOS就能识别出这
小甲鱼PE详解IMAGE_DOS_HEADER结构定义即各个属性的作用(PE详解01)
Vinx Blog
11-18 562
(注:最左边是文件头的偏移量。)IMAGE_DOS_HEADER STRUCT { +0h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +2h WORD e_cblp //Bytes on last page of file +4h WORD e_cp //Pages in file +6h
MS-DOS头部
十年磨一剑,霜刃未曾试!
06-10 2966
<br />每个PE文件都是以Dos程序开始的,有了它,旦程序在Dos下执行,Dos就能识别出这是有效的执行体,然后运行紧随MZ header之后的Dos stub(Dos块). Dos stub实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单的显示个错误提示,This program must be run under Win32。Dos stub般都是由编译器自动生成的。Dos MZ头与Dos stub合称为Dos文件头。<br /> <br />MS-DOS头部占据了PE
PE学习(二) IMAGE_DOS_HEADER
零点起步
03-17 2938
Windows系统下的可执行文件,是基于Microsoft设计的种新的文件结构,此结构被称之为PE结构PE的意思是Portable Executable(可移植的执行体),所有Win32执行体都是用PE文件格式,其中包括SYS、DLL、EXE、COM、OCX等。 不管是学习逆向、破解还是安全,了解PE文件格式都是非常必要的。 PE文件的第个部分是IMAGE_DOS_HEADER,大小为6
PE格式详细讲解2 - 系统篇02|解密系列
weixin_34221773的博客
04-06 184
PE格式详细讲解2-系统篇02 让编程改变世界 Change the world by program PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。下边小甲鱼将为大家详细讲解哈~ 首先是IMAGE_NT_HEADERS 结构的定义:(啥?结构不会,先看看小甲鱼童鞋的《零基础入门学习C语言...
深入了解PE工具源码:C++入门必读
- IMAGE_DOS_HEADERDOS可执行文件头,包含MZ标识和PE文件实际开始位置的偏移。 - IMAGE_NT_HEADERS:包含PE文件的核心信息,主要有: - IMAGE_NT_HEADERS32/64:包含标识PE文件的魔数、可选头大小和签名。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值