- 博客(3)
- 收藏
- 关注
RSS订阅原创 PE文件格式详细解析(三)
3.PE文件的结构3.3 节区表节区表位于PE文件NT头之后,也是PE头的最后一个部分。节区表记录了PE文件中所有节区的相关属性,节区表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中IMAGE_SECTION_HEADER结构数量等于节的数量加一。IMAGE_SECTION_HEADER结构体大小0x28字节,为该结
2021-11-04 23:16:52
1335
原创 PE文件格式详细解析(二)
3.PE文件的结构3.2 NT头由一个IMAGE_NT_HEADERS结构组成,该结构中包含了PE文件被载入内存时需要用到的重要域。通过DOS header中的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE签名 IMAGE_FILE_HEADER FileHeader; //PE头 IMAGE_OPTIONA
2021-11-02 22:28:04
1911
原创 PE文件格式详细解析(一)
PE文件格式详细解析本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。1.PE文件格式PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。PE文
2021-11-02 21:57:21
6243
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人