反汇编学习——PE文件结构

最新推荐文章于 2024-03-20 22:46:15 发布
最新推荐文章于 2024-03-20 22:46:15 发布
阅读量273 收藏
点赞数
文章标签: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaosusushuai/article/details/132832556
版权

汇编语言中,计算字节数大小:
一个Byte是1字节
word类型,即一个字,又两个字节构成。占据2字节
long类型,占据4字节
dword占据4字节。因为是double word
RVA:Relative virtual address
IMAGE在PE文件中出现,它是“映像”的意思。说明磁盘中的文件和内存中的文件并非完全相同。故将加载到内存中的PE文件加以IMAGE以标识。
一般的文件结构包含了以下属性:
 DOS头,DOS存根,NT头,节区头,节区。(节区又包含text,data,rsrc)
PE头:
 IMAGE_DOS_HEADER:

  e_magic代表DOS签名:4D5A->ASCII("MZ")
  e_lafnew,nt头的偏移
 IMAGE_NT_HEADERS:
  IMAGE_FILE_HEADER:

1.machine 机器码,表示CPU
2.numberofsections,指出文件中存在的分区数量
3.sizeofoptionalheader,指出IMAGE_OPTIONAL_HEADER32的长度
4.characterristics,标识文件的属性。0x0002:file is executable,0x2000:file is a DLL
IMAGE_OPTIONAL_HEADER32:
1.magic
2.AddressOfEntryPoint
3.ImageBase
4.SectionAlignment,FileAlignment
5.SizeOfImage
6.SizeOfHeader
7.Subsystem
8.NumberOfRvaAndSizes
9.DataDirectory
节区头由IMAGE_SECTION_HEADER构成。
计算RVA->RAW公示:Raw-PointerToRawData=Rva-VitualAddress
Raw=Rva-VitualAddress+PointerToRawData
其中,Rva指磁盘文件地址,Raw指内存文件地址

Lord_serana
关注
PE 文件解析程序(含反汇编
08-13
解析PE文件,包括数据,资源待。代码反汇编,函数结构分析等~~
PE文件 反汇编
qq_38393271的博客
05-05 2525
PE文件 反汇编1.PE文件1.1 Dos头1.1.1 使用python pefile 库读取PE文件,查看DOS头1.1.2 使用16进制文本编辑器 UltraEdit 打开PE文件1.2 NI头1.2.1 使用python pefile 库读取PE文件,查看IN头1.3 节表头1.3.1 使用16进制文本编辑器 UltraEdit 查看各节表头1.3.2 使用python pefile 库读取PE文件,查看.text节表头1.4 节表内容(.text)2.反汇编2.1 使用python capston.
PE,反汇编,反编译,目标程序反推源代码,破解中的必备知识
01-21
逆向工程中需要了解PE文件的细节,此文档资料就值得读下 适合于结合反编译,和反汇编工具使用
从monodis源码分析pe文件结构与msil反汇编
aizi6896的博客
04-23 331
monodis是mono发行包里的一个工具,作用类似与ms的ildasm,可以把dotnet pe文件反编译为msil文件(另外有个托管代码的实现Mono.Cecil)。这个工具的实现很简单,就是根据PE文件的格式与规范去解析。选择这个主题的原因有很多,首先PE文件作为进行分析mono的基础,毕竟这里是metadata的来源;另外通过分析msil语言,可以为后续的VM执行引擎做准备,...
易语言pe反汇编
07-21
易语言pe反汇编源码,pe反汇编,分析,到16进制,字节集到十六,反汇编
PE文件格式剖析——解剖PE格式文件
10-25
#### 二、PE文件结构详解 ##### 1. DOS头 (DOS Header) 每个PE文件都以一个DOS兼容头开始,这个头的存在是为了保持与早期DOS系统的兼容性。当在非Windows环境中运行PE文件时,DOS头中的小程序将显示一条错误消息并...
《逆向工程核心原理》学习笔记5 PE文件学习——PE头核心IAT,EAT
EloflyS的博客
02-19 722
《逆向工程核心原理》学习笔记5 PE头核心——IAT,EAT 1.IAT——导入地址表 用于记录程序正在使用哪些库的哪些函数的表格。
自己的反汇编引擎——Intel指令编码(1)
bilibili的博客
09-24 1707
自己写的反汇编总结
pediy——对PE文件进行加壳保护
08-21
1. **分析PE文件结构**:了解PE文件的各个部分,如节区、导入表、导出表、资源等。 2. **创建外壳程序**:编写一个简单的可执行程序,其主要任务是在运行时加载和执行原始PE文件。 3. **修改PE头信息**:根据外壳...
反汇编艺术》手册——编程与逆向工程指南
作者在编写过程中引用了一些优秀的网络资源和代码片段,特别是有关结构化异常处理(SEH)、PE文件格式教程以及如何构建反汇编器的文章。他们强调尊重原作者的工作,并在引用时给出了适当的出处和链接。此外,书中...
反汇编PE工具源码
06-13
反汇编PE工具源码,初学PE不错的选择,有PE基础都能看懂。
反汇编结构识别
最新发布
2401_83680667的博客
03-20 215
典型汇编结构识别
IDA pro批量反汇编——将PE可执行文件反汇编生成asm文件
weixin_43872455的博客
12-10 2311
1.批量反汇编 2.显示节表名称和地址前缀 3.显示字节机器码
linux内核分析1--反汇编分析
Watson2016的博客
05-19 1337
“Linux内核分析”实验报告 通过反汇编一个简单的C程序,分析汇编代码理解计算机是如何工作的 原c语言代码如下: int g(int x) { return x + 15; } int f(int x) { return g(x); } int main(void) { return f(10) + 1; } 将main.c文件编译成汇编文件
汇编语言读取PE文件
CANDY的杂货铺
11-15 1546
NKUERS的九九八十一难 之 汇编语言[读取PE文件]
Linux 反汇编工具,逆向与反汇编工具
weixin_30350163的博客
05-06 2622
逆向与反汇编工具了解反汇编的一些背景知识后,再深入学习IDA Pro之前,介绍其他一些用于二进制文件的逆向工程工具,会对我们学习有所帮助。这些工具大多在IDA之前发布,并且仍然可用于快速分析二进制文件,以及审查IDA的分析结果。如我们所见,IDA将这些工具的诸多功能整合到它的用户界面中,为逆向工程提供了一个集成环境。最后,尽管IDA确实包含一个集成调试器,在这里我们不会讨论,因为在第24、25和2...
PE文件简介
尽人事,听天命
05-04 991
PE(Portable Execute)文件是WIN32下可执行文件遵循的数据格式,也是反汇编调试必不可少的文件,常见的pe文件有.exe和.dll文件。本文主要介绍pe文件的结构和虚拟内存地址转换到文件地址的方法。 pe文件的基本结构 基本的pe文件主要包括以下部分:如下图 .text节:由编译器产生,村反击本的二进制机器码,我们调试很烦会变得而主要对象。.data节:数据块,宏定
【工程化系列】逆向工程(反编译)
优快云明星博主,认证博客专家,视频、Matlab领域优质创作者。
12-28 1859
DATE: 2018.12.28 文章目录1、参考2、反编译的概念3、常用的反编译软件 1、参考 https://blog.youkuaiyun.com/kakukemeit/article/details/12946079 https://baike.baidu.com/item/%E5%8F%8D%E5%90%91%E7%BC%96%E8%AF%91/9932384?fr=aladdin 2、反编译的概念 计算机软件反向工程(Reverse engineering)也称为计算机软件还原工程,是指通过对他人软件的
0004-PE文件中RVA和raw——addr的转换.md
ma_de_hao_mei_le的博客
05-26 403
友链 关键就是这个section header 在你解析到section header之前,你是无法正确的将RVA转换成disk file的raw addr的 因为你这是还不知道raw addr和虚拟地址的映射关系 一旦读取了这个section header,之后,你就获取到了在内存对齐之后的rva和raw addr的映射关系了 当然,这里的raw addr也是经过了file alignment的,有些扇区的尾部会被填充padding(null) 现在我们来看在optional header中的15个da
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值