PE 格式详解

原创 已于 2024-03-29 12:00:39 修改 · 1.1k 阅读 · 24
标签
#c++
于 2024-03-29 12:00:17 首次发布

目录

一般概述

 名字解释

PE 文件的模块介绍

 IMAGE_DOS_HEADER:

​IMAGE_NT_HEADERS:

节表

一般概述

windows 下的可执行文件是一个exe ,采用额是PE格式来描述一个执行文件,执行的时候被操作系统中的加载器加载到内存中。先展示一个exe 按照PE格式解析出来的结果。

ExE 按照PE格式解析图解

 名字解释

 下面的表格是从微软官方获取的名词解释:

名称 描述
属性证书 用于将可验证声明与映像关联的证书。 许多不同的可验证声明可以与文件相关联;其中最有用的一个声明是软件制造商的声明,此声明指示映像的消息摘要应该是什么。 消息摘要类似于检验和,只是很难伪造。 因此,很难修改文件以使其具有与原始文件相同的消息摘要。 可以使用公钥或私钥加密方案来验证声明是否是由制造商发出的。 本文档描述了有关属性证书的详细信息,但不允许将其插入到图像文件中。
日期/时间戳 在 PE 或 COFF 文件中的多个位置用于不同目的的戳记。 在大多数情况下,每个标记的格式与 C 运行时库中的时间函数使用的格式相同。 有关异常,请参见调试类型中 IMAGE_DEBUG_TYPE_REPRO 的说明。 如果戳记值为 0 或 0xFFFFFFFF,则它不表示实际或有意义的日期/时间戳。
文件指针 链接器(对于目标文件)或加载器(对于映像文件)处理之前文件本身中项的位置。 换句话说,这是存储在磁盘上的文件内的位置。
链接器 随 Microsoft Visual Studio 一起提供的链接器引用。
对象文件 作为链接器输入提供的文件。 链接器生成一个映像文件,而此映像文件又用作加载器的输入。 术语“目标文件”并不一定意味着与面向对象的编程有任何联系。
已保留,必须为 0 字段的描述,指示该字段的值对于生成器来说必须为零,而使用者必须忽略该字段。
相对虚拟地址 (RVA) 在映像文件中,这是项目加载到内存并从中减去映像文件基地址后的地址。 项目的 RVA 几乎总是与其在磁盘上文件中的位置(文件指针)不同。
在目标文件中,RVA 的意义不大,因为未分配内存位置。 在这种情况下,RVA 将是一个段内的地址(此表后面将进行描述),稍后在链接期间会对此地址应用重定位。 为简单起见,编译器应只将每个部分中的第一个 RVA 设置为零。
section PE 或 COFF 文件中代码或数据的基本单位。 例如,目标文件中的所有代码都可以组合在单个部分中,或者(取决于编译器行为)每个函数都可以占用自己的部分。 部分越多,文件开销就越大,但链接器能够更有选择性地链接代码。 一个部分类似于 Intel 8086 体系结构中的段。 一个部分中的所有原始数据都必须连续加载。 此外,映像文件可以包含多个具有特殊用途的部分,例如 .tls 或 .reloc 。
虚拟地址 (VA) 与 RVA 相同,只不过不减去映像文件的基址。 该地址称为 VA,因为 Windows 会为每个进程创建一个独立于物理内存的不同 VA 空间。 对于几乎所有目的,VA 应只被视为一个地址。 VA 不如 RVA 那么可预测,因为加载器可能不会在其首选位置加载映像。

PE 文件的模块介绍

下面我们来一个个解析PE文件的每一个模块:

 IMAGE_DOS_HEADER:

DOS头的作用是兼容MS-DOS操作系统中的可执行文件,对于32位PE文件来说,DOS所起的作用就是显示一行文字,提示用户:我需要在32位windows上才可以运行。

typedef s
最低0.47元/天 解锁文章
cwei231
关注
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件格式详解
音视频图形编程学习乐园
09-01 2501
本文描述了Windows系统的PE文件格式
PE 视频学习笔记
Oops-re的博客
12-20 2069
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件 而 PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
PE文件格式(一)
周星星的博客
10-18 9320
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
最详细PE文件格式讲解!!!!!
SXXYNHHXX的博客
01-22 4076
每个PE文件都是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS就能执行识别出这是一个有效的执行体,然后运行紧随MZ header的DOS stub(DOS块)。e_lfanew 字段是真正的PE文件头的相对偏移(RVA),指向真正的PE头的文件偏移位置,占用4字节,位于文件开始偏移3ch字节处。当PE文件通过加载器载入内存后,内存中的版本称为模块(Module),映射文件的起始地址称为模块句柄(hModule),可以通过模块句柄访问内存中的其他数据结构。基地址的值是由PE文件本身设定的。
PE格式详解
顺其自然~专栏
10-29 3749
PE(PortableExecutable,可移植的执行体)是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format,通用对象文件格式)文件格式。它是Win32环境自身所带的执行体文件格式。"portableexecutable"(可移植的执行体)意味着此文件格式是跨win32平台的:即使Windows运行在非Intel的CPU上,任何win32...
PE文件结构详解
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
pe文件结构
2303_81165358的博客
07-29 1782
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式
PE文件格式全解读
凌阳的博客
06-08 5553
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE结构&整体叙述
寻梦&之璐
01-31 7729
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,节在内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的节在文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字节,十六进制是200h 处于节约资源考虑,操作系统允许节在内存和文件
pe文件结构 基础篇
weixin_50217210的博客
07-08 1141
转自看雪学院
PE文件格式详解:深入理解Windows可执行文件结构
最新发布
weixin_62391735的博客
02-05 1185
PE文件格式详解
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2976
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件简介
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 6756
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式PE
【逆向】PE文件解析
一个努力生活的人的博客
05-11 1873
数据的RVA - 区段地址的RVA = 数据的FOA - 区段地址的FOA = 数据距离区段起始位置有多远,
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 7845
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
跟着王哥学逆向——PE文件详解篇(第一篇)
qq_52642385的博客
03-12 8268
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值