PE文件 是微软 Win32 环境下可执行文件的标准格式。

所谓的可执行文件并不仅仅是常见的 EXE 文件,DLL,SYS,VXD 等文件也都属于 PE 格式。

|-------> DOS_MZ_Header ------> 结构体:IMAGE_DOS_HEADER

|-------> DOS_Header ------|

|                                        |-------> DOS_Stub ------->"This program cannot be run in DOS mode."

|

PE 文件格式        |-------> PE_Header -------> 结构体:IMAGE_NT_HEADERS

|

|

|-------> Section_Table --------> 结构体:IMAGE_SECTION_HEADER

IMAGE_DOS_HEADER 结构体:

typedef struct _IMAGE_DOS_HEADER  // 该结构体大小为 64byte。
{

    WORD   e_magic;   // DOS 可执行文件标记。值为 0x5A4D,由于低位在前高位在后,所以存储为 0x4D5A。即 ASCII 字符为"MZ"。

    WORD   e_cblp;

    WORD   e_cp;

    WORD   e_crlc;

    WORD   e_cparhdr;

    WORD   e_minalloc;

    WORD   e_maxalloc;            

    WORD   e_ss;        // DOS 代码的初始化堆栈。

    WORD   e_sp;        // DOS 代码的初始化堆栈指针SP。

    WORD   e_csum;      

    WORD   e_ip;        // DOS 代码的初始化指令入口[指针IP]

    WORD   e_cs;        // DOS 代码的初始化堆栈入口。

    WORD   e_lfarlc;

    WORD   e_ovno;

    WORD   e_res[];

    WORD   e_oemid;

    WORD   e_oeminfo;

    WORD   e_res2[];  

    LONG   e_lfanew;    // PE 文件头偏移位置。

  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

IMAGE_NT_HEADERS 结构体:

typedef struct _IMAGE_NT_HEADERS
{

  DWORD  Signature;  // 标识 PE 文件头部。值为 0x00004550,ASCII 码即 "PE00"。

  IMAGE_FILE_HEADER  FileHeader;

  IMAGE_OPTIONAL_HEADER32  OptionalHeader;

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

IMAGE_FILE_HEADER 结构体:

typedef struct _IMAGE_FILE_HEADER
{

  WORD  Machine;   // 计算机的体系结构类型。

  WORD  NumberOfSections; // 节数。这指示节表的大小, 它紧跟在标题后面。

  DWORD TimeDateStamp; // 图像的时间戳的低32位。这表示链接器创建映像的日期和时间。

  DWORD PointerToSymbolTable;  // 符号表的偏移量

  DWORD NumberOfSymbols;     // 符号表中的符号数。

  WORD  SizeOfOptionalHeader; // 紧跟在该结构体后面的 IMAGE_OPTIONAL_HEADER32 结构体的大小。

  WORD  Characteristics;   // 图像的特征。

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

IMAGE_OPTIONAL_HEADER32 结构体:

typedef struct _IMAGE_OPTIONAL_HEADER 
{

  WORD   Magic;  // 图像文件的状态。

  BYTE   MajorLinkerVersion; // 链接器的主要版本号。

  BYTE   MinorLinkerVersion; // 链接器的次要版本号。

  DWORD  SizeOfCode;  // 代码节的大小。

  DWORD  SizeOfInitializedData; // 初始化数据节的大小。

  DWORD  SizeOfUninitializedData; // 未初始化数据节的大小。

  DWORD  AddressOfEntryPoint; // 指向入口点函数的指针。

  DWORD  BaseOfCode; // 指向代码节的开头的指针

  DWORD  BaseOfData; // 指向数据节开头的指针

  DWORD  ImageBase;  // 在内存中加载图像的第一个字节的首选地址。

  DWORD  SectionAlignment; // 在内存中加载的节的对齐方式。

  DWORD  FileAlignment; // 图像文件中各节的原始数据的对齐方式

  WORD   MajorOperatingSystemVersion; // 所需操作系统的主要版本号。

  WORD   MinorOperatingSystemVersion; // 所需操作系统的次要版本号。

  WORD   MajorImageVersion; // 图像的主要版本号。

  WORD   MinorImageVersion; // 图像的次要版本号。

  WORD   MajorSubsystemVersion; // 子系统的主要版本号。

  WORD   MinorSubsystemVersion; // 子系统的次要要版本号。

  DWORD  Win32VersionValue; // 必须为 0。

  DWORD  SizeOfImage; // 图像的大小。

  DWORD  SizeOfHeaders; // 头结构体的总大小,

  DWORD  CheckSum;  // 图像文件校验和。

  WORD   Subsystem; // 运行此映像所需的子系统。

  WORD   DllCharacteristics;  // 图像的 DLL 特征。

  DWORD  SizeOfStackReserve;  // 要为堆栈保留的字节数。

  DWORD  SizeOfStackCommit;  // 要为堆栈提交的字节数。

  DWORD  SizeOfHeapReserve;  // 要为本地堆保留的字节数。

  DWORD  SizeOfHeapCommit;  // 要为本地堆提交的字节数。

  DWORD  LoaderFlags;

  DWORD  NumberOfRvaAndSizes;

  IMAGE_DATA_DIRECTORY  DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

IMAGE_DATA_DIRECTORY 结构体:

typedef struct _IMAGE_DATA_DIRECTORY
{

  DWORD VirtualAddress;  // 表的相对虚拟地址。

  DWORD Size;  // 表的大小。

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

IMAGE_SECTION_HEADER 结构体:

typedef struct _IMAGE_SECTION_HEADER
{

  BYTE  Name[IMAGE_SIZEOF_SHORT_NAME]; // 用了定义区块名。

  union {

    DWORD PhysicalAddress; // 文件地址。

    DWORD VirtualSize; // 加载到内存中的节的总大小

  } Misc;

  DWORD VirtualAddress; // 加载到内存中的节的第一个字节的地址 (相对于映像基)。

  DWORD SizeOfRawData; // 磁盘上初始化数据的大小。

  DWORD PointerToRawData; // 指向 COFF 文件中第一页的文件指针。

  DWORD PointerToRelocations; // 指向该节的重新定位项开头的文件指针。如果没有迁移, 则此值为零。

  DWORD PointerToLinenumbers; // 指向该节的行号条目开头的文件指针。如果没有 COFF 行号, 则此值为零。

  WORD  NumberOfRelocations; // 该节的搬迁条目数。此值为可执行图像的零。

  WORD  NumberOfLinenumbers; // 节的行号条目数。

  DWORD Characteristics; // 图像的特征。

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

PE 文件格式详解的更多相关文章

  1. PE文件格式详解,第一讲,DOS头文件格式

    PE文件格式详解,第一讲,DOS头文件格式 今天讲解PE文件格式的DOS头文件格式 首先我们要理解,什么是文件格式,我们常说的EXE可执行程序,就是一个文件格式,那么我们要了解它里面到底存了什么内容 ...

  2. PE文件格式详解,第二讲,NT头文件格式,以及文件头格式

    PE文件格式详解,第二讲,NT头文件格式,以及文件头格式 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) PS:本篇博客 ...

  3. PE文件格式详解,第三讲,可选头文件格式,以及节表

    PE文件格式详解,第三讲,可选头文件格式,以及节表 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶可选头结构以及作 ...

  4. PE文件格式详解(七)

    PE文件格式详解(七)   Ox00 前言 前面好几篇在讲输入表,今天要讲的是输出表和地址的是地址重定位.有了前面的基础,其实对于怎么找输出表地址重定位的表已经非常熟悉了.   0x01 输出表结构 ...

  5. PE文件格式详解(下)

    作者:MSDN译者:李马 预定义段 一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text..bss..rdata..data..rsrc..edata..idata..pdata ...

  6. PE文件格式详解(上)

    作者:MSDN 译者:李马 摘要 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式.PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Spec ...

  7. PE文件格式详解(六)

    0x00 前言 前面两篇讲到了输出表的内容以及涉及如何在hexWorkShop中找到输出表及输入DLL,感觉有几个地方还是没有理解好,比如由数据目录表DataDirectory[16]找到输出表表后以 ...

  8. PE文件格式详解(一)

    PE文件格式介绍(一) 0x00 前言 PE文件是portable File Format(可移植文件)的简写,我们比较熟悉的DLL和exe文件都是PE文件.了解PE文件格式有助于加深对操作系统的理解 ...

  9. PE文件格式详解(八)

    0x00 前言 前面了解了PE文件的输入和输出,今天来看看另一个重要的结构——资源.资源结构是很典型的树形结构,层层查找,最终找到资源位置. 0x01 资源结构介绍 Windows程序的各种界面成为资 ...

随机推荐

  1. AirFlow常见问题汇总

    airflow常见问题的排查记录如下: 1,airflow怎么批量unpause大量的dag任务 ​ 普通少量任务可以通过命令airflow unpause dag_id命令来启动,或者在web界面点 ...

  2. 渗透测试----access偏移注入

    偏移注入指access偏移注入,由于数据库结构的问题,偏移注入只适用于access数据库.对于access数据库来说,无论是逐字猜解还是联合查询注入,都是需要我们能够猜到用户名和密码的列名(字段),才 ...

  3. Java第二次作业第一题

    编写图形界面程序,在窗体中设置菜单栏,在菜单栏上添加"file"菜单,在文件菜单中添加"new"和"quit"两个菜单项,其中"q ...

  4. Docker Gitlab CI 部署 Spring Boot 项目

    目前在学习这一块的内容,但是可能每个人环境都不同,导致找不到一篇博客能够完全操作下来没有错误的,所以自己也写一下,记录一下整个搭建的过程. Docker 的安装这里就不赘述了,基本上几行命令都可以了, ...

  5. [Linux] Linux下undefined reference to ‘pthread_create’问题解决

    问题的原因:pthread不是Linux下的默认的库,也就是在链接的时候,无法找到phread库中函数的入口地址,于是链接会失败. 解决:在gcc编译的时候,附加要加 -lpthread参数即可解决.

  6. BASLER Pylon 抓取策略

    BASLER Pylon 抓取策略 ( 涛哥工业技术 微信号 TaoRobotics) One by One Grab Strategy 逐个抓取策略 当使用 one by one 抓取模式时,图像按 ...

  7. spring字符编码filter

    项目中的字符编码问题,spring提供统一的字符处理filter,只需要在项目入口web.xml中配置CharacterEncodingFilter即可,具体配置如下: <!-- 配置过滤器,同 ...

  8. 使用gdb调试c++程序

    上篇(使用c++开发跨平台程序)说到,我不怕造东西,我怕的是造出来的东西,如果出了问题,我却不知道原因.所以调试分析是一个重要的手段. C++调试是一个复杂的活.虽然大部分调试可以通过IDE在开发期间 ...

  9. Cannot find class: com.mysql.jdbc.Driver错误及解决办法。

    在刚刚开始搭建Mybatis源码解析,一步一步从浅入深 简单示例的时候,我使用的是mysql 5.1.12版本的驱动包.运行时出现如下错误: Cause: java.sql.SQLException: ...

  10. GStreamer基础教程08 - 多线程

    摘要 GStreamer框架会自动处理多线程的逻辑,但在某些情况下,我们仍然需要根据实际的情况自己将部分Pipeline在单独的线程中执行,本文将介绍如何处理这种情况. GStreamer多线程 GS ...