提示:前面加*为必须背下来的

DOS头:

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header

    WORD   e_magic;                     //* Magic number

    WORD   e_cblp;                      // Bytes on last page of file

    WORD   e_cp;                        // Pages in file

    WORD   e_crlc;                      // Relocations

    WORD   e_cparhdr;                   // Size of header in paragraphs

    WORD   e_minalloc;                  // Minimum extra paragraphs needed

    WORD   e_maxalloc;                  // Maximum extra paragraphs needed

    WORD   e_ss;                        // Initial (relative) SS value

    WORD   e_sp;                        // Initial SP value

    WORD   e_csum;                      // Checksum

    WORD   e_ip;                        // Initial IP value

    WORD   e_cs;                        // Initial (relative) CS value

    WORD   e_lfarlc;                    // File address of relocation table

    WORD   e_ovno;                      // Overlay number

    WORD   e_res[];                    // Reserved words

    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)

    WORD   e_oeminfo;                   // OEM information; e_oemid specific

    WORD   e_res2[];                  // Reserved words

    LONG   e_lfanew;                    //* NT头指针

  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

NT头:

typedef struct _IMAGE_NT_HEADERS {

  DWORD                 Signature;       //*pe签名

  IMAGE_FILE_HEADER     FileHeader;      //*PE标准

  IMAGE_OPTIONAL_HEADER OptionalHeader;  //*PE可选头

} IMAGE_NT_HEADERS, *PIMAGE_NT_HEADERS;        

NT::标准PE头:

typedef struct _IMAGE_FILE_HEADER {

    WORD    Machine;                     //*cpu识别

    WORD    NumberOfSections;            //*文件的节数目 (节表与节的数目一样)

    DWORD   TimeDateStamp;               //*文件创建日期和时间

    DWORD   PointerToSymbolTable;        //用于调试

    DWORD   NumberOfSymbols;             //用于调试

    WORD    SizeOfOptionalHeader;        //*PE可选头的大小,32位PE文件默认为E0h,64位PE文件默认大小为F0h 大小可以自定

    WORD    Characteristics;             //*关于文件信息的标记,比如文件是exe还是dll

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

NT::可选PE头(32位下大小为E0 64位的为F0)

typedef struct _IMAGE_OPTIONAL_HEADER

{

        WORD Magic;                       //*说明文件类型:10B 32位下的PE文件        20B 64位下的PE文件

        BYTE MajorLinkerVersion;          //链接程序的主版本号

        BYTE MinorLinkerVersion;          //链接程序的次版本号

        DWORD SizeOfCode;                 //*所有含代码的节的总大小,必须是FileAlignment的整数倍 编译器填的 没用

        DWORD SizeOfInitializedData;      //*已初始化数据的大小 必须是FileAlignment的整数倍 编译器填的 没用

        DWORD SizeOfUninitializedData;    //*未初始化数据的大小 必须是FileAlignment的整数倍 编译器填的 没用

        DWORD AddressOfEntryPoint;        //*****程序执行入口RVA

        DWORD BaseOfCode;                 //*代码开始的基址, 编译器填的 没用

        DWORD BaseOfData;                 //*数据开始的基址, 编译器填的 没用

        DWORD ImageBase;                  //*****内存镜像基址

        DWORD SectionAlignment;           //*内存中的区块的对齐大小

        DWORD FileAlignment;              //*文件中的区块的对齐大小

        WORD MajorOperatingSystemVersion; //要求操作系统最低版本号的主版本号

        WORD MinorOperatingSystemVersion; //要求操作系统最低版本号的副版本号

        WORD MajorImageVersion;           //可运行于操作系统的主版本号

        WORD MinorImageVersion;           //可运行于操作系统的次版本号

        WORD MajorSubsystemVersion;       //要求最低子系统版本的主版本号,

        WORD MinorSubsystemVersion;       //要求最低子系统版本的次版本号

        DWORD Win32VersionValue;          //莫须有字段,不被病毒利用的话一般为0

        DWORD SizeOfImage;                //*内存中整个PE文件的映射尺寸,可以比实际值大,但必须是SectionAlignment的整数倍

        DWORD SizeOfHeaders;              //*所有头+节表按照文件对齐后的大小,否则加载会出错

        DWORD CheckSum;                   //*校验和,一些系统文件有要求,用来判断文件是否被修改

        WORD Subsystem;                   //可执行文件期望的子系统

        WORD DllCharacteristics;          //DllMain()函数何时被调用,默认为 0

        DWORD SizeOfStackReserve;         //*初始化时的栈大小

        DWORD SizeOfStackCommit;          //*初始化时实际提交的栈大小

        DWORD SizeOfHeapReserve;          //*初始化时保留的堆大小

        DWORD SizeOfHeapCommit;           //*初始化时实际提交的堆大小

        DWORD LoaderFlags;                //与调试有关,默认为 0

        DWORD NumberOfRvaAndSizes;        //下边数据目录的项数,这个字段自Windows NT 发布以来 一直是16

        IMAGE_DATA_DIRECTORY DataDirectory

                    [IMAGE_NUMBEROF_DIRECTORY_ENTRIES];// 数据目录表

} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

节表:

IMAGE_SIZEOF_SHORT_NAME组成,每个结构体代表一个节区

#define IMAGE_SIZEOF_SHORT_NAME              

typedef struct _IMAGE_SECTION_HEADER {

    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];   //8个字节 一般情况下是以“\0”结尾的ASCII码字符串来标识的名称 内容可以自定义 可能由于字母太多编译器不添加"\0"需要注意

    union {

            DWORD   PhysicalAddress;

            DWORD   VirtualSize;

    } Misc;                                                                     //在文件对齐前真实的大小,该值可以不准确

    DWORD   VirtualAddress;                  //*节在内存中的偏移地址。加上ImageBase才是内存中真实地址

    DWORD   SizeOfRawData;                   //*节在文件中对齐之后的大小

    DWORD   PointerToRawData;                //*节在文件中的偏移 文件对齐的整数倍

    DWORD   PointerToRelocations;            //

    DWORD   PointerToLinenumbers;            //

    WORD    NumberOfRelocations;             //

    WORD    NumberOfLinenumbers;             //

    DWORD   Characteristics;                 //*节的属性

} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

注意:

            VirtualAddress 和 PointerToRawData 不带有任何值,分别由_IMAGE_OPTIONAL_HEADER中的SectionAlignment和FileAlignment确定

            VirtualSize和SizeOfRawData一般具有不同的值,即磁盘节区的大小与加载到内存的大小是不一样的。

导入表(IAT)/ 导出表():

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

    _ANONYMOUS_UNION union {

        DWORD Characteristics;

        DWORD OriginalFirstThunk;            // INT的地址(Import Name Table)(RVA)

    } DUMMYUNIONNAME;                        //

    DWORD TimeDateStamp;                     //

    DWORD ForwarderChain;                    //

    DWORD Name;                              //库名称字符串的地址    (RVA)

    DWORD FirstThunk;                        // IAT的地址(Import Address Table)(RVA)

} IMAGE_IMPORT_DESCRIPTOR,*PIMAGE_IMPORT_DESCRIPTOR;


typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;          // 时间戳
    WORD    MajorVersion;          
    WORD    MinorVersion;
    DWORD   Name;                   // *指向该导出表文件名字符串
    DWORD   Base;                   // *导出函数起始序号
    DWORD   NumberOfFunctions;      // *所有导出函数的个数
    DWORD   NumberOfNames;          // *以函数名字导出的函数个数
    DWORD   AddressOfFunctions;     // *导出函数地址表RVA
    DWORD   AddressOfNames;         // *导出函数名称表RVA
    DWORD   AddressOfNameOrdinals;  // *导出涵数序号表RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;


 


 


注意: INT与IAT是长整型(4个字节数据类型)数组,以NULL结束 INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针(有时IAT也拥有相同的值) INT与IAT的大小应相同 INT输入顺序: .读取IID的Name成员,获取库名称字符串("kernel32.dll") .装载相应库——————> LoadLibrary("kernel32.dll") .读取IID的OriginalFirstThunk成员,获取INT地址 .逐一读取INT中数组的值,获取相应IMAGE_IMPORT_BY_NAME地址(RVA) .使用IMAGE_IMPORT_BY_NAME的Hint(ordinal) 或Name项,获取相应函数的起始地址。 GetProcAddress("GetCurrentThreadId") .读取IID的FirstThunk(IAT)成员,获得IAT地址 .将上面获得的函数地址输入相应IAT数组值。 .重复以上补助4~,直到INT结束(遇到NULL时) RVA与RAW转换:     RAW = RAV - VirtualAddress + PointerToRawData     物理地址 = 内存相对地址 - 内存节区的起始地址 + 物理节区的起始位置
												


											
PE结构笔记的更多相关文章
	

    
								
  1. PE结构学习笔记--关于AddressOfEntryPoint位置在文件中怎么确定问题
		
    第一次学习PE结构,也不知道有没有更好的办法. 1.AddressOfEntryPoint 这个成员在OptionalHeader里面,OptionalHeader的类型是一个IMAGE_OPTION ...
    
		
    2. 
						
  2. 羽夏笔记——PE结构(不包含.Net)
		
    写在前面   本笔记是由本人独自整理出来的,图片来源于网络.本人非计算机专业,可能对本教程涉及的事物没有了解的足够深入,如有错误,欢迎批评指正. 如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你 ...
    
		
    3. 
						
  3. 【PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)
		
    0 前言 此篇文章想写如何通过工具手查导出表.PE文件代码编程过程中的原理.文笔不是很好,内容也是查阅了很多的资料后整合出来的.希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献.因为了解 ...
    
		
    4. 
						
  4. 手写PE结构解析工具
		
    PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如 ...
    
		
    5. 
						
  5. OD 实验(五) - 对 PE 结构的简单分析
		
    载入程序,按 Alt+M 查看内存空间 双击进入程序的 PE 头 这些为 DOS 环境下才会运行的 这个执行 PE 的地址,PE 结构的偏移地址为 C0 找到这个地址 以 PE 开头 SizeOfCo ...
    
		
    6. 
						
  6. 仿LordPE获取PE结构
		
    乍一看LordPE一个小工具一般般,真的动手做起来才知道技术含量高的很. 当前只是获取到PE结构并打印,仅此而已. PE.h #pragma once #include <stdio.h> ...
    
		
    7. 
						
  7. 编写自定义PE结构的程序(如何手写一个PE,高级编译器都是编译好的PE头部,例如MASM,TASM等,NASM,FASM是低级编译器.可以自定义结构)
		
    正在学PE结构...感谢个位大哥的文章和资料...这里先说声谢谢 一般高级编译器都是编译好的PE头部,例如MASM,TASM等一直都说NASM,FASM是低级编译器.可以自定义结构但是苦于无人发布相关 ...
    
		
    8. 
						
  8. 关于pe结构
		
    每一种操作系统它最重要的格式就是它的可执行文件格式, 因为操作系统就是为了支持这些文件而生成的,内核里面有很多机制,也是配合这种文件格式设计的. 换句话说,这种文件格式也是适合操作系统设计的. 比如: ...
    
		
    9. 
						
  9. 【转】pe结构详解
		
    (一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等, 事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Openstack的vnc界面定制
			
    先来看一下青云的vnc界面: 在来看一下openstack的自带的vnc界面: 区别于感受 本身原理是一样的,但是vnc上面的html布局不一样而已,但是青云的vnc界面给人的感受是:清晰提示,信息给 ...
    
			
    2. 
						
  2. python实现文章或博客的自动摘要(附java版开源项目)
			
    python实现文章或博客的自动摘要(附java版开源项目) 写博客的时候,都习惯给文章加入一个简介.现在可以自动完成了!TF-IDF与余弦相似性的应用(三):自动摘要 - 阮一峰的网络日志http: ...
    
			
    3. 
						
  3. android log机制——输出log【转】
			
    转自:http://blog.csdn.net/tdstds/article/details/19084327 目录(?)[-] 在android Java code中输出log Logprintln ...
    
			
    4. 
						
  4. PHP  array_count_values() 函数用于统计数组中所有值出现的次数。
			
    定义和用法 array_count_values() 函数用于统计数组中所有值出现的次数. 本函数返回一个数组,其元素的键名是原数组的值,键值是该值在原数组中出现的次数. 语法 array_count ...
    
			
    5. 
						
  5. Quartz2D简介及基本线条绘制
			
    * Quartz2D简介 1.什么是Quartz2D? 他是一个二维的绘图引擎,同时支持iOS和Mac系统 2.Quartz2D能完成的工作 画基本线条,绘制文字,图片,截图,自定义UIView. 3 ...
    
			
    6. 
						
  6. win2003 服务器安全设置详细介绍
			
    第一步:一.先关闭不需要的端口  我比较小心,先关了端口.只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破, ...
    
			
    7. 
						
  7. 如何在html添加一个搜索框和一个按钮?
			
    <INPUT TYPE="text" id="k"><INPUT TYPE="button" VALUE="ok ...
    
			
    8. 
						
  8. nodejs表单验证
			
    //创建express连接 var exp = require('xepress'), http = require('http'); //初始化exprerss模块 var app = exp(); ...
    
			
    9. 
						
  9. Python基本概念及零碎知识点
			
    1.python面向对象 类和对象是面向对象编程的两个主要方面.类创建一个新类型,而对象这个类的实例:这类似于你有一个int类型的变量,这存储整数的变量是int类的实例(对象)把握一点:在python ...
    
			
    10. 
						
  10. Ajax案例:简易的购书网页
			
    ****使用Ajax可以不需要刷新整个页面,而使局部页面更新的技术: ****JSON是JavaScript得原生格式,JavaScript中处理JSON数据不需要特殊的工具或架包,其规则很简单,对象 ...
    
			
    11.