PE文件的两种状态

1.在硬盘中

  • 节省硬盘空间
  • 硬盘对齐 内存对齐

2.在内存中

3.PE磁盘文件与内存映像结构图

PE文件为什么要分节

……

手动解析:PE文件

分析软件:飞鸽传书http://www.gpxz.com/soft/jiaoxue/wendang/219212.html

1. DOS头:

struct _IMAGE_DOS_HEADER {

0x00 WORD e_magic;       //5A4D

0x02 WORD e_cblp;        //0090

0x04 WORD e_cp;          //0003

0x06 WORD e_crlc;        //0000

0x08 WORD e_cparhdr;     //0004

0x0a WORD e_minalloc;    //0000

0x0c WORD e_maxalloc;    //FFFF

0x0e WORD e_ss;          //0000

0x10 WORD e_sp;          //00B8

0x12 WORD e_csum;        //0000

0x14 WORD e_ip;          //0000

0x16 WORD e_cs;          //0000

0x18 WORD e_lfarlc;      //0040

0x1a WORD e_ovno;        //0000

0x1c WORD e_res[4];      //0000 0000 0000 0000

0x24 WORD e_oemid;       //0000

0x26 WORD e_oeminfo;     //0000

0x28 WORD e_res2[10];    //0000 0000 0000 0000 0000 ……

0x3c DWORD e_lfanew;     //000000E8

};

2. 标准PE头

struct _IMAGE_FILE_HEADER {

0x00 WORD Machine;                   //014C

0x02 WORD NumberOfSections;          //0004

0x04 DWORD TimeDateStamp;            //4198C850

0x08 DWORD PointerT oSymbolTable;    //00000000

0x0c DWORD NumberOfSymbols;          //00000000

0x10 WORD SizeOfOptionalHeader;      //00E0

0x12 WORD Characteristics;           //010F

};

3. 可选PE头

struct _IMAGE_OPTIONAL_HEADER {

0x00 WORD Magic;                       //010B

0x02 BYTE MajorLinkerV ersion;         //06

0x03 BYTE MinorLinkerV ersion;         //00

0x04 DWORD SizeOfCode;                 //0001A000

0x08 DWORD SizeOfInitializedData;      //0000C000

0x0c DWORD SizeOfUninitializedData;    //00000000

0x10 DWORD AddressOfEntryPoint;        //000183D7

0x14 DWORD BaseOfCode;                 //00001000

0x18 DWORD BaseOfData;                 //0001B000

0x1c DWORD ImageBase;                  //00400000

0x20 DWORD SectionAlignment;           //00001000

0x24 DWORD FileAlignment;              //00001000

0x28 WORD MajorOperatingSystemVersion; //0004

0x2a WORD MinorOperatingSystemVersion; //0000

0x2c WORD MajorImageVersion;           //0000

0x2e WORD MinorImageVersion;           //0000

0x30 WORD MajorSubsystemVersion;       //0004

0x32 WORD MinorSubsystemVersion;       //0000

0x34 DWORD Win32VersionValue;          //00000000

0x38 DWORD SizeOfImage;                //00027000

0x3c DWORD SizeOfHeaders;              //00001000

0x40 DWORD CheckSum;                   //00000000

0x44 WORD Subsystem;                   //0002

0x46 WORD DllCharacteristics;          //0000

0x48 DWORD SizeOfStackReserve;         //00100000

0x4c DWORD SizeOfStackCommit;          //00001000

0x50 DWORD SizeOfHeapReserve;          //00100000

0x54 DWORD SizeOfHeapCommit;           //00001000

0x58 DWORD LoaderFlags;                //00000000

0x5c DWORD NumberOfRvaAndSizes;        //00000010

0x60 _IMAGE_DA TA_DIRECT ORY DataDirectory[16];

};

零基础逆向工程17_PE结构01_PE头解析_手动的更多相关文章

  1. 零基础逆向工程21_PE结构05_数据目录表_导出表

    数据目录 1.我们所了解的PE分为头和节,在每个节中,都包含了我们写的一些代码和数据,但还有一些非常重要 的信息是编译器替我们加到PE文件中的,这些信息可能存在在任何可以利用的地方. 2.这些信息之所 ...

  2. 零基础逆向工程20_PE结构04_任意节空白区_新增节_扩大节添加代码

    向代码节添加代码实现 作者经过一周不断的失败,再思考以及无数次调试终于实现. 思路:八个步骤 1. 文件拷到文件缓冲区(FileBuffer) //图示见(零基础逆向工程18之PE加载过程) 2. 文 ...

  3. 零基础逆向工程22_PE结构06_导入表

    导入表结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics; DWORD OriginalFirstTh ...

  4. 零基础逆向工程16_C语言10_宏定义_头文件_内存分配_文件读写

    #define 无参数的宏定义的一般形式为:#define 标识符 字符序列 如:#define TRUE 1 注意事项: 1.之作字符序列的替换工作,不作任何语法的检查 2.如果宏定义不当,错误要到 ...

  5. 零基础逆向工程23_PE结构07_重定位表_IAT表(待补充)

    重定位表 待补充 IAT表 待补充

  6. 零基础逆向工程19_PE结构03_代码节空白区添加代码_shellcode

    1.获取MessageBox地址,构造ShellCode代码 三种获取方法,参考文章末的一篇帖子. E8 E9计算公式 call 的硬编码:E8 00 00 00 00 jmp 的硬编码:E9 00 ...

  7. 零基础逆向工程18_PE结构02_联合体_节表_PE加载过程

    联合体 特点 1.联合体的成员是共享内存空间的 2.联合体的内存空间大小是联合体成员中对内存空间大小要求最大的空间大小 3.联合体最多只有一个成员有效 节表数据结构说明 PE 加载 过程 FileBu ...

  8. 零基础逆向工程24_C++_01_类_this指针_继承本质_多层继承

    1 类内的成员函数和普通函数的对比 1.1 主要是从参数传递.压栈顺序.堆栈平衡来总结. 1.参数传递:成员函数多传一个this指针 2.压栈顺序:成员函数会将this指针压栈,在函数调用取出 3.堆 ...

  9. 零基础逆向工程35_Win32_09_临界区_CRITICAL_SECTION结构

    1 引入 为什么会存在临界区这中机制呢?是为多线程同时访问全局变量而引入的.也就是上一篇帖子的末尾流出的问题程序的解决办法. 看懂了上面的,那么我们再罗嗦总结一下: 1.多线程访问全局变量时,存在线程 ...

随机推荐

  1. TextBox的OnTextboxChanged事件里对Text重新赋值带中文, 导致崩溃

    今天遇到一个超级bug, Textbox做了限制, 只能输入数字. 结果在搜狗输入法输入中文时导致崩溃, 出错信息如下: 未处理 System.InvalidOperationException   ...

  2. Azure一个Cloud Service支持多个公网地址

    Azure刚刚发布在同一个Cloud Service下支持多个公网IP地址的功能. 这个功能主要是用于: 当相同的端口需要公用相同的LoadBalance时. 比如: 一种使用场景是多组Web服务器被 ...

  3. win7-64 mysql的安装

    1.https://jingyan.baidu.com/article/597035521d5de28fc00740e6.html 2.net start mysql 无法启动的3534的错误的解决办 ...

  4. 【转】Pro Android学习笔记(二):开发环境:基础概念、连接真实设备、生命周期

    在Android学习笔记(二):安装环境中已经有相应的内容.看看何为新.这是在source网站上的Android架构图,和标准图没有区别,只是这张图颜色好看多了,录之.本笔记主要讲述Android开发 ...

  5. java 基础知识学习 priorityQueue

      ArrayList:动态扩容(相对于数组),数组实现查询非常快但要求连续内存空间. 双向队列LinkedList:不需要像ArrayList一样创建连续的内存空间,它以链表的形式连接各个节点,但是 ...

  6. 按钮交互loading ---- 转圈圈 加载

    按钮loading状态自定义选项(功能): 可以在元素上添加 data-am-loading 来设置选项: spinner 加载动画图标,适用于支持 CSS3 动画.非 input 元素,写图标名称即 ...

  7. MD04

    MD04执行MRP分析后, 将计划订单转换为采购申请单后,,如图所示 采购申请转为采购订单后,如图所示 采购订单生成后,MMBE查看库存 MIGO进行收货后,如下图 此物料在SO中已经收货,已有库存

  8. CodeForces 1118F2. Tree Cutting (Hard Version)

    题目简述:给定$n \leq 3 \times 10^5$个节点的树,其中一部分节点被染色,一共有$k$种不同的颜色.求将树划分成 $k$ 个不相交的部分的方案数,使得每个部分中除了未染色的节点以外的 ...

  9. “MVC+Nhibernate+Jquery-EasyUI”信息发布系统 第二篇(数据库结构、登录窗口、以及主界面)

    一.在上一篇文章中,主要说的就是把主框架搭建起来,并且Nhibernate能达到增删改查的地步.测试好之后再来看这篇文章,我的主框架相对来说简答一点,重点还是实现系统的功能,以及对Jquery-Eas ...

  10. 51Nod - 1640 天气晴朗的魔法 大+小生成树(最大值最小)/二分

    天气晴朗的魔法 这样阴沉的天气持续下去,我们不免担心起他的健康.   51nod魔法学校近日开展了主题为“天气晴朗”的魔法交流活动.   N名魔法师按阵法站好,之后选取N - 1条魔法链将所有魔法师的 ...