signature:pe
image_file_header
image_optional_header32
0x3c e_lfanew pe 檔案頭偏移
0x06 numberofsections 區段數量
0x14 sizeofoptionalheader 擴充套件頭大小
0x16 characteristics pe檔案屬性
0x28 addressofentrypoint 程式執行入口rva
0x2c baseofcode **段起始rva
0x30 baseofdata 資料段起始rva
0x34 imagebase 程式預設載入基址(0x400000
)
0x38 sectionalignment 記憶體中的段對齊值
0x3c filealignment 檔案中的段對齊值
0x50 sizeofimage 記憶體中pe檔案映像總尺寸
0x58 sizeofheaders 各個檔案頭的總尺寸
0x74 numberofrvaandsizes 資料目錄表數量(0x10=16
)
0x78 image_data_directory datadirectory[0x10]
資料目錄表
0x00 byte name[0x8] 區段名
0x08 virtualsize 該區段在記憶體中的大小
virtualaddress 區段在記憶體中的rva
sizeofrawdata 區段在檔案(磁碟)中的大小
pointertorawdata 區段在檔案中的偏移
characteristics 區段屬性
pe檔案磁碟中和在記憶體中是不一樣的,關係如圖由於不論在記憶體中還是在磁碟中記憶體中塊表後面為了按照段對齊而填充了0,在新增區段的時候可以直接在該處新增區段頭,不會影響後面部分的rva或者檔案偏移
.
詳解PE檔案
筆者在某安全公司實習,第一天被要求了解pe結構,好吧,因為基礎不紮實,經過一天的時間了解的啥都不是,受到了導師的特殊關照,推薦了我一本沒推薦給別人的書 windows32位匯程式設計序 羅雲彬著 嘿嘿,匿名感謝導師,清明三天的pe之旅。1.1pe檔案的結構 pe就是在windows下最常用的可執行檔...
PE檔案詳解
pe 檔案是一種格式 dos頭 pe頭 區塊 這些組成了pe檔案 傳送門 c 解析dos頭和nt頭 指某一種格式的檔案,可執行檔案 exe 動態鏈結庫 dll 驅動檔案 sys 都是pe檔案格式 dos頭部 為了相容dos程式設計 nt頭部 儲存pe檔案的全部屬性,初始資訊化等 區段頭表 對於pe檔...
PE檔案詳解之PE檔案頭
1,pe檔案頭 pe header 緊挨著 dos stub 2,pe header 是pe相關結構nt映像頭 image nt header 的簡稱。裡面包含著許多pe裝載器用到的重要字段。3,執行體在支援pe檔案結構的作業系統中執行時,pe裝載器將從 image dos header 結構中的 ...