pe檔案基本結構如下;
學習一下nt頭;
nt頭,包含乙個4位元組的signature,以及兩個結構體image_file_header(檔案頭)和image_optional_header(擴充套件頭)。
nt頭:signature,檔案頭,擴充套件頭;
其定義如下; 這個是微軟定義的;
typedef struct _image_nt_headers image_nt_headers32, *pimage_nt_headers32;
signature 欄位被設定為 0x00004550h,ascii 碼字元是 pe00;
用winhex開啟win自帶的記事本看一下;
當前nt頭的signature在偏移為000000f0的一行;
nt頭不在乙個固定位置;我還不是很清楚;其位置可能是由dos頭的e_lfanew欄位指出;
pe檔案頭定義了pe檔案的一些基本資訊和屬性,這些屬性會在pe載入器載入時用到,如果載入器發現pe檔案頭中定義的一些屬性不滿足當前的執行環境,將會終止載入該pe;
可選頭,它在不同的平台下是不一樣的,例如32位下是image_optional_header32,而在64位下是image_optional_header64;
PE檔案學習 Nt頭部
當我們越過dos stub之後就來到了image nt headers,這個結構在32位和64位下的大小是不一樣的,這個結構體緊跟在dos stub之後,結構體看起來只有三個成員,接下來我們來乙個乙個細細解剖 typedef struct image nt headers64 image nt he...
PE檔案結構(一) MS DOS頭 ,PE頭
ms dos頭 標準pe頭 擴充套件pe頭 資料目錄 節表各個欄位的含義 第乙個字段 mz標誌位 e magic 是乙個常量,一般都是0x4d5a 最後乙個字段 pe頭偏移 e ifanew 指向新的pe頭,偏移量為0x0138 位於0x0138 typedef struct image nt he...
PE頭結構學習 PE頭移位
剛開始學pe結構的時候,是為了搞 xx的,那時瑞星和江民還有希望,那時卡飯論壇還常駐各個防毒軟體廠商的工程師,想想還有些懷念,初中基本啥也不懂,就上論壇看別人是怎麼搞的,有一次看到乙個免殺技術叫pe頭移位,後來這個技術也用了蠻久。剛好現在上了作業系統這門課,作業就是要研究下pe結構,所以就以pe頭移...