2. 程式人生 > >PE文件格式詳解,第一講,DOS頭文件格式

PE文件格式詳解,第一講,DOS頭文件格式

阿新 發佈:2017-10-10
www new 中斷 relative fun 意義 word 作用 nor

           PE文件格式詳解,第一講,DOS頭文件格式

今天講解PE文件格式的DOS頭文件格式

首先我們要理解,什麽是文件格式,我們常說的EXE可執行程序,就是一個文件格式,那麽我們要了解它裏面到底存了什麽內容

簡短的說明.

我們要知道,PE文件格式,是微軟半公開的,因為微軟並沒有說明這個文件格式.但是微軟有定義的結構體.

文件格式,是記錄文件加載到內存中執行的位置,和偏移

在DOS16位年代下,主要記錄分段等等的信息.

在32位年代下,主要記錄分區位置,代碼位置,各種表等等..

作者:IBinary
出處:http://www.cnblogs.com/iBinary/
版權所有,歡迎保留原文鏈接進行轉載:)

一丶DOS頭文件格式

我們看下結構體.

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number (標誌,不會變的標誌)
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      //
 
 Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        //
 
 Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

可以看出,這個結構體中已經明確定義了各種DOS(16位年代的)頭了.

我們在32位年代下,主要要知道第一個成員和最後一個成員

第一個成員: 標誌MZ,記錄了MZ,占兩個字節,這個是DOS系統作者的名字

最後一個成員: 這個成員主要記錄了新的文件開始執行的地址位置.

因為微軟為了兼容16位程序,所以還保留DOS頭,但是32位程序,是不會執行DOS頭了,重要的就是這兩個成員.

二丶WinHex對比

技術分享

第一個成員,對應4D 5A兩個字節

最後一個成員,對應 00 00 00 D0 (小尾方式) 最後一個成員是保存了新的文件格式地址.所以我們看到D0的位置,正好是PE

那麽我們如果不是在16位程序下使用,那麽上面除了最後一個成員,其余的位置都可以隨便改.

技術分享

正常運行

技術分享

三丶DOS頭的代碼區

我們上面看到了,DOS頭就一個結構體大小,到了最後一個成員位置,則是這個結構體結束,那麽在這個結構體結束的後面,一直到PE的位置的二進制到底是什麽?

技術分享

可以看出,在DOS頭的位置,也就是成員 WORD e_lfarlc; 記錄的是DOS的代碼執行位置,這塊區域屬於DOS的代碼執行區域

主要作用是,在16位系統下,不能運行32位程序,如果運行,則利用中斷,顯示 This is Program cannot be run in Dos Mode (這個程序不能運行在DOS系統)

如果在32位系統下使用,那麽這一段是沒有任何作用的.DOS頭只需要知道 第一個成員,和最後一個成員你的指向即可.

如果是16位系統下,那麽你這個DOS頭記錄的信息就有用了(保存了頁大小,頁的個數,SS段.IP執行位置,校驗和等等)

四丶NT頭,PE頭,以及可選頭(第一講介紹,不講解具體作用)

到了PE位置,那麽我們要了解一下NT頭,PE頭,可選頭的結構到底是什麽.新的格式是怎麽樣子的.

NT頭:

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; 

NT頭分為32和64位版本的,這裏說下32的,

第一個成員: 4個字節,也就是和4D 5A 一樣,都是固定的標誌,而這個標誌則是

技術分享

也就是我們說的PE頭.

下面還有兩個結構體,分別是文件頭,還有可選頭.

文件頭:

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

可選頭:

 

           PE文件格式詳解,第一講,DOS頭文件格式

 

今天講解PE文件格式的DOS頭文件格式

首先我們要理解,什麽是文件格式,我們常說的EXE可執行程序,就是一個文件格式,那麽我們要了解它裏面到底存了什麽內容

簡短的說明.

我們要知道,PE文件格式,是微軟半公開的,因為微軟並沒有說明這個文件格式.但是微軟有定義的結構體.

文件格式,是記錄文件加載到內存中執行的位置,和偏移

在DOS16位年代下,主要記錄分段等等的信息.

在32位年代下,主要記錄分區位置,代碼位置,各種表等等..

一丶DOS頭文件格式

我們看下結構體.

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number (標誌,不會變的標誌)
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
可以看出,這個結構體中已經明確定義了各種DOS(16位年代的)頭了.

我們在32位年代下,主要要知道第一個成員和最後一個成員

第一個成員: 標誌MZ,記錄了MZ,占兩個字節,這個是DOS系統作者的名字

最後一個成員: 這個成員主要記錄了新的文件開始執行的地址位置.

因為微軟為了兼容16位程序,所以還保留DOS頭,但是32位程序,是不會執行DOS頭了,重要的就是這兩個成員.

二丶WinHex對比



第一個成員,對應4D 5A兩個字節

最後一個成員,對應 00 00 00 D0 (小尾方式) 最後一個成員是保存了新的文件格式地址.所以我們看到D0的位置,正好是PE

那麽我們如果不是在16位程序下使用,那麽上面除了最後一個成員,其余的位置都可以隨便改.



正常運行



三丶DOS頭的代碼區

我們上面看到了,DOS頭就一個結構體大小,到了最後一個成員位置,則是這個結構體結束,那麽在這個結構體結束的後面,一直到PE的位置的二進制到底是什麽?



可以看出,在DOS頭的位置,也就是成員 WORD e_lfarlc; 記錄的是DOS的代碼執行位置,這塊區域屬於DOS的代碼執行區域

主要作用是,在16位系統下,不能運行32位程序,如果運行,則利用中斷,顯示 This is Program cannot be run in Dos Mode (這個程序不能運行在DOS系統)

如果在32位系統下使用,那麽這一段是沒有任何作用的.DOS頭只需要知道 第一個成員,和最後一個成員你的指向即可.

如果是16位系統下,那麽你這個DOS頭記錄的信息就有用了(保存了頁大小,頁的個數,SS段.IP執行位置,校驗和等等)

四丶NT頭,PE頭,以及可選頭(第一講介紹,不講解具體作用)

到了PE位置,那麽我們要了解一下NT頭,PE頭,可選頭的結構到底是什麽.新的格式是怎麽樣子的.

NT頭:
typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; 
NT頭分為32和64位版本的,這裏說下32的,

第一個成員: 4個字節,也就是和4D 5A 一樣,都是固定的標誌,而這個標誌則是



也就是我們說的PE頭.

下面還有兩個結構體,分別是文件頭,還有可選頭.

文件頭:
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
 可選頭:
typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
    

最後一個成員是數據目錄

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

節頭:

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

可以看出,一個PE文件,主要是結構體套結構體,裏面的每個成員都代表什麽意義,結構體就怎麽多.

五丶大體的PE結構分布圖

DOS頭

NT頭

{  

 文件頭

 可選頭

  數據目錄 

}

節頭

今天主要是要了解PE的DOS頭,以及PE結構的分布圖.具體作用以後慢慢講,主要了解大體框架,隨著框架深入.

如果想一次了解全部PE,請參考網上大神的博客. http://www.cppblog.com/oosky/archive/2016/07/15/15614.html

作者:IBinary
出處:http://www.cnblogs.com/iBinary/
版權所有,歡迎保留原文鏈接進行轉載:)

PE文件格式詳解,第一講,DOS頭文件格式

相關推薦

PE格式,第一,DOS格式

www new 中斷 relative fun 意義 word 作用 nor            PE文件格式詳解,第一講,DOS頭文件格式 今天講解PE文件格式的DOS頭文件格式 首先我們要理解,什麽是文件格式,我們常說的EXE可執行程序,就是一個文件格式,那麽

Git開發第一:Git分割槽,配置與日誌

前言 曾經聽到過這樣一句話:不會git就不要敲程式碼了。細細品味確實有其中的道理,可能是當事人程式碼被強行覆蓋後的嘆息吧! 因此,為了避免這種情況,接下來我們就一起來好好學習git的相關知識吧!不怕你不會,就怕你不看! 一、git的三個分割槽: 工作區(working directory) 暫存區(st

PE格式(四)

ebs 位置 數位 地址 inf font pe文件 。。 地址轉換 PE文件格式詳解(四) 0x00 前言 上一篇介紹了區塊表的信息,以及如何在hexwrokshop找到區塊表。接下來,我們繼續深入了解區塊,並且學會文件偏移和虛擬地址轉換的知識。 0x01 區塊對齊值

PE格式(六)

itme lordpe order 詳解 proc table mil create 實踐 0x00 前言 前面兩篇講到了輸出表的內容以及涉及如何在hexWorkShop中找到輸出表及輸入DLL,感覺有幾個地方還是沒有理解好,比如由數據目錄表DataDirectory[

PE格式(七)

msgbox nbsp clas com 類型 結構 size date 是的 PE文件格式詳解(七) Ox00 前言 前面好幾篇在講輸入表,今天要講的是輸出表和地址的是地址重定位。有了前面的基礎,其實對於怎麽找輸出表地址重定位的表已經非常熟悉了。 0x01

【轉載】s19格式

strong 模式 blog 包含 需要 概述 摩托羅拉 csdn lec 來源:http://blog.csdn.net/xxxl/article/details/19494187 1.概述 為了在不同的計算機平臺之間傳輸程序代碼和數據,摩托羅拉將程序和數據文件以一種可打

json格式

with ++ 範例 使用 with open 輕量級 之間 關聯 不同 JSON(JavaScript Object Notation) 是一種輕量級的數據交換格式。 易於人閱讀和編寫。同時也易於機器解析和生成。 它基於JavaScript Programming La

第二課:第3Linux根系統

IV oot test 訪問 自己 偽文件系統 長度 -a .so 第二課:第3講Linux根文件系統詳解1.file 命令及其用法2.ELF:可執行文件的存儲格式,常見的linux可執行二進制文件格式windows :PEliunx:ELF3.文件系統rootfs:根文件

我的第一篇學習筆記——使用樸素貝葉斯演算法對分類

樸素貝葉斯演算法可以實現對文件的分類,其中最著名的應用之一就是過濾垃圾郵件。先做一個簡單的分類,以論壇的留言為例,構建一個快速的過濾器,來區分哪些留言是負面言論,哪些是正面言論。 我對演算法思路的理解:首先計算訓練集中每個詞語分別在正面(負面)文件中出現的概率以及正面(負面

php .htaccess使用

開啟模塊 pen 搜索 rule 滿足 正則表達式 括號 open 好的 1、.htaccess文件使用前提 .htaccess的主要作用就是實現url改寫,也就是當瀏覽器通過url訪問到服務器某個文件夾時,作為主人,我們可以來接待這個url,具體地怎樣接待它,就是此文件的

網絡配置命令,綁定,接口命名以及配置

網絡配置命令 綁定 接口命名 配置文件一:三大命令家族當我們在centos中管理網絡時需要為網卡設置網絡屬性,有自動獲取和手動配置兩種,自動獲取需要在主機所在的網絡中至少有一臺DHCP服務器,而手動配置即靜態指定則可以使用命令或者修改配置文件,首先著重說一下使用命令,命令包括net-tools家族(ifcfg

【轉】 C語言操作

pri void rfi 識別 archive format 隨機 stat 文本文 轉自:http://www.cnblogs.com/likebeta/archive/2012/06/16/2551780.html C語言中沒有輸入輸出語句,所有的輸入輸出功能都用

vue-cli中的babel配置.babelrc

tran comm res 並且 出現 特定 string vue-cli develop 本文介紹vue-cli腳手架工具根目錄的babelrc配置文件 介紹 es6特性瀏覽器還沒有全部支持,但是使用es6是大勢所趨,所以babel應運而生,用來將es6代碼轉換成瀏覽

DRBD實現同步

drbd一、簡單介紹????Distributed Replicated Block Device(DRBD)是一個用軟件實現的、無共享的、服務器之間鏡像塊設備內容的存儲復制解決方案。其核心功能通過Linux的內核實現,比文件系統更加靠近操作系統內核及IO棧。DRBD是由內核模塊和相關腳本而構成,用以構建高可

Oracle Tuxedo的配置配置

所有 net acc conn 路徑 系統日誌 重啟 max 管理 # (c) 2003 BEA Systems, Inc. All Rights Reserved.#ident "@(#) samples/atmi/simpapp/ubbsimple $

linux系統

ide block 數量 程序 擴展 完成 分割 不為 partition 1.linux文件體系:一切皆文件和文件目錄樹的資源管理方式一起構成了linux的文件體系,讓linux操作系統可以方便地使用系統資源 2.硬盤分區:分區本身並不是必須的,我們完全可以把一整塊硬盤當

遠程同步(Remote File Sync)

無密碼登錄 -o ref man epel iii date 復雜 模式 1. 遠程文件同步的常見方式: 1、cron + rsync 優點: 簡單 缺點:定時執行,實時性比較差;另外,rsync同步數據時,需要掃描所有文件後進行比對,進行差量傳輸。如果文件數量達到了

Android.mk 語法

too itl 其他 國內 fine 鏈接 sina 流程詳解 img Android.mk 文件語法詳解 轉:http://blog.sina.com.cn/s/blog_602f8770010148ce.html =========================

Linux屬性

實例 配置 err 特定 修改權限 director 滿了 rect 文本文 文件屬性(ls -lhi查看到的信息) 1.1 第一列:inode號 1.1.1 什麽是inode 文件存儲在硬盤上,硬盤的最小存儲單位叫做"扇區"(sector)。每個&q

刪除

strip 文件刪除 creating 查看 inux use 對應關系 root pro 第1章 創建文件的時候提示no space left to device的解決辦法 1.1 inode被用完。 模擬環境: [root@LornBlood ~]# dd if=/de