pe格式从入门到图形化显示(二)-文件头

已于 2024-04-06 21:38:40 修改
阅读量960 收藏 15
点赞数 12
分类专栏: pe格式从入门到图形化显示 文章标签: windows qt c++
于 2024-04-05 21:03:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrack/article/details/137409314
版权

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式文件头?

Windows PE格式文件头(Portable Executable file format header)是Windows操作系统中可执行文件的一部分,用于存储有关文件结构和属性的信息。它位于可执行文件的开头部分,包含了许多字段,用于描述文件的类型、机器体系结构、节表、入口点等。

二、解析文件头并显示

1.数据结构

IMAGE_FILE_HEADER是一个结构体,它位于PE文件的IMAGE_NT_HEADERS结构中,用于描述PE文件的基本属性和结构。那么IMAGE_NT_HEADERS又是一个什么结构呢?

typedef struct _IMAGE_NT_HEADERS
{
   
    DWORD Signature;                            
    IMAGE_FILE_HEADER FileHeader;               
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

以下是_IMAGE_NT_HEADERS结构的主要字段及其含义:
Signature:用于标识文件的开头部分,通常为"PE"(即0x50 0x45)。
FileHeader:表示PE文件的文件头信息,这对于加载和执行PE文件非常重要。例如,FileHeader.Machine字段告诉操作系统PE文件的目标机器类型,以便正确地加载和执行该文件。
OptionalHeader:表示PE文件的可选头信息,这些信息对于加载和执行PE文件非常重要。例如,OptionalHeader.Magic字段告诉操作系统PE文件的目标机器类型,以便正确地加载和执行该文件。OptionalHeader.AddressOfEntryPoint字段表示PE文件的入口点地址,这有助于操作系统了解PE文件的入口点。OptionalHeader.Subsystem字段表示PE文件所需的子系统类型,如GUI、CUI等。

以下是IMAGE_FILE_HEADER结构的主要字段:
Machine:指定PE文件的目标机器类型,如I386、AMD64、ARM等。
NumberOfSections:表示PE文件中的节(Section)数量。
TimeDateStamp:表示PE文件的创建时间戳。
PointerToSymbolTable:指向符号表(Symbol Table)的指针。
NumberOfSymbols:表示符号表中的符号数量。
SizeOfOptionalHeader:表示PE文件的可选头(Optional Header)的大小。
Characteristics字段是一个位掩码(bitmask),用于表示PE文件的特性。以下是一些常见的Characteristics字段的值及其含义:
IMAGE_FILE_RELOCS_STRIPPED (0x0001):表示PE文件中的重定位表已被删除。
IMAGE_FILE_EXECUTABLE_IMAGE (0x0002):表示PE文件是一个可执行文件。
IMAGE_FILE_LINE_NUMS_STRIPPED (0x0004):表示PE文件中的行号信息已被删除。
IMAGE_FILE_LOCAL_SYMS_STRIPPED (0x0008):表示PE文件中的本地符号信息已被删除。
IMAGE_FILE_AGGRESIVE_WS_TRIM (0x0010):表示PE文件中的工作集大小已被优化。
IMAGE_FILE_LARGE_ADDRESS_AWARE (0x0020):表示PE文件支持大于2GB的地址空间。
IMAGE_FILE_BYTES_REVERSED_LO (0x0080):表示PE文件中的字节顺序已被反转(低位)。
IMAGE_FILE_32BIT_MACHINE (0x0100):表示PE文件是一个32位机器的可执行文件。
IMAGE_FILE_DEBUG_STRIPPED (0x0200):表示PE文件中的调试信息已被删除。
IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP (0x0400):表示PE文件可以从交换文件中运行。
IMAGE_FILE_NET_RUN_FROM_SWAP (0x0800):表示PE文件可以从网络交换文件中运行。
IMAGE_FILE_SYSTEM (0x1000):表示PE文件是一个系统文件。
IMAGE_FILE_DLL (0x2000):表示PE文件是一个动态链接库(DLL)文件。
IMAGE_FILE_UP_SYSTEM_ONLY (0x4000):表示PE文件只能在

最低0.47元/天 解锁文章
PE文件头结构
qq_45944873的博客
05-16 1288
PE文件windows下可移植的可执行文件,常见的有exe、dll后缀文件都是PE文件PE文件头是对整个PE文件数据存储的说明和文件信息的阐述,是一种数据组织方式。32位系统的PE头包括以下结构:DOS MZ头,DOS Stub,PE头,PE头,节表和节内容。 DOS ...
WindowsPE文件格式入门01.PE
最新发布
彭于晏长沙分晏
03-16 834
​portable excute 可移植,可执行的文件(exe dll)能够解析的文件,其内部都是有格式的,不是随随便便放的,都是按照某种规律放的,可执行文件也是如此,他有自己的格式,exe 和 dll 的格式是一样的微软由dos 到 windows 文件格式发生了改变,所以要出新的文件格式,因此微软要求文件要兼容 dos 系统,其次要兼容其他的所有操作系统IMAGE_FILE_MACHINE_AM33 希望兼容所有的cpu。
PE文件详解之PE文件头
知其所以然
09-01 1997
1, PE文件头PE Header ) 紧挨着 DOS stub     2,  PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含着许多PE装载器用到的重要字段。     3,执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 IMAGE_DOS_HEADER 结构中的 e_lfanew 字段里找到PE Header的其实偏移量,加上基地
PE文件-文件头
weixin_45012273的博客
11-06 186
文件头格式 文件头是NT头的第个成员-格式为 typedef struct _IMAGE_FILE_HEADER { WORD Machine; //1.文件运行平台 WORD NumberOfSections; //2.节表的数量 DWORD TimeDateStamp; //3.文件创建时间 DWORD PointerToSymbolTable; //4.符号表偏移 DWORD NumberOfSymbols; //5.
PE文件头
weixin_34234823的博客
02-15 342
主要是PE文件头部分。来再看雪 《加密与解密》 //PE文件格式小部分资料,摘自《加密与解密》-看雪 typedef struct _IMAGE_DOS_HEADER{ // DOS .EXE header +0h WORD e_magic; // Magic number +2h WOR...
PE文件
megaparsec
12-19 3397
PE文件
pe格式入门图形化显示(一)-DOS头
Mrack的博客
04-05 742
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:头部、节区表、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
pe格式入门图形化显示(三)-可选头
Mrack的博客
04-06 1317
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的可选头(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选头的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。
pe格式入门图形化显示(四)-节表
Mrack的博客
04-06 1246
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE格式的节表(Section Table)是一个数组,它包含了PE文件中各个节(Section)的信息。每个节表项都是一个IMAGE_SECTION_HEADER结构体,它包含了关于节的名称、大小、属性等信息。
pe格式入门图形化显示(七)-导出表
Mrack的博客
04-09 415
通过分析和解析Windows PE格式,并使用qt进行图形化显示PE文件格式的导出表是PE文件中用于记录程序导出函数信息的数据结构。导出表位于数据目录表的第一项,索引值为0。导出表记录了当前文件对外开放的函数接口,使得其他程序可以通过这些接口调用该文件中的函数。
PE文件(一)PE
qq_63329753的博客
02-13 3849
PE文件结构(一)PE头 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
pe文件头分析工具
11-23
使用VC6.0编写的一个分析PE文件头格式的工具,输出选定PE文件的有关头信息。 程序编写的重点:对PE中的各个struct定位,可以使用API函数,也可以使用ImageHlp提供的有关PE操作的函数编写。 基本思路:读入要分析的PE文件,得到内存映像文件,定位各个struct,显示各个struct中的数据。
PE文件头格式图片,非常详细经典
03-02
PE文件头格式图片,非常详细经典,很值得一看!!!
PE总结3---PE文件结构DOS文件头
oBuYiSeng的博客
11-24 2278
PE文件结构DOS文件头,会使用到IMAGE_DOS_HEADER结构体,如下图          结构体 IMAGE_DOS_HEADER          第一个参数 e_magic 其值 恒为0x4D5A (MZ) ----- 所以可以使用宏IMAGE_DOS_SIGNATURE进行判断          第19个参数 e_lfanew 其值为NT头部在文件中的偏移,新的exe文件
PE文件结构详解之头信息解析
meis27461的博客
06-03 1332
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE头的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE头的位置就是0x01+0xF0。
【1】PE文件头
记录生命的轨迹
08-20 267
WindowPE文件
PE文件头结构
BiCai2的博客
09-16 495
typedef struct _IMAGE_FILE_HEADER { WORD Machine; 运行平台 WORD NumberOfSections; 文件的节数目 DWORD TimeDateStamp; 文件创建日期和时间 DWORD PointerToSymbolTable; 指向符号表(用于调
PE文件解析-文件头与整体介绍
热门推荐
zhyulo的博客
01-03 1万+
一、PE的基本概念     PE(Portable Execute)文件Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏移...
PE学习(三)第三章:PE文件头
零点起步
03-18 1322
第三章:PE文件头 PE中涉及的地址有四类,它们分别为: 虚拟内存地址(VA) 相对虚拟内存地址(RVA) 文件偏移地址(FOA) 特殊地址  没有物理内存对应的页面被标记为dirty的页面,一般存储在一个名为“交换文件”的磁盘文件中。在WINDOWS XP系统中,交换文件为pagefile.sys  进程本身的VA被解释为:进程的基地址+相对虚拟内存地址  RVA是相对基地址的偏
PE文件结构(PE文件头)
Wang Shen
12-02 1080
3、 PE文件结构 ①     MS-DOS头 MS-DOS头在winnt.h中定义成为IMAGE_DOS_HEADER,这个结构中,最需要关心的是成员e_lfanew,它给出了PE Header在文件中的偏移量。比如,e_lfanew的值是0xE0,则PE Header在文件距离开头0xE0处。 ②     MS DOS 2.0 Stub Program 这是一段DOS程序,如果把w
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值