2. 程式人生 > >PE總結3---PE檔案結構DOS檔案頭

PE總結3---PE檔案結構DOS檔案頭

阿新 發佈:2019-02-06

PE檔案結構DOS檔案頭,會使用到IMAGE_DOS_HEADER結構體,如下

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                      // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                     // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                   // Reserved words
    LONG   e_lfanew;                     // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

          第1個成員佔2個位元組,它被用於表示一個MS-DOS相容的檔案型別,他的值是固定的----“4D5A”。 (注意:因為我們是在十六進位制編輯器下寫資料,所以所有的資料格式都是十六進位制式的。但是我們在開發環境中預設 都是十進位制的,所以必須在資料前加 0x ,即:0x4D5A。而我為了方便,就直接寫成“4D5A”,也就是直接輸入到編輯器中的值,是十六進位制,後面的都照此規定書寫。)

          第2個成員到第18個成員總共58個位元組,是對DOS程式環境的初始化等操作。

         第19個成員非常重要,他佔4個位元組,用來表示NT頭部在檔案中的偏移。而從圖中可以看到  “PE”檔案標誌緊隨“MS-DOS 載入模組”其後。


結構體 IMAGE_DOS_HEADER最重要的兩個元素:

         結構體 IMAGE_DOS_HEADER
         第一個引數 e_magic 其值 恆為0x4D5A (MZ) ----- 所以可以使用巨集IMAGE_DOS_SIGNATURE進行判斷
         第19個引數 e_lfanew 其值為NT頭部在檔案中的偏移,新的exe檔案頭部偏移地址 在0x3C位置

我們藉助010Editor,載入一個dll


使用程式碼進行操作,判斷是否是PE檔案

bool  isPE(TCHAR * file)
{
	char* buf = nullptr;
	//得到檔案控制代碼
	HANDLE hFile = CreateFile(
		file, GENERIC_READ | GENERIC_WRITE,
		0,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if (hFile == NULL)
	{
		return false;
	}

	//得到檔案大小
	DWORD dwFileSize =
		GetFileSize(hFile, NULL);
	DWORD ReadSize = 0;
	buf = new char[dwFileSize];
	memset(buf, 0, dwFileSize);
	//將檔案讀取到記憶體
	ReadFile(hFile, buf, dwFileSize, &
		ReadSize, NULL);
	
	
	//判斷是否是DOS頭
	if (((PIMAGE_DOS_HEADER)buf)->e_magic  != IMAGE_DOS_SIGNATURE)
	{
		return false;
	}

	//計算出NT頭
	
	PIMAGE_NT_HEADERS32 pNTHeader = (PIMAGE_NT_HEADERS32)((long)buf + ((PIMAGE_DOS_HEADER)buf)->e_lfanew);

	//判斷是否是NT頭
	if (pNTHeader->Signature != IMAGE_NT_SIGNATURE)
	{
		return false;
	}
}
 
int _tmain(int argc, _TCHAR* argv[])
{

	TCHAR FileName[] = _T("D:\\MFCLibrary1Dll.dll");
	isPE(FileName);
}



文章中需要使用得  MFCLibrary1Dll.dll  下載地址:http://download.csdn.net/detail/obuyiseng/9296465

相關推薦

PE總結3---PE檔案結構DOS案頭

PE檔案結構DOS檔案頭,會使用到IMAGE_DOS_HEADER結構體,如下 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic;

PE總結7---PE檔案結構NT頭之資料目錄表 IMAGE_DATA_DIRECTORY

     IMAGE_DATA_DIRCTORY結構如下: typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress; //相對虛擬地址 DWORD Size;      //大小 } IMAGE_DATA_

DOS案頭PE檔案頭、節表和表詳解

PE(Portable Executeable File Format,可移植的執行體檔案格式),使用該格式的目標是使連結生成的EXE檔案能在不同的CPU工作指令下工作。 可執行檔案的格式是作業系統工作方法的真實寫照。Windows作業系統中可執行程式有好多種,比如COM

py檔案推薦的案頭

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

編輯vimrc,使新建檔案自動寫入案頭

在建立指令碼時,自動寫入包含檔名、作者、郵箱、建立時間等資訊的檔案頭。 這裡只對.sh和.py檔案進行自動寫入設定。 開啟vim配置檔案 vim /etc/vimrc 加入如下程式碼autocmd

PE檔案結構解析 C、C++程式 vc2008編譯

//MyPeFile.h------------------------------------------------------------------------------------------------------ typedef unsigned short USHORT;typ

PE檔案ofMS-DOS

MS-DOS每一個pe檔案都是存在的(除非手工移除了),它的存在就是為了相容性,MS-DOS後面緊跟的是DOS Sub,有了它們,程式一旦在DOS系統下執行,就會出現一個錯誤提醒:this program cannot be run in MS-DOS mode。 MS-D

windows PE檔案結構及其載入機制

1. 概述 PE檔案的全稱是Portable Executable,意為可移植的可執行的檔案,常見的EXE、DLL、OCX、SYS、COM都是PE檔案,PE檔案是微軟Windows作業系統上的程式檔案(可能是間接被執行,如DLL)。它是1993年Windows

PE檔案結構及其載入機制(一)

一、PE檔案結構 PE即Portable Executable,是win32環境自身所帶的執行體檔案格式,其部分特性繼承自Unix的COFF(Common Object File Format)檔案格式。PE表示該檔案格式是跨win32平臺的,即使Windows執行在非Intel的CPU上,任何Win32平

PE檔案結構(0x02)

 最     最近包括暑假一直在學習PE檔案的格式結構,對一些病毒感染檔案的方式想要做一些瞭解,學的東西可能很淺顯,在這裡記錄一下想。 PE檔案的第一個位元組起始於 MS-DOS 頭部,被稱作 IMAGE_DOS_HEADER,定義在WINNT.H,其結構如下: t

00 PE檔案結構

一、什麼是PE檔案結構? 可執行檔案指的是由作業系統進行載入執行的檔案,而PE檔案結構就是Windows下可執行檔案的格式,同樣ELF(Executable and Linking Format)檔案結構就是linux下可執行檔案的格式;PE是 Potable Executable的首字母縮

PE檔案詳解------PE檔案結構剖析

一.PE檔案結構縱覽 PE檔案的結構如上圖所示,由低地址到高地址分別為:Dos頭,PE頭,塊表,塊,除錯資訊。其中真正的PE檔案頭是位於Dos頭的後面的部分。 上圖為利用PE工具開啟的一個可執行檔案在磁碟中的對映,這就是PE檔案的內部資訊。 可以看到這個檔案的錢兩個

PE檔案結構解析

t.exe共 3072 bytes,下面是t.exe映象 PE 檔案頭的整體結構圖: windows 的 PE 檔案頭結構包括三大部分:DOS 檔案頭、NT 檔案頭以及 Section 表(節表),在 DOS 檔案頭後面有一小段 DOS 程式,被稱為 DOS stub 程

PE檔案結構(一) 基本結構

PE檔案結構(一) 參考 書:《加密與解密》 視訊:小甲魚 解密系列 視訊         exe,dll都是PE(Portable Execute)檔案結構。PE檔案使用的是一個平面地址空間,所有程式碼和資料都被合併在一起,組成一個很大的結構。先看2張圖,來大

PE檔案結構詳解(四)PE匯入表

PE檔案結構詳解(二)可執行檔案頭的最後展示了一個數組,PE檔案結構詳解(三)PE匯出表中解釋了其中第一項的格式,本篇文章來揭示這個陣列中的第二項:IMAGE_DIRECTORY_ENTRY_IMPORT,即匯入表。 也許大家注意到過,在IMAGE_DATA_DIRECTO

PE檔案結構(五)基址重定位

PE檔案結構(五) 參考 書:《加密與解密》 視訊:小甲魚 解密系列 視訊 基址重定位         連結器生成一個PE檔案時,它會假設程式被裝入時使用的預設ImageBase基地址(VC預設exe基地址00400000h,dll基地址10000000h)

初識PE檔案結構

前言 目前網路上有關PE檔案結構說明的文章太多了,自己的這篇文章只是單純的記錄自己對PE檔案結構的學習、理解和總結。 基礎概念 PE(Portable Executable:可移植的執行體)是Win32環境自身所帶的可執行檔案格式。它的一些特性繼承自Unix的Coff(Common Object Fil

【CTF雜項】常見檔案檔案標頭檔案尾格式總結及各類案頭

檔案標頭檔案尾總結 JPEG (jpg),   檔案頭:FFD8FF                        檔案尾:FF D9PNG (png),    檔案頭:89504E47                      檔案尾:AE 42 60 82GIF (gif),   檔案頭:4749463

易學筆記-系統分析師考試-第3章 作業系統基本原理/3.4 檔案管理/3.4.1 檔案的組織結構

檔案的組織結構 概念:指的是檔案的構造方式,從使用者角度是檔案的邏輯組織,從系統角度是檔案的物理組織 檔案的邏輯結構 概念:使用者概念中的檔案,不依賴於物理儲存 無結構的流式檔案 指的是資訊項的組合,單位是位元組,系統不

3.3 類的屬性總結  3.4 類的方法總結  3.5 rc指令碼(類的定義與指令碼的結構)

3.3 類的屬性總結 類屬性(公有屬性) 私有屬性 物件的公有屬性 物件的私有屬性 內建屬性 函式的區域性變數 全域性變數 class MyClass(object): var1 = "類的公有屬性" __var2 = "類的私有屬性" def func1(se