《解密系列-系统篇》第二讲:PE结构详解2
本帖最后由 shuiyu 于 2018-1-12 20:53 编辑越努力,越幸运。欢迎大家来看我的笔记{:10_297:},不对的请各位大佬指正,谢谢{:10_254:}
一、MS - DOS 头部
(1)每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。PE 文件的第一个字节起始于一个传统的MS-DOS 头部,被称作 IMAGE_DOS_HEADER。(其实上是一个结构体)
(2)IMAGE_DOS_HEADER结构体。(最左边为文件头的偏移量)
(3)只要记住下面两个就行了。IMAGE_DOS_HEADER STRUCT
{
+0h WORD e_magic // Magic DOS sigbature MZ(4Dh 5Ah) DOS可执行文件标记(MZ为两个字节)
+3ch DWORD e_lfanew // Offset to start of PE header 指向PE文件头
}
二、PE 文件头
(1)PE 文件头(PE Header)紧挨着DOS stub
PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。
(2)执行体在支持PE文件结构的操作系统中执行时,PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起始偏移量,加上基地址就得到PE文件头的指针。
PNTHeader = ImageBase + dosHeader -> e_lfanew (即:PE文件头=基址+e_lfanew)
三、IMAGE_NT_HEADER 结构
(1)
IMAGE_NT_HEADERS STRUCT
{
+0h DWORD Signature
+4h IMAGE_FILE_HEADER FileHeader
+18h IMAGE_OPTIONAL_HEADER32 OptionlHeader //可选择的32位文件头
}IMAGE_NT_HEADERS ENDS
(2)Signature字段:在一个有效的PE文件里,Signature字段被设置为00004550h,ASCII码字符是"PE00"。标志着PE文件头的开始。"PE00"字符串是PE文件头的开始,DOS头部的e_lfanew字段正是指向这里。如下图所示:
圆圈中的广告是什么?在DOS运行这个程序的时候,首先会进行一个DOS的可执行体,会先提示圆圈中内容。
(3)IMAGE_FILE_HEADER也是结构(所以就变成结构里面得结构了)
typedefstruct_IMAGE_FILE_HEADER
{
WORD Machine;-------------------------------//运行平台
WORD NumberOfSections;------------------//文件的区块数目
DWORD TimeDateStamp;---------------------//文件创建日期和时间
DWORD PointerToSymbolTable;-------------//指向符号表(主要用于调试)
DWORD NumberOfSymbols;------------------//符号表中符号个数(主要用于调试)
WORD SizeOfOptionalHeader;--------------//IMAGE_FILE_HEADER32结构大小
WORD Characteristics;//文件属性
}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;
该结构如下图所示:(每个框就代表一个成员(参数))
(4)关于IMAGE_FILE_HEADER里面成员(参数)的详情介绍:
谢谢小甲鱼带来的视频教程,感谢!! {:10_303:}
本节结束,多谢览阅!
越努力,越幸运。谢谢大家来看我的笔记{:10_297:},不对的请各位大佬指教,谢谢{:10_254:}
这么好的贴我居然沙发了,感谢楼主让我轻松理解并copy 楼主你的
三、IMAGE_NT_HEADER 结构
(3)IMAGE_FILE_HEADER也是结构(所以就变成结构里面得结构了)
WORD SizeOfOptionalHeader;--------------//IMAGE_FILE_HEADER32结构大小
这里注释写错了,应该是 //IMAGE_OPTIONAL_HEADER3结构大小2不是IMAGE_FILE_HEADER32结构大小 有没有办法在加密时降低时间复杂度
页:
[1]