马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
本帖最后由 shuiyu 于 2018-1-12 20:53 编辑
越努力,越幸运。欢迎大家来看我的笔记 ,不对的请各位大佬指正,谢谢
一、MS - DOS 头部
(1)每个PE文件是以一个DOS程序开始的,有了它,一旦程序在DOS下执行,DOS才能识别出这是有效的执行体。PE 文件的第一个字节起始于一个传统的MS-DOS 头部,被称作 IMAGE_DOS_HEADER。(其实上是一个结构体)
(2)IMAGE_DOS_HEADER结构体。(最左边为文件头的偏移量)
(3)只要记住下面两个就行了。IMAGE_DOS_HEADER STRUCT{
+0h WORD e_magic // Magic DOS sigbature MZ(4Dh 5Ah) DOS可执行文件标记(MZ为两个字节)
+3ch DWORD e_lfanew // Offset to start of PE header 指向PE文件头
}
二、PE 文件头
(1)PE 文件头(PE Header)紧挨着DOS stub
PE Header 是PE相关结构NT映像头(IMAGE_NT_HEADER)的简称,里边包含着许多PE装载器用到的重要字段。
(2)执行体在支持PE文件结构的操作系统中执行时,PE装载器将从IMAGE_DOS_HEADER结构中的e_lfanew字段里找到PE Header的起始偏移量,加上基地址就得到PE文件头的指针。PNTHeader = ImageBase + dosHeader -> e_lfanew (即:PE文件头=基址+e_lfanew)
三、IMAGE_NT_HEADER 结构
(1)IMAGE_NT_HEADERS STRUCT
{
+0h DWORD Signature
+4h IMAGE_FILE_HEADER FileHeader
+18h IMAGE_OPTIONAL_HEADER32 OptionlHeader //可选择的32位文件头
}IMAGE_NT_HEADERS ENDS
圆圈中的广告是什么?在DOS运行这个程序的时候,首先会进行一个DOS的可执行体,会先提示圆圈中内容。
(3)IMAGE_FILE_HEADER也是结构(所以就变成结构里面得结构了)typedef struct_IMAGE_FILE_HEADER
{
WORD Machine;-------------------------------//运行平台
WORD NumberOfSections;------------------//文件的区块数目
DWORD TimeDateStamp;---------------------//文件创建日期和时间
DWORD PointerToSymbolTable;-------------//指向符号表(主要用于调试)
DWORD NumberOfSymbols;------------------//符号表中符号个数(主要用于调试)
WORD SizeOfOptionalHeader;--------------//IMAGE_FILE_HEADER32结构大小
WORD Characteristics;//文件属性
}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;
(4)关于IMAGE_FILE_HEADER里面成员(参数)的详情介绍:
谢谢小甲鱼带来的视频教程,感谢!! 
本节结束,多谢览阅!
越努力,越幸运。谢谢大家来看我的笔记,不对的请各位大佬指教,谢谢
| 
( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)
狗仔卡
发表于 2018-1-11 22:24:32
置顶卡
千斤顶
显身卡
发表于 2018-3-7 18:16:46