要分析pe檔案我們首先要對
pe結構有乙個大致的了解
,大體上
pe結構可以看成是乙個平面空間裡面包含有如下內容
相應的msdos
頭結構定義如下
,windows
載入器在載入的過程中會判斷
dos頭是否合法 ?
typedefstruct_image_dos_header image_dos_header, *pimage_dos_header;
通過以上結構我們可以看到
e_lfanew(60=0x3c
個位元組偏移
)字段代表
exe頭在檔案中的位置
所以可以斷定
00f8
位置指向的內容為
pe頭結構定義如下 ?
0xf9=50 45 00 00=pe\0\0->signature簽字段
000000fch=
映象頭結構開發位置佔
20個位元組 ?
typedefstruct_image_file_header image_file_header, *pimage_file_header;
00000110h=
擴充套件檔案頭起始位置佔
224個位元組
(e0) ?
typedefstruct_image_optional_header image_optional_header32, *pimage_optional_header32;
到這裡我們基本上已經將pe檔案頭資訊給分析完成了.
PE頭結構學習 PE頭移位
剛開始學pe結構的時候,是為了搞 xx的,那時瑞星和江民還有希望,那時卡飯論壇還常駐各個防毒軟體廠商的工程師,想想還有些懷念,初中基本啥也不懂,就上論壇看別人是怎麼搞的,有一次看到乙個免殺技術叫pe頭移位,後來這個技術也用了蠻久。剛好現在上了作業系統這門課,作業就是要研究下pe結構,所以就以pe頭移...
PE檔案結構(一) MS DOS頭 ,PE頭
ms dos頭 標準pe頭 擴充套件pe頭 資料目錄 節表各個欄位的含義 第乙個字段 mz標誌位 e magic 是乙個常量,一般都是0x4d5a 最後乙個字段 pe頭偏移 e ifanew 指向新的pe頭,偏移量為0x0138 位於0x0138 typedef struct image nt he...
PE頭欄位說明
建議放大看 未注釋的代表是重點 1 doc頭 word e magic mz標記 用於判斷是否為可執行檔案.dword e lfanew pe頭相對於檔案的偏移,用於定位pe檔案 2 標準pe頭 word machine 程式執行的cpu型號 0x0 任何處理器 0x14c 386及後續處理器 wo...