相关推荐

PEBrowse Debug

本工具为经典的dotnet动态调试工具，非常适合用于动态调试dotnet程序

windbg dt命令显示PE相关数据结构

0:001> dt ntdll!*IMAGE_* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_DOS_HEADER ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DATA_DI...

从PE结构取调试信息 代码

从PE结构取调试信息 代码

编写PE文件解析器（三）

下面有几个表网上资料比较少，因为几乎用不到，我查文档写写吧，这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组，根据文件头的Machine来确定结构，64位用IMAGE_IA64_RUNT

C++PE文件格式解析类（轻松制作自己的PE文件解析器）

用C++封装了可以轻松高效获取PE文件中各信息的类，该类有较高可读性，同时具有一定的通用性，适合学习，也适合轻松实现自己的PE文件信息查看软件

PE文件结构详解

Windows程序的各种界面称为资源，包括加速键（Accelerator）、位图（Bitmap）、光标（Cursor）、对话框（DialogBox）、图标（Icon）、菜单（Menu）、串表（StringTable）、工具栏（Toolbar）和版本信息（VersionInformation）等。执行PE文件前，加载程序在进行重定位的时候，会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址，根据重定位类型的不同将差值添加到相应的地址数据中。...

PE文件格式详解(下)

预定义段   一个Windows NT的应用程序典型地拥有9个预定义段，它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段，同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上，应用程序定义一个独特的段的方法是使用标

PE文件格式概述

本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写

PE文件格式详解

三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间，所有的代码和数据都合并在一起，组成了一个很大的结构； 文件被分为不同的区块(Section，又成为区段或节等)，区块中包含代码和数据，各个区块按页边界对齐； 区块没有大小限制，是一个连续结构；每一个块都有其自己的属性，如是否包含代码，是否可读可写等； PE文件的构成 MS-DOS头部 每个...

PE文件结构详解精华（从头看下去就能大概了解PE文件结构了）

前言 此博客绝大部分内容来自云课堂武大慕课《软件安全－恶意代码机理与防护》。 内容提纲 PE文件及其表现形式 PE文件格式与恶意软件的关系 PE文件格式总体结构 代码节与数据节 引入函数节：PE文件的引入函数机制 引出函数节：DLL文件的函数引出机制 资源节：文件资源索引、定位与修改 重定位节：镜像地址改变后的地址自动修正 PE文件及其表现形式 可移植的可执行文件（PE，Portable...

PE文件格式详解(4)

<br />作者：MSDN <br /> 译者：李马 (http://home.nuc.edu.cn/~titilima) <br />导入数据段，.idata<br /><br /> 　　 .idata段是导入数据，包括导入库和导入地址名称表。虽然定义了IMAGE_DIRECTORY_ENTRY_IMPORT，但是WINNT.H之中并无相应的导入目录结构。作为代替，其中有若干其它的结构，名为IMAGE_IMPORT_BY_NAME、IMAGE_THUNK_DATA与IMAGE_IMPORT_DES

PE文件结构-目录项结构

目录项结构 数据目录项位于可选PE头的最后一部分，向前四个字节说明了数据目录项的数量，而每个数据目录项的结构一致，分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项，它们的详细说明如下： 英文描述 中文描述 ...

DelphiXE环境认知(第一章 Project Options)

DelphiXE环境认知作者：帅宏军 时间：2011年4月 说明：根据DelphiXE的自带帮助翻译而来，为作者个人看法，如有翻译不当，仅供参考。 shuaihj@163.com http://blog.csdn.net/shuaihj 第一章、 Project OptionsØ Project > Options 这个页面用来设置当前项目的Delphi编译器选项。Default勾选后可将当前的配

PE文件格式分析

一、PE的基本概念     PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器（又称PE加载器）遍历PE文件并决定文件的哪一部分被映射，这种映射方式是将文件较高的偏

PE文件格式详解（附有原文和源代码，逆向工程的基础教程）

此文的英文原文为The Portable Executable File Format from Top to Bottom，我找到了两篇不同出处的译文，题名分别为《PE文件格式详解》和《可移植的可执行文件格式全接触》。并且搜集到了文章中所提到的两个附件PEF2034B.ZIP和PEF2034C.ZIP。压缩为ZIP上传共享并作为备份。

PE文件格式分析及修改

PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识

windows PE Image 文件分析

转自：http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图，分为 4 个部分：DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式，而 object 文件使用的是 COFF 文件格式。

非PE文件类型攻击小结

非PE攻击，包括hta、rundll32、powershell、office文档等方式攻击

PE教程1: PE文件格式一览

 PE 的意思就是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上，任何win32平

《黑客免杀攻防学习笔记》——PE文件结构3

文章中的图片大部分为自己做截屏，少量摘自网络，若有侵权请及时告知，我会尽快删除。转载请注明出处。 接上一篇，上一篇了解了一些常用的结构的基本结构，这一篇从异常结构开始学习。 7.异常          PE文件中的异常目录用于描述异常处理函数、SEH地址等信息，存储于.pdata 段内，数据目录项的第四项指向结构的RVA。异常处理和处理器平台有关，所以书上是用64位处理器的平台作