相关推荐

PEBrowse Debug

本工具为经典的dotnet动态调试工具，非常适合用于动态调试dotnet程序

windbg dt命令显示PE相关数据结构

0:001> dt ntdll!*IMAGE_* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_DOS_HEADER ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DATA_DI...

从PE结构取调试信息 代码

从PE结构取调试信息 代码

C++PE文件格式解析类（轻松制作自己的PE文件解析器）

用C++封装了可以轻松高效获取PE文件中各信息的类，该类有较高可读性，同时具有一定的通用性，适合学习，也适合轻松实现自己的PE文件信息查看软件

PE文件结构详解

Windows程序的各种界面称为资源，包括加速键（Accelerator）、位图（Bitmap）、光标（Cursor）、对话框（DialogBox）、图标（Icon）、菜单（Menu）、串表（StringTable）、工具栏（Toolbar）和版本信息（VersionInformation）等。执行PE文件前，加载程序在进行重定位的时候，会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址，根据重定位类型的不同将差值添加到相应的地址数据中。...

PE文件格式详解(下)

预定义段   一个Windows NT的应用程序典型地拥有9个预定义段，它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段，同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上，应用程序定义一个独特的段的方法是使用标

PE文件格式详解

三千风雨三千雪 三千风雪我在写 流了一共三千血 你却始终不了解 简介 PE文件使用的是一个平面地址空间，所有的代码和数据都合并在一起，组成了一个很大的结构； 文件被分为不同的区块(Section，又成为区段或节等)，区块中包含代码和数据，各个区块按页边界对齐； 区块没有大小限制，是一个连续结构；每一个块都有其自己的属性，如是否包含代码，是否可读可写等； PE文件的构成 MS-DOS头部 每个...

PE文件格式概述

本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写

PE文件格式分析

一、PE的基本概念     PE（Portable Execute）文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器（又称PE加载器）遍历PE文件并决定文件的哪一部分被映射，这种映射方式是将文件较高的偏

【逆向基础】十六、PE文件格式（一）

PE文件格式是可移植、可执行文件格式。在学习PE文件格式的过程中，也可以梳理优化进程、内存、DLL等内容，它们是Windows操作系统最核心的部分。值得我们花时间去消化。

PE文件结构-目录项结构

目录项结构 数据目录项位于可选PE头的最后一部分，向前四个字节说明了数据目录项的数量，而每个数据目录项的结构一致，分别包含RVA地址和数据项的大小。 IMAGE_DATA_DIRECTORY STRUCT { DWORD VirtualAddress ;数据的起始RVA DWORD isize ;数据块的长度 } 数据目录项通常共有16项，它们的详细说明如下： 英文描述 中文描述 ...

DelphiXE环境认知(第一章 Project Options)

DelphiXE环境认知作者：帅宏军 时间：2011年4月 说明：根据DelphiXE的自带帮助翻译而来，为作者个人看法，如有翻译不当，仅供参考。 shuaihj@163.com http://blog.csdn.net/shuaihj 第一章、 Project OptionsØ Project > Options 这个页面用来设置当前项目的Delphi编译器选项。Default勾选后可将当前的配

PE文件格式详解（附有原文和源代码，逆向工程的基础教程）

此文的英文原文为The Portable Executable File Format from Top to Bottom，我找到了两篇不同出处的译文，题名分别为《PE文件格式详解》和《可移植的可执行文件格式全接触》。并且搜集到了文章中所提到的两个附件PEF2034B.ZIP和PEF2034C.ZIP。压缩为ZIP上传共享并作为备份。

windows PE Image 文件分析

转自：http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图，分为 4 个部分：DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式，而 object 文件使用的是 COFF 文件格式。

PE文件学习（四）基址重定位

数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构，由于在Windows系统中DLL（动态链接库）文件并不是每次都能加载到预设的基址（ImageBase）上，因此基址重定位主要应用于DLL文件中。       一般情况下重定位表位于一个名为.reloc的区块内，PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的，每个子结构只负责

PE教程1: PE文件格式一览

 PE 的意思就是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上，任何win32平

PE文件格式分析及修改

PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识

《黑客免杀攻防学习笔记》——PE文件结构3

文章中的图片大部分为自己做截屏，少量摘自网络，若有侵权请及时告知，我会尽快删除。转载请注明出处。 接上一篇，上一篇了解了一些常用的结构的基本结构，这一篇从异常结构开始学习。 7.异常          PE文件中的异常目录用于描述异常处理函数、SEH地址等信息，存储于.pdata 段内，数据目录项的第四项指向结构的RVA。异常处理和处理器平台有关，所以书上是用64位处理器的平台作

编写PE文件解析器（三）

下面有几个表网上资料比较少，因为几乎用不到，我查文档写写吧，这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组，根据文件头的Machine来确定结构，64位用IMAGE_IA64_RUNT