• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        

            
	

            
	
            
		
            
			
				
            Tiany 's Blog
            
				
            奮斗的路上肯定會遇到很多困難 該不該繼續?
            
			            		
		
            
	
            

            

            
	
            
		
            
			
				
 
C++博客 ::
首頁 ::
聯系 ::
聚合
 ::
管理

			
			
			
				

	
            
		
            
			
			
			
				 
				15 
				Posts ::
				1 Stories
				::
				28 Comments
				::
				0 Trackbacks
			
		
            
	
            

			            		
		
            
	
            

            


            

            
	
            
	
		
		

            常用鏈接
            


            留言簿(1)
            



            我參與的團隊
            

            
	

            





            搜索
            

              
	
            • 
		
            •  
	
              • 

            


            最新評論
	
            



            閱讀排行榜
            



            評論排行榜
            


	
            		
	
					

            
			
	
	
            
		
            PE的意思就是這個 the Protable Executable (PE) file format 微軟搞得那么一套東西,字面意思是可移植的,但是現實使用中沒見他多么的可移植,PE格式借鑒了UNIX系統中的COFF (Common Object File Format) 格式。而且PE對MS-Dos的兼容,保留了MS-Dos頭,在dos下打開會提示 “這是win32程序在dos下不能跑” 向下兼容,非常的友好。
            

            MS-DOS MZ header 的結構是這樣的
            

            

            

            MS-DOS MZ header
            

            typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
                WORD   e_magic;                     // Magic number
                WORD   e_cblp;                      // Bytes on last page of file
                WORD   e_cp;                        // Pages in file
                WORD   e_crlc;                      // Relocations
                WORD   e_cparhdr;                   // Size of header in paragraphs
                WORD   e_minalloc;                  // Minimum extra paragraphs needed
                WORD   e_maxalloc;                  // Maximum extra paragraphs needed
                WORD   e_ss;                        // Initial (relative) SS value
                WORD   e_sp;                        // Initial SP value
                WORD   e_csum;                      // Checksum
                WORD   e_ip;                        // Initial IP value
                WORD   e_cs;                        // Initial (relative) CS value
                WORD   e_lfarlc;                    // File address of relocation table
                WORD   e_ovno;                      // Overlay number
                WORD   e_res[4];                    // Reserved words
                WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
                WORD   e_oeminfo;                   // OEM information; e_oemid specific
                WORD   e_res2[10];                  // Reserved words
                LONG   e_lfanew;                    // File address of new exe header
              }             IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
            


            

            其中比較關鍵的成員是這個 e_lfanew 它指向了PE文件頭在PE文件中的相對虛擬地址RAV(Relative Virtual Addresses),e_magic的值應該等于 0x5A4D 是MS-DOS MZ header的標志 MZ好像是個程序員名字的縮寫 其他成員基本沒啥大用,一些加殼軟件會修改它的成員為自己的節騰出空間,或者在添加節形式感染時節表尾部的空隙不夠寫入一個新的解表結構的時候把IMAGE_DOS_HEADE 和 IMAGE_NT_HEADER 融合。
            

            可以自己寫一個小程序來輸出一下IMAGE_DOS_HEADE
            

            IMAGE_DOS_HEADE這個結構體定義在windows.h中
            

            系統加載PE格式的文件時,會先加載IMAGE_DOS_HEADE這個結構體,再根據結構體里的e_lfanew提供的相對偏移找到PE文件頭。
            


            

            用c語言可以直接讀出IMAGE_DOS_HEADE這個結構體,下面開始寫。
            

            從文件的開始位置讀取IMAGE_DOS_HEADE結構體
            

            fread(&mydosheader,sizeof(mydosheader),1,p);

            吧文件指針移動到e_lfanew所指的相對偏移,即PE文件頭

            

            fseek(p,mydosheader.e_lfanew,SEEK_SET);


            讀取PE文件標志,這個PE Signature是 PE\0\0 這樣一個值,證明它是PE格式的身份。

            

            fread(&sig,4,1,p);

            這個判斷中大寫的變量都是,windows.h中的常數 

             
            

            IMAGE_NT_SIGNATURE 的值是 PE\0\0
            

            IMAGE_DOS_SIGN
            

            ATURE 的值是 MZ
            

            具體的定義可以自己去windows.h中看

            

             if((mydosheader.e_magic ==IMAGE_DOS_SIGNATURE) &&
                    (sig             == IMAGE_NT_SIGNATURE))
                   printf(            "有效的PE文件/n");
                            else
                  printf(            "無效的PE文件/n");
                            return 0;

            下面是完整的程序

            

            #include "windows.h"
            #include             "stdio.h"

            int main(int argc, char* argv[])
            {
                FILE             *p;
                IMAGE_DOS_HEADER mydosheader;
                unsigned             long sig;

                p             = fopen("test1.exe","r+b");
                            if(p == NULL)return -1;

                fread(            &mydosheader,sizeof(mydosheader),1,p);
                fseek(p,mydosheader.e_lfanew,SEEK_SET);
                fread(            &sig,4,1,p);
                fclose(p);

                printf(            "IMAGE_DOS_HEADER dump:/n");
                printf(            "e_magic  : %04x/n",mydosheader.e_magic);
                printf(            "e_cblp  : %04x/n",mydosheader.e_cblp);
                printf(            "e_cp   : %04x/n",mydosheader.e_cp);
                printf(            "e_crlc  : %04x/n",mydosheader.e_crlc);
                printf(            "e_cparhdr : %04x/n",mydosheader.e_cparhdr);
                printf(            "e_minalloc: %04x/n",mydosheader.e_minalloc);
                printf(            "e_maxalloc: %04x/n",mydosheader.e_maxalloc);
                printf(            "e_ss   : %04x/n",mydosheader.e_ss);
                printf(            "e_sp   : %04x/n",mydosheader.e_sp);
                printf(            "e_csum  : %04x/n",mydosheader.e_csum);
                printf(            "e_ip   : %04x/n",mydosheader.e_ip);
                printf(            "e_cs   : %04x/n",mydosheader.e_cs);
                printf(            "e_lfarlc : %04x/n",mydosheader.e_lfarlc);
                printf(            "e_ovno  : %04x/n",mydosheader.e_ovno);
                printf(            "e_res[0] : %04x/n",mydosheader.e_res[0]);
                printf(            "e_oemid  : %04x/n",mydosheader.e_oemid);
                printf(            "e_oeminfo : %04x/n",mydosheader.e_oeminfo);
                printf(            "res2[0]  : %04x/n",mydosheader.e_res2[0]);
                printf(            "lfanew  : %08x/n",mydosheader.e_lfanew);


                            if((mydosheader.e_magic ==IMAGE_DOS_SIGNATURE) &&
                    (sig             == IMAGE_NT_SIGNATURE))
                   printf(            "有效的PE文件/n");
                            else
                  printf(            "無效的PE文件/n");
                            return 0;
            }


            

            最后附上參考文章的地址
            

             
            

            http://xue23.blog.163.com/blog/static/9793442005431142120/
            

            http://bbs.fishc.com/home.php?mod=space&uid=9&do=blog&id=558
            

            Peering Inside the PE.pdf
            

             
            

            http://xue23.blog.163.com/blog/static/9793442005431142120/

            
	
            
	
	
            
		posted on 2012-04-08 22:24 Tiany 閱讀(709) 評論(0)  編輯 收藏 引用  所屬分類: 逆向破解 
	
            

            







            
	    
    




            






            

				

            

            



    
    







            
	   
	



婷婷五月深深久久精品|
91精品国产高清久久久久久91|
久久久久亚洲精品男人的天堂|
国产欧美久久久精品|
国产高潮国产高潮久久久91|
亚洲午夜精品久久久久久人妖|
国产无套内射久久久国产|
亚洲а∨天堂久久精品|
无码精品久久久天天影视|
久久精品九九亚洲精品天堂|
久久亚洲国产精品123区|
久久综合噜噜激激的五月天|
热99re久久国超精品首页|
久久久国产99久久国产一|
国产午夜免费高清久久影院
|
九九精品99久久久香蕉|
久久成人精品|
久久精品国产亚洲网站|
欧洲人妻丰满av无码久久不卡|
国产—久久香蕉国产线看观看|
99久久精品国产一区二区
|
国产福利电影一区二区三区久久久久成人精品综合
|
久久亚洲AV成人出白浆无码国产|
久久精品国产第一区二区|
久久人爽人人爽人人片AV
|
久久久精品人妻一区二区三区蜜桃|
狠狠色综合网站久久久久久久|
中文字幕久久久久人妻|
久久久久亚洲精品男人的天堂|
2021精品国产综合久久|
日韩人妻无码一区二区三区久久|
久久一区二区三区免费|
欧美精品一区二区精品久久|
影音先锋女人AV鲁色资源网久久|
久久久久久久国产免费看|
久久最近最新中文字幕大全|
99久久精品日本一区二区免费|
精品国产99久久久久久麻豆|
久久夜色撩人精品国产|
香蕉aa三级久久毛片|
亚洲国产成人久久综合野外|