Windows逆向工程提升之IMAGE_FILE_HEADER
- 公开视频 -> 链接点击跳转公开课程
- 博客首页 -> 链接点击跳转博客主页
目录
IMAGE_FILE_HEADER 介绍
IMAGE_FILE_HEADER 结构
核心字段解析
Machine(目标平台架构)
NumberOfSections(节数目)
TimeDateStamp(时间戳)
PointerToSymbolTable(符号表指针)
NumberOfSymbols(符号数目)
SizeOfOptionalHeader(可选头的大小)
Characteristics(文件属性标志)
IMAGE_FILE_HEADER 位置
IMAGE_FILE_HEADER 介绍
- IMAGE_FILE_HEADER 是 PE 文件核心结构 IMAGE_NT_HEADERS 的一部分,它和可选头 (IMAGE_OPTIONAL_HEADER) 一起定义了文件的总体布局和属性。
- IMAGE_FILE_HEADER 提供了有关文件物理布局和基本属性的信息,比如文件适用的处理器架构、节数目等。
IMAGE_FILE_HEADER 结构
typedef struct _IMAGE_FILE_HEADER { WORD Machine; // 目标平台架构 WORD NumberOfSections; // 文件中的节数目 DWORD TimeDateStamp; // 文件的时间戳(编译时间) DWORD PointerToSymbolTable; // 符号表指针(调试使用) DWORD NumberOfSymbols; // 符号表中的符号数量(调试使用) WORD SizeOfOptionalHeader; // 可选头的大小(IMAGE_OPTIONAL_HEADER 的大小) WORD Characteristics; // 文件属性标志
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; 核心字段解析
Machine(目标平台架构)
- 定义: 指明此 PE 文件的目标运行平台处理器架构。
- 值:
- IMAGE_FILE_MACHINE_I386 0x014C: Intel x86 (32位处理器)。
- IMAGE_FILE_MACHINE_IA64 0x0200: Intel Itanium (IA64)。
NumberOfSections(节数目)
- 定义: 文件中包含的节数量。
- 作用:
- 每个节的信息由 IMAGE_SECTION_HEADER 结构表示。
- 从 NumberOfSections 可计算出文件的整体存储布局。
- 文件中的节包括 .text、.data、.rdata、.bss 等。
TimeDateStamp(时间戳)
- 定义: 编译文件时的时间戳,是一个从1970年1月1日开始按秒计数的值(Epoch Time)。
- 作用:
- 用于记录文件的创建时间。
PointerToSymbolTable(符号表指针)
- 定义: 指向符号表的地址(绝对文件偏移值),主要用于调试用途。
- 特点:
- 在现代 Windows 应用中通常为 0,因为如今的调试符号存储在 PDB 文件中,而非 PE 文件。
NumberOfSymbols(符号数目)
- 定义: 指明符号表中符号的数量。
- 特点:
- 在调试符号表为空时,此字段一般设置为 0。
- 针对老旧(COFF)格式,符号表仍然包含调试符号的数据指针。
SizeOfOptionalHeader(可选头的大小)
- 定义: 指 IMAGE_OPTIONAL_HEADER 的大小。
- 值:
- 对于 PE32 格式(32 位)文件,此值通常是 0x00E0(224 字节)。
- 对于 PE32+ 格式(64 位)文件,此值通常是 0x00F0(240 字节)。
Characteristics(文件属性标志)
- 定义: 指定文件的整体属性,是按位标志集合。
- 常见标志值:
- #define IMAGE_FILE_EXECUTABLE_IMAGE 0x0002 // 文件是可执行文件
- #define IMAGE_FILE_DLL 0x2000 // 文件是一个 DLL
- #define IMAGE_FILE_32BIT_MACHINE 0x0100 // 运行在 32 位机器上
IMAGE_FILE_HEADER 位置
- PE 文件的物理结构:
- IMAGE_FILE_HEADER 紧随 IMAGE_NT_HEADERS.Signature ("PE\0\0") 字段之后。
- 通过 IMAGE_DOS_HEADER.e_lfanew 获取 NT 头的起始地址,从而定位 IMAGE_FILE_HEADER。
- 文件偏移计算示例:
-
文件偏移关系: +----------------+ | IMAGE_DOS_HEADER | +----------------+ <- e_lfanew 指向 | "PE\0\0" | | IMAGE_FILE_HEADER | +----------------+ | IMAGE_OPTIONAL_HEADER | +----------------+
相关文章:
Windows逆向工程提升之IMAGE_FILE_HEADER
公开视频 -> 链接点击跳转公开课程博客首页 -> 链接点击跳转博客主页 目录 IMAGE_FILE_HEADER 介绍 IMAGE_FILE_HEADER 结构 核心字段解析 Machine(目标平台架构) NumberOfSections(节数目) TimeDateStamp&…...
基于Matlab建立不同信道模型
在MATLAB中建立不同的信道模型是无线通信系统仿真的重要组成部分。信道模型用于模拟信号在传输过程中受到的各种影响,如衰减、多径效应、噪声等。以下是一些常见的信道模型及其在MATLAB中的实现方法: 1. 理想信道模型 理想信道假设信号在传输过程中不受…...
苍穹外卖05 Redis常用命令在Java中操作Redis_Spring Data Redis使用方式店铺营业状态设置
2-8 Redis常用命令 02 02-Redis入门 ctrlc :快捷结束进程 配置密码: 以后再启动客户端的时候就需要进行密码的配置了。使用-a 在图形化界面中创建链接: 启动成功了。 03 03-Redis常用数据类型 04 04-Redis常用命令_字符串操作命令 05 05-Redis常用命令…...
JS 应用安全案例泄漏云配置接口调试代码逻辑框架漏洞自检
在 Javascript 中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞。 JS 开发应用和 PHP , JAVA 等区别在于即没源代码,也可通过浏览器查看源代码。 获取 URL ,获取 JS 敏感信息,获取代码传参等&…...
嵌入式八股,空闲任务
空闲任务是FreeRTOS内核创建的一个默认任务,其优先级是系统中最低的。它在系统初始化时自动创建,并且始终处于就绪状态。当系统中没有任何其他任务可以运行时,调度器会选择空闲任务运行。 一句话总结,为了让系统不重启࿰…...
wd软件安装
* wd软件安装 * 磁盘读取数据的基本原理 * 分区软件使用 * 磁盘格式化/挂载的方式任务背景某天接到短信报警提示,显示某主机的根分区空间使用率超过85%,该主机用于影评(MySQL)和报表数据库(Oracle)。经查看…...
Redis数据库-消息队列
一、消息队列介绍 二、基于List结构模拟消息队列 总结: 三、基于PubSub实现消息队列 (1)PubSub介绍 PubSub是publish与subscribe两个单词的缩写,见明知意,PubSub就是发布与订阅的意思。 可以到Redis官网查看通配符的书写规则: …...
使用脚本备份和还原Windows环境变量
使用脚本备份和还原Windows环境变量 你是否遇到过这样的场景?为什么环境变量如此脆弱?全量备份及还原全量备份系统环境变量全量恢复系统环境变量PATH变量份及还原备份PATH变量精准还原PATH变量环境变量实时刷新器必看注意事项Windows环境变量误删别抓狂!用好 脚本 免重启「时…...
卫星互联网:构建全球无缝通信网络的未来
随着全球数字化进程的加速,人们对通信网络的需求越来越高。传统的地面通信网络虽然在城市和发达地区表现良好,但在偏远地区、海洋和空中等场景中仍存在覆盖不足的问题。卫星互联网作为一种新兴的通信技术,正在逐渐成为解决全球通信覆盖问题的…...
VS2022离线安装包
这是VS2022离线安装包下载链接 ▶ 夸克网盘 下载解压后,双击vs_setup.exe即可安装...
PDF 文档结构化工具对比:Marker 与 MinerU
模型训练数据-MinerU一款Pdf转Markdown软件 https://codeyuan.blog.csdn.net/article/details/144315141 在当前大模型(LLM)和自然语言处理(NLP)应用快速发展的背景下,如何高效地将 PDF 等非结构化文档转换为结构化数…...
【优秀三方库研读】在 quill 开源库 LogMarcos.h 中知识点汇总及讲解
以下是LogMarcos.h中的主要知识点汇总及详细讲解: 大纲目录 编译时日志级别过滤预处理宏与条件编译可变参数处理技巧格式化字符串生成日志宏的分发机制线程本地存储(TLS)零成本抽象设计动态日志级别支持结构化日志标签日志频率限制机制1. 编译时日志级别过滤 核心宏:QUILL…...
第14天-Matplotlib实现数据可视化
一、Matplotlib简介 Matplotlib是Python最基础的数据可视化库,提供类似MATLAB的绘图接口,支持2D/3D图形绘制。其核心特点: 丰富的图表类型(折线图/柱状图/饼图/散点图等) 高度可定制化(颜色/字体/刻度/标注) 矢量图输出(PDF/SVG)支持 与Jupyter无缝集成 二、环境准备…...
快速刷机Android10+Root
说明:仅供学习使用,请勿用于非法用途,若有侵权,请联系博主删除 作者:zhu6201976 一、下载android10源码 1.确认手机可刷机范围 比如我的Piexel3机型,支持刷android9-android12 Android源码。 https://de…...
文章相似度对比
from transformers import AutoTokenizer, AutoModel import torch import torch.nn.functional as F # 加载中文句向量模型(BGE) model_name "BAAI/bge-large-zh-v1.5" tokenizer AutoTokenizer.from_pretrained(model_name) model AutoM…...
认知计算:迈向人类级智能的 AI 新范式
一、认知计算:定义与核心技术架构 1.1 超越传统 AI 的 “类人智能” 新维度 认知计算的本质是构建具备感知、推理、学习和交互能力的智能系统,其核心特征包括: 多模态理解:处理文本、图像、语音等非结构化数据(如分…...
数据被泄露了怎么办?
数据泄露是严重的网络安全事件,需立即采取行动以降低风险。以下是关键应对步骤: 1. 确认泄露范围 核实泄露内容:确定泄露的是密码、财务信息、身份证号还是其他敏感数据。 评估来源:检查是个人设备被入侵、某平台漏洞,…...
从 CANopen到 PROFINET:网关助力物流中心实现复杂的自动化升级
使用 CANopen PLC 扩展改造物流中心的传送带 倍讯科技profinet转CANopen网关BX-601-EIP将新的 PROFINET PLC 系统与旧的基于 CANopen 的传送带连接起来,简化了物流中心的自动化升级。 新建还是升级?这些问题通常出现在复杂的内部物流设施中,…...
关于收集 Android Telephony 网络信息的设计思考2
需求: 目标1: Android Telephony data(数据模块)侧收集多源(ServiceStateTracker/ImsService/其他)网络状态信息。目标2: 收集的数据需统一上报/存储到外部App的Provider。字段分散,不方便只在ServiceStateTracker中收集和插入。多触发点/多场景,需要统一插入。一、架构…...
android RecyclerView列表DiffCallback说明
一 代码 private class DiffCallback : DiffUtil.ItemCallback<xxxVolumeInfo>() {override fun areItemsTheSame(oldItem: xxxVolumeInfo,newItem: xxxVolumeInfo): Boolean {return oldItem.uuid newItem.uuid}override fun areContentsTheSame(oldItem: xxxVolumeIn…...
Day123 | 灵神 | 二叉树 | 找树左下角的值
Day123 | 灵神 | 二叉树 | 找树左下角的值 513.找树左下角的值 513. 找树左下角的值 - 力扣(LeetCode) 思路: 初学者可以看灵神视频二叉树的层序遍历【基础算法精讲 13】_哔哩哔哩_bilibili 我的思路就是在每层的循环前加个判断…...
流式优先架构:彻底改变实时数据处理
近年来,随着现代组织的数据环境日趋复杂且高速流动,传统数据库系统已难以满足实时分析、物联网应用以及即时决策的需求。围绕批处理和静态数据模型设计的 RDBMS(关系型数据库管理系统)在架构层面缺乏实时处理能力,而流…...
5月21日星期三今日早报简报微语报早读
5月21日星期三,农历四月廿四,早报#微语早读。 1、中国首次当选联合国教科文组织1970年《公约》缔约国大会主席国; 2、上海普陀:探索1岁以下托育服务的保育内容、人员配备等关键要素; 3、浙江:将智能家居…...
一文详解并查集:从基础原理到高级应用
一文详解并查集:从基础原理到高级应用 前言一、基本概念1.1 定义与作用1.2 直观理解 二、并查集的基本实现2.1 数据结构定义2.2 查找操作实现2.3 合并操作实现 三、经典优化策略3.1 路径压缩(Path Compression)3.2 按秩合并(Union by Rank&am…...
二叉树的半线性
二叉树的半线性结构体现在以下方面: 非线性拓扑与线性次序的结合 二叉树的节点通过父子关系形成分叉结构(非线性),但通过遍历规则(如先序、中序、后序、层次遍历)可将其映射为线性序列。例如:…...
深入浅出理解时间复杂度和空间复杂度
目录 一、基本概念 时间复杂度 空间复杂度 二、常见复杂度分类 时间复杂度常见情况 空间复杂度常见情况 三、如何分析复杂度 时间复杂度分析步骤 空间复杂度分析步骤 四、复杂度对比图表 时间复杂度增长趋势 常见算法复杂度汇总 五、实际应用中的注意事项 一、基本…...
【Java基础笔记vlog】Java中常见的几种数组排序算法汇总详解
Java中常见的几种排序算法: 冒泡排序(Bubble Sort)选择排序(Selection Sort)插入排序(Insertion Sort)希尔排序(Shell Sort)归并排序(Merge Sort)…...
flink 提交流程
flink 提交流程 基础架构并行度算子链任务槽 基础架构 上图是普通的 standalone 架构,就是独立模式,会话模式部署,客户端在接受 job 时,会生成逻辑流图,这里只是按照业务生成对应的执行图,到了 JobManager …...
使用Pandoc实现Markdown和Word文档的双向转换
前言 Word文档是老牌的文档工具,Markdown是新兴的势力。Csdn发文章就是支持Markdown文件的导入,而并不支持Word文件的导入。相反的,今日头天发文章就是支持Word文件的导入,而不支持Markdown文件的导入。 所以,这两种…...
【Python零基础入门系列】第3篇:什么是 Python 的变量、数据类型和输入输出?
欢迎来到【Python 零基础入门系列】第3篇! 前两篇我们已经学会了如何安装 Python 使用编程工具 IDE,并写出了人生第一个程序 print("Hello, world!"),是不是有点成就感了?今天我们就继续深入一点点,来聊聊编程的“灵魂三问”: 什么是变量?什么是数据类型?如…...
破解充电安全难题:智能终端的多重防护体系构建
随着智能终端的普及,充电安全问题日益凸显。从电池过热到短路起火,充电过程中的安全隐患不仅威胁用户的生命财产安全,也制约了行业的发展。如何构建一套高效、可靠的多重防护体系,成为破解充电安全难题的关键。通过技术创新和系统…...
无人机桥梁巡检
无人机桥梁巡检 防护墙巡查 路面巡查 主梁巡查 桥墩路基巡查 支座巡查 周边环境检查...
){kind=spacer}
Android Binder线程池饥饿与TransactionException:从零到企业级解决方案(含实战代码+调试技巧)
简介 在Android系统中,Binder作为进程间通信(IPC)的核心机制,承载着大量跨进程调用任务。然而,当Binder线程池资源耗尽时,可能导致严重的线程饥饿问题,最终引发TransactionException异常,甚至导致应用崩溃或系统卡顿。本文将从零开始,系统讲解Binder线程池的工作原理…...
138. Copy List with Random Pointer
目录 题目描述 方法一、使用哈希表 方法二、不使用哈希表 题目描述 问题的关键是,random指针指向的是原链表的结点,这个原链表的结点对应哪一个新链表的结点呢?有两种办法。一是用哈希表。另一种是复制原链表的每一个结点,并将…...
Java面试问题基础篇
面向对象 面向对象编程:拿东西过来做对应的事情 特征: 封装:对象代表什么,就要封装对应的数据,并提供数据对应的行为 继承:Java中提供一个关键字extends,用这个关键字可以让一个类和另一个类…...
ILRuntime中实现OSA
什么是ILRuntime? ILRuntime项⽬为基于C#的平台(例如Unity)提供了⼀个 纯 C# 实现 , 快速 、 ⽅便 且 可靠 的IL 运⾏时,使得能够在不⽀持JIT的硬件环境(如iOS)能够实现代码的热更新。具体可以学习: http://http s://ourpalm.github.io/ILRuntime/public/v1/guide/ind…...
总结一个编程的学习方式~
目录 学习开发 一切从简 代码风格 学习工具 总结 学习开发 一切从简 在学习写代码的时候,一定要快速的写起来,不要在开发工具上浪费太多的时间。比如说萌新学习C/C,上来直接使用Visual Studio 2019开始把代码写起来,不要追…...
ABC 353
目录 C. Sigma Problem D. Another Sigma Problem C. Sigma Problem 容斥。所有都先不取模,每个数出现 n - 1次,先算出不取模的答案。 接下来找出哪些对之和超出了 1e8,统计这样的对的个数,再拿之前的答案减掉 个数 * 1e8 只需要…...
APC注入)
【免杀】C2免杀技术(八)APC注入
本文主要写点自己的理解,如有问题,请诸位指出! 概念和流程 “APC注入”(APC Injection)是免杀与恶意代码注入技术中的一种典型方法,主要用于在目标进程中远程执行代码,常见于后门、远控、植入型…...
集星云推“碰一碰源码”开发思路解析
在当今数字化营销的浪潮中,集星云推的“碰一碰发视频”工具脱颖而出,为实体商家带来了全新的发展机遇。 AI 视频生成引擎: 集星云推的“碰一碰发视频”工具,在AI视频生成方面下足了功夫。它精心挑选合适的AI视频生成算法…...
容器网络中的 veth pair 技术详解
什么是 veth pair? 在 Linux 容器网络中,veth pair(Virtual Ethernet Pair)是一种虚拟网络设备,用于在不同的网络命名空间(Network Namespace)之间建立通信。它本质上是一对虚拟网卡࿰…...
PCB 横截面几何形状
PCB 横截面几何形状描述了 PCB 堆叠中介电基板、走线和参考平面的细节。然后,它们彼此之间的物理关系可用于预测相应走线的特性阻抗。只有三个通用的横截面几何,每个几何内部都有变化。他们是: 共面 微带线 带状线 共面: 共面几何,有时也称为共面波导 (CPW),是夹在两个…...
面向高温工业场景的EtherCAT/CANopen协议转换系统设计与应用
在金属冶炼行业,高效稳定的通信系统是保障生产流程顺畅、提升生产效率的关键。从矿石预处理、高温熔炼,到精炼成型,各个环节的设备紧密协作,而JH-ECT009疆鸿智能EtherCAT转CANopen协议网关,作为连接不同通信协议设备的…...
Redis语法大全
一、String(字符串) 特点:单键值存储,值可为字符串、数字,支持原子操作。 常用命令 SET 语法:SET key value [EX seconds] [PX milliseconds] [NX|XX]说明:设置键值对,可指定过期时…...
【项目管理】项目管理中的”三边、六拍、四没和只谈“
三边、六拍、四没和只谈总结 中国特色项目管理的“三边、六拍、四没和只谈”,你知道多少? “三边”是指:边计划、边实施、边修改 “六拍”是指:拍脑袋、拍肩膀、拍胸口、拍桌子、拍屁股、拍大腿 "四没"是指:没问题、没关系、没办法、没资源 “只谈”是指:项目初…...
Python训练Day30
模块和库的导入 知识点 回顾 : 导入官方库的三种手段导入自定义库/模块的方式导入库/模块的核心逻辑:找到根目录(python解释器的目录和终端的目录不一致) 1.1标准导入:导入整个库 # 方式1:导入整个模块 imp…...
面试相关的知识点
1 vllm 1.1常用概念 1 vllm:是一种大模型推理的框架,使用了张量并行原理,把大型矩阵分割成低秩矩阵,分散到不同的GPU上运行。 2 模型推理与训练:模型训练是指利用pytorch进行对大模型进行预训练。 模型推理是指用训…...
【notepad++如何设置成中文界面呢?】
“Notepad”是一款非常强大的文本编辑软件,将其界面设置成中文的方法如下: 一、工具/原料: 华为 Matebook 15、Windows 10、Notepad 8.4.6。 二 、具体步骤: 1、找到任意一个文本文件,比如 txt 格式的文…...
从版本控制到协同开发:深度解析 Git、SVN 及现代工具链
前言:在当今软件开发的浪潮中,版本控制与协同开发无疑扮演着举足轻重的角色。从最初的单兵作战到如今大规模团队的高效协作,一套成熟且得力的版本控制系统以及围绕其构建的现代工具链,已然成为推动软件项目稳步前行的关键引擎。今…...
十一、xlib绘制编辑框-续
系列文章目录 本系列文章记录在Linux操作系统下,如何在不依赖QT、GTK等开源GUI库的情况下,基于x11窗口系统(xlib)图形界面应用程序开发。之所以使用x11进行窗口开发,是在开发一个基于duilib跨平台的界面库项目&#x…...