PE文件解析-调试、版权与.NET信息(COM表)

最新推荐文章于 2026-06-18 20:12:19 发布
原创 最新推荐文章于 2026-06-18 20:12:19 发布 · 3.1k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PE文件解析 #映像调试信息 #版权信息 #.NET信息 #COM表
本文详细探讨了PE文件的三个关键方面:一、映像调试信息,这些信息通常位于'.debug'区段,由IMAGE_DEBUG_DIRECTORY结构体数组描述;二、版权信息,通过IMAGE_DATA_DIRECTORY的第8成员指向IMAGE_ARCHITECTURE_HEADER结构体;三、.NET信息,即COM表,由IMAGE_DATA_DIRECTORY的第15成员指向IMAGE_COR20_HEADER结构,揭示了PE文件中的.NET元数据。

一、映像调试信息

    PE文件头可选映像头中数据目录表的第7成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]指向映像调试信息,它保存在PE文件中,通常在".debug"区段。

  映像调试信息是一个IMAGE_DEBUG_DIRECTORY结构体数组,该结构体定义如下:

typedef struct _IMAGE_DEBUG_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;     //创建时间(GMT时间)
    WORD    MajorVersion;      //主版本号
    WORD    MinorVersion;      //次版本号
    DWORD   Type;              //调试类型
    DWORD   SizeOfData;        //调试数据大小
    DWORD   AddressOfRawData;  //调试数据RVA地址
    DWORD   PointerToRawData;  //调试数据文件地址
} IMAGE_DEBUG_DIRECTORY, *PIMAGE_DEBUG_DIRECTORY;

二、版权信息

    PE文件头可选映像头中数据目录表的第8成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_ARCHITECTURE]指向版权信息。版权信息结构体是IMAGE_ARCHITECTURE_HEADER,它的定义如下:

typedef struct _ImageArchitectureHeader {
    unsigned int AmaskValue: 1;                 // 1 -> code section depends on mask bit
                                                // 0 -> new instruction depends on mask bit
    int :7;                                     // MBZ
    unsigned int AmaskShift: 8;                 // Amask bit in question for this fixup
    int :16;                                    // MBZ
    DWORD FirstEntryRVA;                        // RVA into .arch section to array of ARCHITECTURE_ENTRY's
} IMAGE_ARCHITECTURE_HEADER, *PIMAGE_ARCHITECTURE_HEADER;

三、.NET信息(COM表)

    PE文件头可选映像头中数据目录表的第15成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR]指向.NET信息。该结构是IMAGE_COR20_HEADER,结构体定义如下:

// CLR 2.0 header structure. 
typedef struct IMAGE_COR20_HEADER 
{ 
   // Header versioning 
   ULONG cb; 
   USHORT MajorRuntimeVersion; 
   USHORT MinorRuntimeVersion; 
   // Symbol table and startup information 
   IMAGE_DATA_DIRECTORY MetaData; 
   ULONG Flags; 
   ULONG EntryPointToken; 
   // Binding information 
   IMAGE_DATA_DIRECTORY Resources; 
   IMAGE_DATA_DIRECTORY StrongNameSignature; 
   // Regular fixup and binding information 
   IMAGE_DATA_DIRECTORY CodeManagerTable; 
   IMAGE_DATA_DIRECTORY VTableFixups; 
   IMAGE_DATA_DIRECTORY ExportAddressTableJumps; 
   // Precompiled image info (internal use only - set to zero) 
   IMAGE_DATA_DIRECTORY ManagedNativeHeader; 
} IMAGE_COR20_HEADER;

 

SAP ABAP开发实战:巧用cl_salv_bs_runtime_info实现ALV数据“隐身”抓取复用
weixin_30555125的博客
03-29 387
本文详细介绍了在SAP ABAP开发中如何利用cl_salv_bs_runtime_info类实现ALV数据的无缝抓取复用。通过SET、GET_DATA_REF等关键方法,开发者可以在不修改原有程序的情况下获取ALV报数据,适用于跨报数据整合、自动化流程等场景,大幅提升开发效率。
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 3252
下面有几个网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理】 CPU特定的并且基于的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
计算机程序编译过程,程序编译过程
weixin_33048525的博客
07-14 470
相对虚拟地址在可执行文件中,许多地方都需要被指定一个在内存中的地址。例如在使用全局变量时需要它的地址。PE文件可以被加载到进程地址空间中的任何地方。虽然它有一个首选地址,但你却不能依赖可执行文件一定会被加载到那个地址。因此就需要按一定方式指定地址,使它们并不依赖于可执行文件的加载地址。为了避免在PE文件中硬编码内存地址,因此就使用了RVA。RVA只是一个相对于PE文件在内存中的加载位置的偏移。例如...
PE文件格式学习(九):调试(DebugDirectory)
tutucoo
11-07 1757
微软官方参考文档:https://docs.microsoft.com/en-us/windows/desktop/debug/pe-format#debug-type
php pe文件版本号,小悠PE文件FileVersionInfo类,轻松获取PE文件版本信息
weixin_36352432的博客
03-18 504
本文出自悠然品鉴小悠,转载请注明出处:http://www.youranshare.com/codeorg/sid/138.html今天在整一个类似于windows任务管理器的东西,其中一个功能就是需要获取到exe,dll这些PE文件的版本信息和描述信息,小悠整了老半天终于还是整出来了,为了以后使用放便,我就做成了一个类给封装了起来,这里给大家分享一下吧.我封装的这个类叫做CPEFileVersi...
windows系统平台下的PE文件格式和数据定义详解(附带详细高清大图)
关注互联网安全的小虾米一枚
11-06 5968
PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。 PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式。Portable 是指对于不同的 Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CP
深度解析Donut:内存加载.NET程序集PE文件的最佳实践指南
gitblog_00936的博客
06-15 898
Donut是一款强大的开源工具,能够生成位置无关的shellcode,实现从内存中加载和执行.NET程序集、PE文件、VBScript、JScript等多种Windows载荷。本文将深入探讨Donut的核心机制、兼容性要求以及实战应用技巧,帮助中级开发者充分发挥其内存加载能力,同时规避常见陷阱。 ## 项目定位核心技术价值 🔧 Donut的核心价值在于实现**内存加载**和**无文件执行*
PE Tools:逆向工程中的PE文件分析操作实战指南
最新发布
gitblog_00237的博客
06-18 428
你是否曾经面对一个未知的Windows可执行文件,想要深入了解其内部结构却无从下手?或者在进行恶意软件分析时,需要快速修改PE文件信息来绕过检测?传统工具要么功能单一,要么操作复杂,这正是PE Tools要解决的核心问题。 作为一款自2002年就存在的逆向工程工具,PE Tools历经近20年的发展,已经成为Windows PE文件分析和操作的事实标准。同类工具相比,它的独特优势在于将多个独
EXE转DLL实战指南:全面解析PE文件转换技术
gitblog_00475的博客
06-15 1201
在Windows开发逆向工程领域,将可执行文件(EXE)转换为动态链接库(DLL)是一项极具实用价值的技术。**EXE转DLL**工具正是为解决这一需求而生的专业解决方案,它不仅能实现**PE文件转换**,还能生成完整的**动态链接库生成**机制。本文将深入剖析这一工具的技术原理、实战应用及性能优化策略。 ## 技术原理深度剖析 ### PE文件格式的核心差异 EXEDLL在PE(Port
Windows PE中加载.NET程序集的实战方案避坑指南
dingguayi7025的博客
06-14 619
.NET程序集加载是Windows平台下实现离线工具自动化的核心能力,其本质依赖运行时宿主、API兼容性内存模型三重支撑。在Windows PE这类精简内核环境中,.NET Framework需借助WinPE-NetFX功能包注入mscoree.dll宿主,而.NET Core/5+则面临hostfxr.dll对api-ms-win-core-*转发DLL的强校验失败问题。技术价值在于突破操作系统启动依赖,支撑磁盘克隆、硬件采集、BitLocker恢复等关键离线运维场景。本文聚焦真实企业级部署经验,覆盖.
PE文件格式详解()
08-04 1198
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
PE文件结构详解(三)PE导出
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出
windows pwn 基础知识
sky123博客
06-21 6680
在 Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
MS 调试信息分析(一)
03-15 1973
首先我在这里说明,MS 调试信息的支持其实MS 已经提供了DBGhelp和imagehel 这两个库,当我们如果想更深入的了解调试信息就必须来了解调试文件。我在这里只讨论DBG文件和PDB文件,由于其中的很多信息,MS并没有公开,我也只属于探索阶段,所以错误再所难免。  一般的调式信息由MS提供的一般由两个文件,DBG文件和PDB文件,在NT4。0中没有PDB文件,PDB文件中的信息被保存在DBG
PEPE文件结构学习
dr0op's blog
03-31 1761
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE文件区块输入输出:基址重定位PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
可执行文件结构:PE文件结构讲解
qq_46145027的博客
05-02 3073
我们使用电脑时肯定会接触各种各样的应用程序,有应用程序就会有对应的可执行文件,比如最常见的.exe文件。事实上,Windows平台下,所有的可执行文件(包括EXE、DLL、SYS、OCX、COM......)使用的都是同一种文件结构,也就是PE(Portable Executable)文件结构。所以说所有可执行文件究其本质都可以叫它PE文件。这里要注意一点:事实上,一个文件是否是PE文件其扩展名无关,PE文件可以是任何扩展名。 下面就来结合事例详细介绍一下PE文件到底是个什么东西。
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 9184
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
PE结构-3
Starr
07-05 618
PE结构-3 文章目录PE结构-39. 异常10. 安全11. 调试 9. 异常 PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。 平台不同,异常结构也不同。x64的异常结构如下: typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY { DWORD BeginAddress;...
PE文件学习(四)基址重定位
SanSiro1的博客
08-27 2330
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。       一般情况下重定位位于一个名为.reloc的区块内,PE文件中的重定位结构是由多个IMAGE_BASE_RELOCATION子结构组成的,每个子结构只负责
Windows逆向工程提升之IMAGE_DEBUG_DIRECTORY
0xCC说逆向
05-26 1469
调试器(如 Visual Studio)利用结构中的信息定位 PDB(Program Database)文件,加载符号解析调试符号。确保调试器可以查看程序中的变量、代码行号、函数调用堆栈等。调试者可以通过提取此结构获取程序的调试信息地址,进而分析可执行文件的工作逻辑。存储调试相关的信息(如符号文件路径、时间戳、调试信息类型)。调试器(如 WinDbg、Visual Studio)利用这些信息定位符号文件.pdb:调试项的特性字段,大多情况下设置为 0。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值