This specification describes the structure of executable (image) files and object files under the Windows family of operating systems. These files are referred to as Portable Executable (PE) and Common Object File Format (COFF) files, respectively.
很早以前,我为微软系统期刊(现在叫做MSDN)写了一篇文章。那篇文章“Peering Inside the PE: A Tour of the Win32 Portable Executable File Format”比我所期望的更受人欢迎。直到现在,我仍然能收到使用那篇文章的人(甚至Microsoft里的人)的来信,那篇文章在MSDN中仍然能够 找到。不幸的是,那篇文章中存在一些问题。
PE 格式被公开在 WINNT.H 头文件中(非常零散).大概在 WINNT.H 文件的中间有一个"Image Format"节.这个节以 MS-DOS MZ 格式和 NE 格式开头,后面才是新的 PE 格式.WINNT.H 提供了 PE 文件使用的原始数据结构的定义,但是它包含的关于这些结构和标志的意义的有用注释却很 少.为 PE 格式写头文件的人(...
However, the widely used Portable Executable file format (PE32), a data structure used by the Windows OS to handle executable code, contains hidden information that can provide a security analyst with an upper hand. In this paper, we perform the first accurate assessment of the hidden PE32 ...
PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式,如下是本人找到的高清PE结构图,可给逆向人员作为参考使用。
本檔會指定 Microsoft Windows 作業系統系列下可執行檔 (image) 檔案和物件檔案的結構。 這些檔案分別稱為可攜式可執行檔 (PE) 和通用物件檔格式 (COFF) 檔案。 「可攜式可執行檔」名稱是指格式不是架構特定的事實。下表說明此規格中出現的某些概念:
PE32+ 映像允许使用 64 位地址空间,同时会将映像大小限制为 2 GB。 其他 PE32+ 修改会在各自的部分中进行介绍。 可选标头本身具有三个主要部分。 展开表 偏移量 (PE32/PE32+)大小(PE32/PE32+)标头部分描述 0 28/24 标准字段 为COFF 的所有实现(包括 UNIX)定义的字段。 28/24 68/88 特定于 Windo...
The media could not be loaded, either because the server or network failed or because the format is not supported. LUBCON(劳博抗)是全球范围内润滑工程领域的顶级研发和生产制造企业之一,位于德国。产品有高温超高温、重载超重载、高速超高速、真空超真空、低噪声无异音、高可靠度长寿命特种润滑剂在全球范围...
Even if you program only for Windows 3.1 using Visual C++®, you're still using PE files (the 32-bit MS-DOS® extended components of Visual C++ use this format). In short, PEs are already pervasive and will become unavoidable in the near future. Now is the time to find out what ...
Even if you program only for Windows 3.1 using Visual C++®, you're still using PE files (the 32-bit MS-DOS® extended components of Visual C++ use this format). In short, PEs are already pervasive and will become unavoidable in the near future. Now is the time to find out what ...