开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

DOS可执行文件中的"MZ“头及其对堆栈的影响

DOS可执行文件中的"MZ"头是指DOS可执行文件的标识符，它代表了这个文件是一个可在DOS操作系统下运行的可执行文件。"MZ"头是由两个字节组成，分别是ASCII码中的字符"M"和字符"Z"。

对于堆栈的影响，DOS可执行文件中的"MZ"头并不直接影响堆栈。堆栈是用于存储程序执行过程中的临时数据和返回地址的一种数据结构，它在程序运行过程中动态地分配和释放内存空间。

然而，DOS可执行文件中的"MZ"头对于程序的加载和执行起到了重要的作用。当DOS操作系统加载一个可执行文件时，它会首先读取文件的"MZ"头，以确定文件的格式和属性。根据"MZ"头的信息，DOS操作系统会将可执行文件的代码和数据加载到内存中的适当位置，并设置堆栈的初始状态。

在DOS可执行文件中，堆栈的大小和位置是由程序自身决定的，而不是由"MZ"头直接控制。程序可以通过设置堆栈段和堆栈指针来管理堆栈的大小和位置。堆栈段和堆栈指针是DOS可执行文件中的特殊段寄存器，它们存储了堆栈的起始地址和当前位置。

总结起来，DOS可执行文件中的"MZ"头并不直接影响堆栈的大小和位置，但它对于程序的加载和执行起到了重要的作用。如果想了解更多关于DOS可执行文件和堆栈的相关知识，可以参考腾讯云的文档《DOS可执行文件格式解析》（链接地址：https://cloud.tencent.com/document/product/213/3811）。

相关搜索:BiLSTM_Classifier中的输入/输出/循环丢包层及其对模型和预测的影响 Docker compose更新所有堆栈的所有容器中的所有镜像，并重新启动所有受影响的堆栈 headerStyle不影响React-Native中的标头 Julia 1.x中类型不稳定函数的简单示例及其性能影响 nginx中的虚拟服务器及其影响 rails中的记录数量对查询性能有何影响？update语句对oracle中的for loop语句有影响吗？为什么val对KOTLIN中的数组没有影响？从React Native中的堆栈导航器顶部删除标头吸气剂对Angular中模板性能的影响

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Win32汇编：汇编版PE结构解析器

PE格式是Windows系统下最常用的可执行文件格式,有些应用必须建立在了解PE文件格式的基础之上,如可执行文件的加密与解密,文件型病毒的查杀等,熟练掌握PE文件结构,有助于软件的分析，本文章文字描述提取自《琢石成器-Win32汇编语言程序设计》一书中的重点内容。

02

Win32汇编：汇编版PE结构解析器

PE格式是Windows系统下最常用的可执行文件格式,有些应用必须建立在了解PE文件格式的基础之上,如可执行文件的加密与解密,文件型病毒的查杀等,熟练掌握PE文件结构,有助于软件的分析.

02

Win32汇编：汇编版PE结构解析器

PE格式是Windows系统下最常用的可执行文件格式,有些应用必须建立在了解PE文件格式的基础之上,如可执行文件的加密与解密,文件型病毒的查杀等,熟练掌握PE文件结构,有助于软件的分析.

04

PE格式详解讲解1

这篇文章主要转载自小甲鱼的加密解密部分，然后补充加上我自己的少许内容，原文地址–>传送门

02

PE文件和COFF文件格式分析--MS-DOS 2.0兼容Exe文件段

MS 2.0节是PE文件格式中第一个“节”。其大致结构如下：（转载请指明来源于breaksoftware的csdn博客）

04

[re入门]PE文件结构

EXE和DLL文件之间的区别完全是语义上的，他们使用完全相同的PE格式。唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。还有许多DLL的扩展，如OCX控件和控制面板程序（.CPL文件）等都是DLL，它们有一样的实体。

01

[re入门]PE文件小知识

那是一个沙尘暴都能上热搜的清晨，我揉了揉眼睛从床上爬起来，顶着一路的艰难险阻来到了实验室，开机，hello 酷狗，登录PC微信，蓝屏。全剧终。

01

一个 Java 项目中的病毒

公司准备接手一个移交过来的项目，项目是 Java 写的，本来这种事情比较普遍没有什么太新鲜的事情，只要把代码、文档、环境等尽可能详细的沟通清楚，也就算完事了。但是，接手这个项目却发生了一些有趣的事情。

03

2.2 PE结构：文件头详细解析

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头IMAGE_DOS_HEADER的e_lfanew字段向下偏移003CH的位置，就是真正的PE文件头的位置，该文件头是由IMAGE_NT_HEADERS结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。

01

2.2 PE结构：文件头详细解析

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，DOS头是PE文件开头的一个固定长度的结构体，这个结构体的大小为64字节（0x40）。DOS头包含了很多有用的信息，该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件头IMAGE_DOS_HEADER的e_lfanew字段向下偏移003CH的位置，就是真正的PE文件头的位置，该文件头是由IMAGE_NT_HEADERS结构定义的，IMAGE_NT_HEADERS是PE文件格式的一部分，它包含了PE头和可选头的信息，用于描述PE文件的结构和属性。

03

逆向工程基础：从PE文件到进程地址空间

对于确定的处理器，它能执行的指令是确定的，这就是CPU的指令集。CPU的指令集是机器码，于是人们为了容易编程，发明了使用助记符的汇编语言。后来，又出现了高级语言。高级语言只是用人更容易理解的语法来描述了这些指令的组织规则，而最终翻译成机器指令则是由编译器来完成的。

01

PE格式：手写PE结构解析工具

PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据.

02

PE格式：手写PE结构解析工具

PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等,在PE文件中我们最需要关注,PE结构,导入表,导出表,重定位表,下面将具体介绍PE的关键结构,并使用C语言编程获取到这些结构数据.

02

驱动开发：内核解析PE结构节表

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。

02

你的C#代码是怎么跑起来的（一）

09

夺取应用程序的 “制空权”：内存数据

在病毒查杀，应用安全对抗，静态逆向应用，动态逆向应用，最重要的对象就是，应用程序的内存数据。

02

驱动开发：内核解析PE结构节表

在笔者上一篇文章《驱动开发：内核解析PE结构导出表》介绍了如何解析内存导出表结构，本章将继续延申实现解析PE结构的PE头，PE节表等数据，总体而言内核中解析PE结构与应用层没什么不同，在上一篇文章中LyShark封装实现了KernelMapFile()内存映射函数，在之后的章节中这个函数会被多次用到，为了减少代码冗余，后期文章只列出重要部分，读者可以自行去前面的文章中寻找特定的片段。

00

《程序员的自我修养》笔记

vma是指的不同段的地址入口，可以看到虽然段有很多，但是type类型大部分都一样，比如代码段类型分为了两个段描述更加细致；数据段更夸张用了五个段存储初始化了的变量

01

常驻型计算机病毒工作原理,复习计算机病毒分析与防范

在BIOS后，操作系统前，通过中断服务程序(向量表 INT 13H)，占据物理位置(常驻内存高端)，替换、截获系统中断从而伺机传染发作。

02

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

02

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

04

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

01

APT之旅 - PE静态内容结构

PE 是一种文件格式，在Windows操作系统上的执行可执行文件（.exe）、动态链接库（.dll）、驱动程序以及其他可执行文件类型都是 PE 格式。了解其格式对恶意分析及使用高级的攻击手法有很大的帮助，很多高级的攻击手段都需要对 PE、PEB 有详细的了解。

02

免杀基础之一文学废PE文件格式

PE文件的全称是Portable Executable ，意为可移植的可执行文件，常见的有EXE，DLL，SYS，COM，OCX，PE文件是微软Windows操作系统上的程序文件。

02

使用Python判断文件是否为PE文件

PE的全称是Portable Executable，指可移植的可执行文件，目前的最新版本是2013年2月6日发布的8.3版。PE文件包括exe文件、com文件、dll文件、ocx文件、sys文件、scr文件等Windows平台上所有可执行文件类型，可以说PE文件是Windows操作系统和Windows平台上所有软件和程序能够正常运行的重要基础。 # -*- coding:utf-8 -*- import sys import os if len(sys.argv)!=2: print('Usage: {0

09

2.11 PE结构：添加新的节区

在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。

01

2.11 PE结构：添加新的节区

在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。

02

PE格式：IATHook原理分析与代码编写

Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的，与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook，接下来将具体分析 IAT Hook 的实现原理，并编写一个DLL注入文件，实现 IAT Hook ，废话不多说先来给大家补补课。

02

PE格式：IATHook原理分析与代码编写

Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的，与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook，接下来将具体分析 IAT Hook 的实现原理，并编写一个DLL注入文件，实现 IAT Hook ，废话不多说先来给大家补补课。

00

从创建进程到进入main函数，发生了什么？

前几天，读者群里有小伙伴提问：从进程创建后，到底是怎么进入我写的main函数的？

03

计算机病毒原理与防治技术-计算机病毒及防治

在目前网络十分普及的情况下，几乎所有的计算机用户都遇到过病毒的侵袭，以致影响学习、生活和工作。所以，即使是一个普通的用户，学会病毒的防治，也具有很重要的价值。

02

文件格式的小说明

也就是说：在一套软件里，只要执行以上扩展的文件（如鼠标双击此类型文件），软件就可以正常运行了。

02

pe 详解(包括参数说明哦)

PE 的意思就是 Portable Executable（可移植的执行体）。PE文件结构的总体层次分布图： -------------- |DOS MZ Header | |--------------| |DOS Stub | |--------------| |PE Header | |--------------| |Section Table | |--------------| |Section 1 | |--------------| |Section 2 | |--------------| |Section ... | |--------------| |Section n | -------------- 一、PE文件格式的概要

02

PE格式：分析IatHook并实现

Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的，与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook，接下来将具体分析 IAT Hook 的实现原理，并编写一个DLL注入文件，实现 IAT Hook 。

00

手动打造一个弹窗程序

在平时的分析当中，经常会碰到PE结构的文件，虽然 010 Editor 等工具会提供一个模板，把各个部分都详细的标记出来，但是在调试的时候，经常会需要在 VS 等程序框中进行调试，所以，就需要对PE结构有一定的了解，才能够快速定位到自己想要的地方。

01

[系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)

作者前文介绍了三个漏洞，包括Chrome浏览器保存密码渗透解析、通过Chrome浏览器实现Win10蓝屏、音乐软件解密功能复现。这篇文章将介绍基础知识，详细讲解PE文件格式，熟悉各种PE编辑查看工具，针对目标EXE程序新增对话框等，这也为后续PE病毒和恶意代码的攻防打下扎实基础。这些基础性知识不仅和系统安全相关，同样与我们身边的APP、常用软件及系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。

05

PE格式：分析IatHook并实现

Ring 3层的 IAT HOOK 和 EAT HOOK 其原理是通过替换IAT表中函数的原始地址从而实现Hook的，与普通的 InlineHook 不太一样 IAT Hook 需要充分理解PE文件的结构才能完成 Hook，接下来将具体分析 IAT Hook 的实现原理，并编写一个DLL注入文件，实现 IAT Hook 。

01

【汇编】（五）第一个汇编程序

源程序由“ 汇编指令+伪指令+宏指令 ”组成：伪指令：编译器处理；汇编指令：编译为机器码；

02

含大量图文解析及例程 | Linux下的ELF文件、链接、加载与库（中）

可执行文件的装载进程和装载的基本概念的介绍程序（可执行文件）和进程的区别程序是静态的概念，它就是躺在磁盘里的一个文件。进程是动态的概念，是动态运行起来的程序。现代操作系统如何装载可执行文件给进程分配独立的虚拟地址空间将可执行文件映射到进程的虚拟地址空间（mmap）将CPU指令寄存器设置到程序的入口地址，开始执行可执行文件在装载的过程中实际上如我们所说的那样是映射的虚拟地址空间，所以可执行文件通常被叫做映像文件(或者Image文件)。可执行ELF文件的两种视角可执行ELF格式具有不寻常的

02

汇编语言-第四章第一个程序

一个源程序从写出到执行的过程编写汇编源程序对源程序进行编译链接 ---- 1.使用汇编语言编译程序对源程序文件中的源程序进行编译，产生目标文件。 2.用链接程序对目标文件进行连接，生成可在操作系统中直接运行的可执行文件。其中，可执行文件包含两部分内容：程序（从源程序中的汇编指令翻译过来的机器码）和数据（源程序中定义的数据）相关的描述信息（比如，程序有多大、要占用多少内存空间）。 ---- 执行可执行文件中的内容操作系统按照可执行文件中的描述信息，将可执行文件中的机器码和数据加载

03

分析一个用于传播Hancitor恶意软件的Word文档（第一部分）

最近，TechHelpList将一个用于传播Hancitor恶意软件的Word文档上传到了VirusBay，并概述了与之相关的站点、C2服务器以及由该文档所释放的payload。由于Hancitor通常被用于下载Pony和ZeusPanda恶意软件，因此我决定对这个文档进行分析，以了解程序流程和功能。

02

C/C++ 感染标志与空字节感染

C/C++ 通过搜索PE结构中的空隙部分，对指定文件写入感染标志，作用是，如果程序被感染过则不再继续感染，而搜索空字节，则是要将恶意代码动态的填充到可执行文件中，并劫持执行流，以下代码就是这两种代码的具体实现方式。

02

逆向初级-PE（五）

5.1.PE文件结构 1、什么是可执行文件? 可执行文件(executable fle)指的是可以由操作系统进行加载执行的文件。可执行文件的格式: Windows平台: PE(Portabl

03

4.3 IAT Hook 挂钩技术

IAT（Import Address Table）Hook是一种针对Windows操作系统的API Hooking 技术，用于修改应用程序对动态链接库（DLL）中导入函数的调用。IAT是一个数据结构，其中包含了应用程序在运行时使用的导入函数的地址。

04

[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

作者前文介绍了PE文件格式，熟悉各种PE编辑查看工具，针对目标EXE程序新增对话框等；这篇文章将介绍Windows PE病毒，包括PE病毒原理、分类及感染方式详解，并通过案例进行介绍。这些基础性知识不仅和系统安全相关，同样与我们身边的APP、常用软件及操作系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章，并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

01

4.3 IAT Hook 挂钩技术

IAT（Import Address Table）Hook是一种针对Windows操作系统的API Hooking 技术，用于修改应用程序对动态链接库（DLL）中导入函数的调用。IAT是一个数据结构，其中包含了应用程序在运行时使用的导入函数的地址。

02

161bytes的PE文件是如何炼成的~

本文视你对PE文件的熟悉程度，初学者，大概会花掉你两个小时左右的时间完全理解。最近在网上看到有大神做了个161bytes的hello world，正巧毕业前忧郁闲着，就花几个小时的时间把这个程序结构厘清了一遍，算是重新更深入地学习一次PE文件，写下本文和大家交流。预备工具：一个xp系统，win7下它跑不动。Winhex，记得弄个破解版。其它的一些你习惯的PE查看工具（我试了几个都不能很好解析这个PE，其实PE解析工具就是在模仿windows解析PE文件，如果程序员本身都对PE文件没有一个深入的理解，写出来的工具模仿windows加载器不够像，就不足够应付畸形的却能够正常运行的PE）下面先附上十六进制。 4D5A0000504500004C010100E97700000000007869616F00280002000B0148656C6C6F20576F726C642100000C0000005553455233320000000040000400000004000000300000009D000000040000000C000000300000000C00000000000000020000000000000000000000000000000000000000000000020000000000000000000000380000006A006813004000681E0040006A00FF159D004000C3DD010080 Copy到winhex里，粘贴选择ASCII Hex，保存即可。正式进入正题：缩小PE，一个惯用手段就是把各种PE结构重叠到一起，这样的PE看起来很晦涩，一个数据项往往扮演着多个数据结构的角色。

02

分析Linux系统的执行过程

原创作品转载请注明出处 + https://github.com/mengning/linuxkernel/

02

二进制程序分析指南

分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件，研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。

01

内核级病毒与木马攻防:windows可执行文件结构解析及常用工具

大多数人使用windows系统，相必对其.exe结尾的文件印象深刻，执行任何程序时，你双击该文件即可，这个文件就是系统的可执行文件，我们需要了解其组成结构才能对其进行侵入，劫持或注入恶意代码。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭