Skip to content

查看PE文件结构

介绍

PE文件是Windows下的可执行程序,与之对应的是Linux下的ELF,macOS下的Mac-O,都是遵从COFF结构标准,两个基本要素是:头Header + 区段(Section),头是属于Meta数据,区段是具体内容。

PE文件结构大致如下图所示:

使用方法

  • 可从进程列表或模块列表,右键Sendto Scanner
  • 可在Scanner标签页上,直接打开PE
  • 直接拖动PE文件到窗口中(内置管理员模式)

查看基本信息

这里可看到PE文件的大小、版本、描述、编译时间、PDB、编译器等信息。

查看DOS头

查看PE头

查看区段表

查看导入表

查看导出表

查看重定位表

查看调试目录

SymbolID和windbg的下载符号路径是一致的。

其他信息(资源/延迟绑定等等)

[TODO] OpenArk查看功能后续会更新。

查看RVA

RVA = 偏移地址VA - 基址ImageBase, R即是Relative(相对)。

这里的Rebase常在使用IDA和Windbg时,ASLR导致的基址重定位,用于临时转换。