scribbler

Windows可执行文件PE格式分析

上面是 windows PE 可执行文件格式的结构图，分为 4 个部分：DOS 文件头、NT 文件头、Section 表以及 Directory 表格。

windows 的 executable image 文件使用的是这种 PE 格式，而 object 文件使用的是 COFF 文件格式。

这里仍然是延续我的风格，以实例看 image 文件格式，这次以 mircrosoft visual studio 2010 的 VC++ 9.0 编译出来经典 windows 程序为例：

这个例子是：

// helloworld.cpp : Defines the entry point for the application.
//

#include "stdafx.h"
#include "helloworld.h"

#define MAX_LOADSTRING 100

// Global Variables:
HINSTANCE hInst;        // current instance
TCHAR szTitle[MAX_LOADSTRING];     // The title bar text
TCHAR szWindowClass[MAX_LOADSTRING];   // the main window class name

// Forward declarations of functions included in this code module:
ATOM MyRegisterClass(HINSTANCE hInstance);
BOOL InitInstance(HINSTANCE, int);
LRESULT CALLBACK WndProc(HWND, UINT, WPARAM, LPARAM);
INT_PTR CALLBACK About(HWND, UINT, WPARAM, LPARAM);

int APIENTRY _tWinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPTSTR    lpCmdLine,
                     int       nCmdShow)
{
UNREFERENCED_PARAMETER(hPrevInstance);
UNREFERENCED_PARAMETER(lpCmdLine);

// TODO: Place code here.
MSG msg;
HACCEL hAccelTable;

// Initialize global strings
LoadString(hInstance, IDS_APP_TITLE, szTitle, MAX_LOADSTRING);
LoadString(hInstance, IDC_HELLOWORLD, szWindowClass, MAX_LOADSTRING);
MyRegisterClass(hInstance);

// Perform application initialization:
if (!InitInstance (hInstance, nCmdShow))
{
return FALSE;
}

hAccelTable = LoadAccelerators(hInstance, MAKEINTRESOURCE(IDC_HELLOWORLD));

// Main message loop:
while (GetMessage(&msg, NULL, 0, 0))
{
  if (!TranslateAccelerator(msg.hwnd, hAccelTable, &msg))
  {
   TranslateMessage(&msg);
   DispatchMessage(&msg);
  }
}

return (int) msg.wParam;
}

//
// FUNCTION: MyRegisterClass()
//
// PURPOSE: Registers the window class.
//
// COMMENTS:
//
//    This function and its usage are only necessary if you want this code
//    to be compatible with Win32 systems prior to the 'RegisterClassEx'
//    function that was added to Windows 95. It is important to call this function
//    so that the application will get 'well formed' small icons associated
//    with it.
//
ATOM MyRegisterClass(HINSTANCE hInstance)
{
WNDCLASSEX wcex;

wcex.cbSize = sizeof(WNDCLASSEX);

wcex.style   = CS_HREDRAW | CS_VREDRAW;
wcex.lpfnWndProc = WndProc;
wcex.cbClsExtra  = 0;
wcex.cbWndExtra  = 0;
wcex.hInstance  = hInstance;
wcex.hIcon   = LoadIcon(hInstance, MAKEINTRESOURCE(IDI_HELLOWORLD));
wcex.hCursor  = LoadCursor(NULL, IDC_ARROW);
wcex.hbrBackground = (HBRUSH)(COLOR_WINDOW+1);
wcex.lpszMenuName = MAKEINTRESOURCE(IDC_HELLOWORLD);
wcex.lpszClassName = szWindowClass;
wcex.hIconSm  = LoadIcon(wcex.hInstance, MAKEINTRESOURCE(IDI_SMALL));

return RegisterClassEx(&wcex);
}

//
//   FUNCTION: InitInstance(HINSTANCE, int)
//
//   PURPOSE: Saves instance handle and creates main window
//
//   COMMENTS:
//
//        In this function, we save the instance handle in a global variable and
//        create and display the main program window.
//
BOOL InitInstance(HINSTANCE hInstance, int nCmdShow)
{
   HWND hWnd;

hInst = hInstance; // Store instance handle in our global variable

hWnd = CreateWindow(szWindowClass, szTitle, WS_OVERLAPPEDWINDOW,
CW_USEDEFAULT, 0, CW_USEDEFAULT, 0, NULL, NULL, hInstance, NULL);

   if (!hWnd)
   {
      return FALSE;
   }

ShowWindow(hWnd, nCmdShow);
UpdateWindow(hWnd);

return TRUE;
}

//
// FUNCTION: WndProc(HWND, UINT, WPARAM, LPARAM)
//
// PURPOSE: Processes messages for the main window.
//
// WM_COMMAND - process the application menu
// WM_PAINT - Paint the main window
// WM_DESTROY - post a quit message and return
//
//
LRESULT CALLBACK WndProc(HWND hWnd, UINT message, WPARAM wParam, LPARAM lParam)
{
int wmId, wmEvent;
PAINTSTRUCT ps;
HDC hDC;
RECT rect;

switch (message)
{
case WM_COMMAND:
  wmId    = LOWORD(wParam);
  wmEvent = HIWORD(wParam);
  // Parse the menu selections:
  switch (wmId)
  {
  case IDM_ABOUT:
   DialogBox(hInst, MAKEINTRESOURCE(IDD_ABOUTBOX), hWnd, About);
   break;
  case IDM_EXIT:
   DestroyWindow(hWnd);
   break;
  default:
   return DefWindowProc(hWnd, message, wParam, lParam);
  }
  break;
case WM_PAINT:
  hDC = BeginPaint(hWnd, &ps);
  // TODO: Add any drawing code here...
  GetClientRect(hWnd, &rect);
  DrawText(hDC, TEXT("hello, world"), -1, &rect, DT_SINGLELINE | DT_CENTER | DT_VCENTER);
  EndPaint(hWnd, &ps);
  break;
case WM_DESTROY:
  PostQuitMessage(0);
  break;
default:
  return DefWindowProc(hWnd, message, wParam, lParam);
}
return 0;
}

// Message handler for about box.
INT_PTR CALLBACK About(HWND hDlg, UINT message, WPARAM wParam, LPARAM lParam)
{
UNREFERENCED_PARAMETER(lParam);
switch (message)
{
case WM_INITDIALOG:
return (INT_PTR)TRUE;

case WM_COMMAND:
  if (LOWORD(wParam) == IDOK || LOWORD(wParam) == IDCANCEL)
  {
   EndDialog(hDlg, LOWORD(wParam));
   return (INT_PTR)TRUE;
  }
  break;
}
return (INT_PTR)FALSE;
}

在窗口中间显示“hello, world”，使用的是 Win32 debug 版本编译，生成的 helloworld.exe 大小是 88,576 bytes

1. MS-DOS 文件头

在 image 文件的最开始处就是 DOS 文件头，DOS 文件头包含了 DOS stub 小程序。在 WinNT.h 文件里定义了一个结构来描述 DOS 文件头。

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

这个结构名叫 IMAGE_DOS_HEADER 共 64 bytes，以 IMAGE_DOS_HEADER 结构描述的 DOS 文件头结构从 image 的 0x00000000 - 0x0000003F（64 bytes）

结构的 e_magic 域是 DOS 头文件签名，它的值是：0x5A4D 代表字符 MZ，它在 WinNT.h 里定义为：

#define IMAGE_DOS_SIGNATURE 0x5A4D // MZ

e_lfanew 域是一个 offset 值，它指出 NT 文件头的位置。

下面看看 helloworld.exe 的 DOS 文件头内容：

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

00000000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ..........??..
00000010 B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 ?.......@.......
00000020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000030 00 00 00 00 00 00 00 00 00 00 00 00 F0 00 00 00 ............e...

红色部分是 DOS 签名，蓝色部分是 PE header offset（NT 文件头）值，也就是 IMAGE_DOS_HEADER 里的 e_lfanew 值，表明 NT 文件头在 image 文件的0x000000F0 处。

1.1 DOS stub 程序

在 DOS 文件头下面紧跟着一小段 stub 程序，从 0x00000040 - 0x0000004D 共 14 bytes，这段 dos stub 程序是这样的：

00000040 0E                push cs
00000041 1F                pop ds
00000042 BA0E00            mov dx,0xe
00000045 B409              mov ah,0x9
00000047 CD21              int 0x21
00000049 B8014C            mov ax,0x4c01
0000004C CD21              int 0x21

当 windows 的 PE 文件放在 DOS 上执行时，将会执行这一段 DOS stub 程序，作用是打印信息：This program cannot be run in DOS mode....　然后调用 int 21 来终止执行返回到 DOS

看看它是怎样运行的：

00000014 00 00      // ip
00000016 00 00      // cs
00000018 40 00      // e_lfarlc

这个 DOS 执行环境中，CS 和 IP 被初始化为 0，e_lfarlc 是 DOS 环境的 relocate 表，它的值是 0x40 ，那么信息字符串的位置是：0x0040 + 0x000e = 0x4e，在 image 文件的 0x0000004e 正好这字符串的位置。

2. NT 文件头

NT 文件头是 PE 文件头的核心部分，由 IMAGE_DOS_HEADER 结构的 e_lfanew 域指出它的位置。

同样 NT 文件头部分由一个结构 IMAGE_NT_HEADER 来描述，在 WinNT.h 里定义如下：

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

可见这个结构分为 32 和 64 位版本，IMAGE_NT_HEADER 结构分为三大部分：

PE 文件签名：Signature
IMAGE_FILE_HEADER 文件头：FileHeader
IMAGE_OPTINAL_HEADER(32/64) 可选头：OptionalHeader

IMAGE_NT_HEADERS32 和 IMAGE_NT_HEADERS64 的匹别在于 IMAGE_OPTIONAL_HEADER 结构，分别为：IMAGE_OPTIONAL_HEADERS32 和IMAGE_OPTIONAL_HEADERS64

在 Win32 下 IMAGE_NT_HEADERS32 是 248 bytes，在 Win64 下 IMAGE_NT_HEADERS64 是 264 bytes，因此 helloworld.exe 的 NT 文件头从 0x000000F0 - 0x000001E7 共 248 bytes

2.1 PE 签名

在 WinNT.h 文件里定义了 PE 文件的签名，它是：

#define IMAGE_NT_SIGNATURE 0x00004550 // PE00

这个签名值是 32 位，值为：0x00004550 即：PE 的 ASCII 码，下面看看 helloworld.exe 中的 PE 签名：

2.2 IMAGE_FILE_HEADER 文件头结构

PE 签名接着是 IMAGE_FILE_HEADER 结构，它在 WinNT.h 中的定义为：

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

这个 IMAGE_FILE_HEADER 对 PE 文件大致的描述，这个结构共 20 bytes，它的域描述如下：

域	size	值	描述
Machine	WORD	IMAGE_FILE_MACHINE_xxx	表示目标平台 processor 类型，例： IMAGE_FILE_MACHINE_I386
NumberOfSections	WORD	节数量	表示映象中有多少个 section
TimeDataStamp	DWORD	从1970年1月1日0:00 以来的总秒数	表示文件创建的时间
PointerToSymbolTable	DWORD	COFF 符号表偏移量	在 image 文件中很少见，总是为 0
NumberOfSymbols	DWORD	COFF 符号表的个数	如果存在的话，表示符号表的个数
SizeOfOptionalHeader	WORD	IMAGE_OPTIONAL_HEADER 结构大小	该域表示 IMAGE_NT_HEADER 中的 IMAGE_OPTIONAL_HEADER 结构的大小
Characteristics	WORD	IMAGE_FILE_xxx	表示文件属性，例如： IMAGE_FILE_DLL 属性

WinNT.h 中定义了一些常量值用来描述 Machine，以 IMAGE_FILE_MACHINE_XXX 开头，下面是一些典型的常量值：

#define IMAGE_FILE_MACHINE_UNKNOWN           0
#define IMAGE_FILE_MACHINE_I386              0x014c // Intel 386.
#define IMAGE_FILE_MACHINE_ALPHA             0x0184 // Alpha_AXP
#define IMAGE_FILE_MACHINE_POWERPC           0x01F0 // IBM PowerPC Little-Endian
#define IMAGE_FILE_MACHINE_AMD64             0x8664 // AMD64 (K8)

WinNT.h 中还针对 Characteristics 域定义了一些常量值，以 IMAGE_FILE_XXX 开头，代表目标 image 文件的类型，下面是一些常见的值：

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001 // Relocation info stripped from file.
#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002 // File is executable (i.e. no unresolved externel references).
#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004 // Line nunbers stripped from file.
#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008 // Local symbols stripped from file.
#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010 // Agressively trim working set
#define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020 // App can handle >2gb addresses
#define IMAGE_FILE_BYTES_REVERSED_LO         0x0080 // Bytes of machine word are reversed.
#define IMAGE_FILE_32BIT_MACHINE             0x0100 // 32 bit word machine.
#define IMAGE_FILE_DEBUG_STRIPPED            0x0200 // Debugging info stripped from file in .DBG file
#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400 // If Image is on removable media, copy and run from the swap file.
#define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800 // If Image is on Net, copy and run from the swap file.
#define IMAGE_FILE_SYSTEM                    0x1000 // System File.
#define IMAGE_FILE_DLL                       0x2000 // File is a DLL.
#define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000 // File should only be run on a UP machine
#define IMAGE_FILE_BYTES_REVERSED_HI         0x8000 // Bytes of machine word are reversed.

NumberOfSections 表示 image 有多个 section，另一个重要的域是：SizeOfOptionalHeader 它指出接下来 IMAGE_OPTIONAL_HEADER 的大小，它有两个 size：Win32 的 0xDC 和 Win64 的 0xF0

下面是 helloworld.exe 的 IMAGE_FILE_HEADER 结构，从 0x000000F4 - 0x00000107 共 20 bytes：

将这些值分解为：

000000F4 4C 01                // Machine
000000F8 07 00                // NumberOfSections
000000FA 6C C6 26 4C          // TimeDateStamp
000000FE 00 00 00 00          // PointerToSymbolTable
00000100 00 00 00 00          // NumberOfSymbols
00000104 E0 00                // SizeOfOptionalHeader
00000106 02 01                // Characteristics

Machine 是 0x014C，它的值是 IMAGE_FILE_MACHINE_I386，说明这个 image 文件的目标平台是 i386，即：Win32 平台
NumberOfSections 是 0x07，说明 image 文件内含有 7 个 sections
SizeOfOptionalHeader 是 0xE0，说明接下来的 IMAGE_OPTIONAL_HEADERS32 将是 0xE0（224 bytes）

它的 Characteristics 是 0x102 = IMAGE_FILE_EXECUTABLE_IMAGE | IMAGE_FILE_32BIT_MACHINE，说明这个 image 是 32 位可执行的映像。

2.3 IMAGE_OPTIONAL_HEADER32 结构

在 IMAGE_FILE_HEADER 结构里已经指明了 image 是 32 位，并且 IMAGE_OPTIONAL_HEADER 的大小是 224 bytes，那么这个结构就是IMAGE_OPTIONAL_HEADER32 结构。

可以根据 IMAGE_FILE_HEAER 结构的 Machine 来判断 image 是 Win32 还是 Win64 平台的。但是 Microsoft 官方推荐及认可的方法是从 IMAGE_OPTIONAL_HEADER 里的 magic 的值来判断目标平台。

在 WinNT.h 里 IMAGE_OPTIONAL_HEADER32 的定义如下：

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

64 位的 IMAGE_OPTIONAL_HEADER64 里没有 BaseOfData 域，其它的与 IMAGE_OPTIONAL_HEADER32 结构的域是一样的，只是一些域扩展为 64 位值，它们包括：

ImageBase
SizeOfStackReserve
SizeOfStackCommit
SizeOfHeapRerserve
SizeOfHeapCommit

这些域在 64 位结构里被定义为 ULONGLONG 类型。

从 IMAGE_OPTIONAL_HEADER32 的定义可以看出，这个结构分为 基本域 部分和 附加域 部分，它的基本域含义如下：

Offset	Size	Field	Description
0	2	Magic	The unsigned integer that identifies the state of the image file. The most common number is 0x10B, which identifies it as a normal executable file. 0x107 identifies it as a ROM image, and 0x20B identifies it as a PE32+ executable.
2	1	MajorLinkerVersion	The linker major version number.
3	1	MinorLinkerVersion	The linker minor version number.
4	4	SizeOfCode	The size of the code (text) section, or the sum of all code sections if there are multiple sections.
8	4	SizeOfInitializedData	The size of the initialized data section, or the sum of all such sections if there are multiple data sections.
12	4	SizeOfUninitializedData	The size of the uninitialized data section (BSS), or the sum of all such sections if there are multiple BSS sections.
16	4	AddressOfEntryPoint	The address of the entry point relative to the image base when the executable file is loaded into memory. For program images, this is the starting address. For device drivers, this is the address of the initialization function. An entry point is optional for DLLs. When no entry point is present, this field must be zero.
20	4	BaseOfCode	The address that is relative to the image base of the beginning-of-code section when it is loaded into memory.

Magic 域是一个幻数值，在 WinNT.h 里定义了一些常量值：

#define IMAGE_NT_OPTIONAL_HDR32_MAGIC      0x10b
#define IMAGE_NT_OPTIONAL_HDR64_MAGIC      0x20b
#define IMAGE_ROM_OPTIONAL_HDR_MAGIC       0x107

值 0x10b 说明这个 image 是 32 位的，PE 文件格式是 PE32
值 0x20b 说明这个 image 是 64 位的，PE 文件格式是 PE32+

PE32+ 代表的扩展的 PE 文件格式，扩展为 64 位。在 PE 文件规范中并没有 PE64 这种文件格式，Microsoft 官方的判断 image 文件是 32 位还是 64 位的方法就是通过Magic 的值来确定。

在这些基本的域里可以获得 linker 的版本，text 节，data 节以及 bss 节的大小，

下面看一看 helloworld.exe 的 IMAGE_OPTIONAL_HEADER32 结构的基本域，从 0x00000108 - 0x0000011F

00000108 0B 01             // Magic
0000010A 0A                // MajorLinkerVersion
0000010B 00                // MinorLinkerVersion
0000010C 00 3C 00 00       // SizeOfCode
00000110 00 20 01 00       // SizeOfInitializeData
00000114 00 00 00 00       // SizeOfUninitializeData
00000118 0D 12 01 00       // AddressOfEntryPoint
0000011C 00 10 00 00       // BaseOfCode

Magic 是 0x010B 表明这个 image 文件是 32 位的 PE32 格式，这里看出 linker 的版本是 10.00

.text 节的 size 是 0x00003C00 bytes，.data 节的 size 是 0x00012000 bytes，还有一个重要的信息，代码的 RVA 入口在 0x0001120D，它是基于 ImageBase 的RVA 值。代码的基址在 0x00001000，这个是 RVA（Relative Virtual Address）值。

下面再来看一看 IMAGE_OPTIONAL_HEADER32 结构的附加域：

Offset	Size	Field	Description
24	4	BaseOfData	The address that is relative to the image base of the beginning-of-data section when it is loaded into memory.
28/24	4/8	ImageBase	The preferred address of the first byte of image when loaded into memory; must be a multiple of 64 K. The default for DLLs is 0x10000000. The default for Windows CE EXEs is 0x00010000. The default for Windows NT, Windows 2000, Windows XP, Windows 95, Windows 98, and Windows Me is 0x00400000.
32/32	4	SectionAlignment	The alignment (in bytes) of sections when they are loaded into memory. It must be greater than or equal to FileAlignment. The default is the page size for the architecture.
36/36	4	FileAlignment	The alignment factor (in bytes) that is used to align the raw data of sections in the image file. The value should be a power of 2 between 512 and 64 K, inclusive. The default is 512. If the SectionAlignment is less than the architecture’s page size, then FileAlignment must match SectionAlignment.
40/40	2	MajorOperatingSystemVersion	The major version number of the required operating system.
42/42	2	MinorOperatingSystemVersion	The minor version number of the required operating system.
44/44	2	MajorImageVersion	The major version number of the image.
46/46	2	MinorImageVersion	The minor version number of the image.
48/48	2	MajorSubsystemVersion	The major version number of the subsystem.
50/50	2	MinorSubsystemVersion	The minor version number of the subsystem.
52/52	4	Win32VersionValue	Reserved, must be zero.
56/56	4	SizeOfImage	The size (in bytes) of the image, including all headers, as the image is loaded in memory. It must be a multiple of SectionAlignment.
60/60	4	SizeOfHeaders	The combined size of an MS?DOS stub, PE header, and section headers rounded up to a multiple of FileAlignment.
64/64	4	CheckSum	The image file checksum. The algorithm for computing the checksum is incorporated into IMAGHELP.DLL. The following are checked for validation at load time: all drivers, any DLL loaded at boot time, and any DLL that is loaded into a critical Windows process.
68/68	2	Subsystem	The subsystem that is required to run this image. For more information, see “Windows Subsystem” later in this specification.
70/70	2	DllCharacteristics	For more information, see “DLL Characteristics” later in this specification.
72/72	4/8	SizeOfStackReserve	The size of the stack to reserve. Only SizeOfStackCommit is committed; the rest is made available one page at a time until the reserve size is reached.
76/80	4/8	SizeOfStackCommit	The size of the stack to commit.
80/88	4/8	SizeOfHeapReserve	The size of the local heap space to reserve. Only SizeOfHeapCommit is committed; the rest is made available one page at a time until the reserve size is reached.
84/96	4/8	SizeOfHeapCommit	The size of the local heap space to commit.
88/104	4	LoaderFlags	Reserved, must be zero.
92/108	4	NumberOfRvaAndSizes	The number of data-directory entries in the remainder of the optional header. Each describes a location and size.

上面表格中的 offset 值两个，前面的是 IMAGE_OPTIONAL_HEADER32 的 offset 值，后面的是 IMAGE_OPTIONAL_HEADER64，这是因为在 64 位版本中一些域被扩展为 64 位值，而 BaseOfData 域在 64 位版中是不存在的。

下面是 helloworld.exe 的 IMAGE_OPTIONAL_HEADER32 剩余部分，从 0x00000120 - 0x000001E7

00000120 00 10 00 00           // BaseOfData
00000124 00 00 40 00           // ImageBase
00000128 00 10 00 00           // SectionAlignment
0000012C 00 02 00 00           // FileAlignment
00000130 05 00                 // MajorOperatingSystemVersion
00000132 01 00                 // MinorOperatingSystemVersion
00000134 00 00                 // MajorImageVersion
00000136 00 00                 // MinorImageVersion
00000138 05 00                 // MajorSubsystemVersion
0000013A 01 00                 // MinorSubsystemVersion
0000013C 00 00 00 00           // Win32VersionVAlue
00000140 00 90 02 00           // SizeOfImage
00000144 00 04 00 00           // SizeOfHeaders
00000148 00 00 00 00           // CheckSum
0000014C 02 00                 // Subsystem
0000014E 40 81                 // DllCharacteristics
00000150 00 00 10 00           // SizeOfStackReserve
00000154 00 10 00 00           // SizeOfStackCommit
00000158 00 00 10 00           // SizeOfHeapReserve
0000015C 00 10 00 00           // SizeOfHeapCommit
00000160 00 00 00 00           // LoaderFlags
00000164 10 00 00 00           // NumberOfRvaAndSizes

00000168 00 00 00 00           // DataDirectory[0]
0000016C 00 00 00 00
00000170 00 80 01 00           // DataDirectory[1]
00000174 50 00 00 00
00000178 00 90 01 00           // DataDirectory[2]
0000017C 1C E7 00 00
00000180 00 00 00 00           // DataDirectory[3]
00000184 00 00 00 00
00000188 00 00 00 00           // DataDirectory[4]
0000018C 00 00 00 00
00000190 00 80 02 00           // DataDirectory[5]
00000194 40 03 00 00
00000198 20 57 01 00           // DataDirectory[6]
0000019C 1C 00 00 00
000001A0 00 00 00 00           // DataDirectory[7]
000001A4 00 00 00 00
000001A8 00 00 00 00           // DataDirectory[8]
000001AC 00 00 00 00
000001B0 00 00 00 00           // DataDirectory[9]
000001B4 00 00 00 00
000001B8 00 00 00 00           // DataDirectory[10]
000001BC 00 00 00 00
000001C0 00 00 00 00           // DataDirectory[11]
000001C4 00 00 00 00
000001C8 30 82 01 00           // DataDirectory[12]
000001CC E0 01 00 00
000001D0 00 00 00 00           // DataDirectory[13]
000001D4 00 00 00 00
000001D8 00 00 00 00           // DataDirectory[14]
000001DC 00 00 00 00
000001E0 00 00 00 00           // DataDirectory[15]
000001E4 00 00 00 00

helloworld.exe 的 ImageBase 是 0x00400000，那么 helloworld.exe 映象的入口在：ImageBase + AddressOfEntryPoint = 0x00400000 + 0x0001120D =0x0041120D，这个地址是 _wWinMainCRTStartup() 的入口。

上面的 SectionAlinment 域值为 0x1000 是表示映象被加载到 virtual address 以是 0x1000（4K byte）为单位的倍数，也就是加载在 virtual address 的 4K 边界上。FileAlinment 域的值为 0x200 表示执行映象从 0x200 为边界开始加载到 virtual address 上。

2.3.1 Directory 表格

在 IMAGE_OPTIONAL_HEADER32 未端是一组 IMAGE_DATA_DIRECTORY 结构的数组，在 WinNT.h 里定义为：

//
// Directory format.
//

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

IMAGE_NUMBEROF_DIRECTORY_ENTRIES 的值为 16，因此有 16 个 Directory，Directory 结构中的 VirtualAddress 是一个 RVA 值。

这 16 个 Driectory 指引出 16 不同格式的 table，这 16 个 table 分别是：

表项	表格
0	export table
1	import table
2	resource table
3	exception table
4	certificate table
5	base relocation table
6	debug
7	architecute
8	global pointer
9	TLS table
10	load configuration table
11	bound import
12	import address table
13	delay import descriptor
14	CLR runtime header
15	reserved, must bo zero

在 WinNT.h 有对这些 table 的结构的全部定义。

在我们的实例 helloworld.exe 中使用了 5 个 Driectory，也就是使用了 5 个 Data table，它们是：

import table
resource table
base relocation table
debug table
import address table

域	import table	resource table	base relocation bale	debug table	import address table
VirtualAddress	0x00018000	0x00019000	0x00028000	0x00015720	0x00018230
size	0x50	0xE71C	0x340	0x1C	0x1E0

上面表格显示了 Directory 指示的 Data table 在 virtual address 上的位置

3. section 表

现在来看一看 helloworld.exe 的 section 表，从 0x000001E8 - 0x000002FF，共 280 bytes

这个节表结构在 WinNT.h 中定义为

//
// Section header format.
//

#define IMAGE_SIZEOF_SHORT_NAME 8

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

#define IMAGE_SIZEOF_SECTION_HEADER 40

每个 section 表的大小为 40 bytes，section 表的作用是指出 image 映象 section 所在

在 helloworld.exe 映象的 IMAGE_FILE_HEADER 结构的 NumberOfSections 域里已经指出 helloworld.exe 映象中包含有 7 个 sections，因此整个 section 表的大小为：280 bytes

helloworld.exe 的 section 表如下：

这 7 个 section 分别是：

.textbss 节
.text 节
.rdata 节
.data 节
.idata 节
.rsrc 节
.reloc 节

域	.textbss 节	.text 节	.rdata 节	.data 节	.idata 节	.rsrc 节	.reloc 节
VirtualSize	0x00010000	0x00003BDB	0x00001CD1	0x00000764	0x00000AAE	0x0000E71C	0x00000564
VirtualAddress	0x00001000	0x00011000	0x00015000	0x00017000	0x00018000	0x00019000	0x00028000
SizeOfRawData	0	0x00003C00	0x00001E00	0x00000200	0x00000C00	0x0000E800	0x00000600
PointerToRawData	0	0x00000400	0x00004000	0x00005E00	0x00006000	0x00006C00	0x00015400
PointerToRelocations	0	0	0	0	0	0	0
PointerToLinenumbers	0	0	0	0	0	0	0
NumberOfRelocations	0	0	0	0	0	0	0
NumberOfLinenumbers	0	0	0	0	0	0	0
Characteristics	0xE00000A0	0x60000020	0x40000040	0xC0000040	0xC0000040	0x40000040	0x42000040

IMAGE_SECTION_HEADER 结构里的 name 指出 section 的名字，这个 section 名 8 个节字长。

VirtualAddress 是一个基于 ImageBase 的 RVA 值，它指出 section 的所在，VirtualSize 指出 section 的大小，SizeOfRawData 是在 image 文件里占有的空间，它是 FileAlignment 的倍数，即：0x200 的倍数，也就是说 0x200 的边界。PointerToRawData 是 section 在 image 文件的位置，同样也是 FileAligment 即：0x200 边界上。

转：http://www.mouseos.com/windows/PE_image1.html

你可能感兴趣的:(windows,文件格式)

linux sdl windows.h,Windows下的SDL安装奔跑吧linux内核 linux sdl windows.h
首先你要下载并安装SDL开发包。如果装在C盘下，路径为C:\SDL1.2.5如果在WINDOWS下。你可以按以下步骤：1.打开VC++，点击"Tools",Options2,点击directories选项3.选择"Includefiles"增加一个新的路径。"C:\SDL1.2.5\include"4，现在选择"Libaryfiles“增加"C:\SDL1.2.5\lib"现在你可以开始编写你的第
将cmd中命令输出保存为txt文本文件落难Coder Windows cmd window
最近深度学习本地的训练中我们常常要在命令行中运行自己的代码，无可厚非，我们有必要保存我们的炼丹结果，但是复制命令行输出到txt是非常麻烦的，其实Windows下的命令行为我们提供了相应的操作。其基本的调用格式就是：运行指令>输出到的文件名称或者具体保存路径测试下，我打开cmd并且ping一下百度：pingwww.baidu.com>./data.txt看下相同目录下data.txt的输出：如果你再
PHP环境搭建详细教程好看资源平台前端 php
PHP是一个流行的服务器端脚本语言，广泛用于Web开发。为了使PHP能够在本地或服务器上运行，我们需要搭建一个合适的PHP环境。本教程将结合最新资料，介绍在不同操作系统上搭建PHP开发环境的多种方法，包括Windows、macOS和Linux系统的安装步骤，以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类：集成开发环境：例如XAMPP、WAMP、MAMP，这
Python 实现图片裁剪（附代码） | Python工具剑客阿良_ALiang
前言本文提供将图片按照自定义尺寸进行裁剪的工具方法，一如既往的实用主义。环境依赖ffmpeg环境安装，可以参考我的另一篇文章：windowsffmpeg安装部署_阿良的博客-CSDN博客本文主要使用到的不是ffmpeg，而是ffprobe也在上面这篇文章中的zip包中。ffmpy安装：pipinstallffmpy-ihttps://pypi.douban.com/simple代码不废话了，上代码
2023最详细的Python安装教程（Windows版本）程序员林哥 Python python windows 开发语言
python安装是学习pyhon第一步，很多刚入门小白不清楚如何安装python，今天我来带大家完成python安装与配置，跟着我一步步来，很简单，你肯定能完成。第一部分：python安装（一）准备工作1、下载和安装python(认准官方网站)当然你不想去下载的话也可以分享给你，还有入门学习教程，点击下方卡片跳转进群领取（二）开始安装对于Windows操作系统，可以下载“executableins
非对称加密算法原理与应用2——RSA私钥加密文件私语茶馆云部署与开发架构及产品灵感记录 RSA2048 私钥加密
作者：私语茶馆1.相关章节（1）非对称加密算法原理与应用1——秘钥的生成-CSDN博客第一章节讲述的是创建秘钥对，并将公钥和私钥导出为文件格式存储。本章节继续讲如何利用私钥加密内容，包括从密钥库或文件中读取私钥，并用RSA算法加密文件和String。2.私钥加密的概述本文主要基于第一章节的RSA2048bit的非对称加密算法讲述如何利用私钥加密文件。这种加密后的文件，只能由该私钥对应的公钥来解密。
windows下python opencv ffmpeg读取摄像头实现rtsp推流拉流图像处理大大大大大牛啊 opencv实战代码讲解视觉图像项目 windows python opencv
windows下pythonopencvffmpeg读取摄像头实现rtsp推流拉流整体流程1.下载所需文件1.1下载rtsp推流服务器1.2下载ffmpeg2.开启RTSP服务器3.opencv读取摄像头并调用ffmpeg进行推流4.opencv进行拉流5.opencv异步拉流整体流程1.下载所需文件1.1下载rtsp推流服务器下载RTSP服务器下载页面https://github.com/blu
编译Windows平台的Nginx+ngx_http_proxy_connect_module Grovvy_Deng windows nginx http
编译Windows平台的Nginx+ngx_http_proxy_connect_module背景：由于公司的正向出局代理是windows机器。机器上的Squid不稳定，打算替换成nginx+ngx_http_proxy_connect_module实现。通过几天痛苦的尝试，最后参考了github大神项目通过在线CICD工具编译window平台可用的ng。步骤：获取git可识别的patch由于CI
关闭Windows自动更新的6种方法 Gemini1995 windows
在Windows操作系统中，可以使用多种方法来关闭自动更新。以下是其中一些常用的方法：使用设置应用：打开“设置”应用（Win+I），选择“更新和安全”。在左侧菜单中选择“Windows更新”。点击“更改活动时间”或“高级选项”。在“更新选项”下拉菜单中选择“通知我但不自动下载或安装”或“从不检查更新”。通过服务管理器：打开“服务”管理器，可以通过在运行对话框中输入services.msc来打开。找
【nginx】ngx_http_proxy_connect_module 正向代理等风来不如迎风去网络服务入门与实战 nginx http 运维
50.65无法访问服务器，(403错误)50.196可以访问服务器。那么，配置65通过196访问。需要一个nginx作为代理【nginx】搭配okhttp配置反向代理发送原生的nginx是不支持okhttp的CONNECT请求的。大神竟然给出了一个java工程GINX编译ngx_http_proxy_connect_module及做正向代理是linux构建的。是windows构建的：编译Windo
Windows安装ciphey编码工具，附一道ciscn编码题例 im-Miclelson CTF工具网络安全
TA是什么一款智能化的编码分析解码工具，对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位（最新的版本不兼容，32位的也不行）PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件，r修改成rb即可。使用标准语
Python程序打包指南：手把手教你一步步完成 Python_P叔 python 数据库开发语言
最近感兴趣想将开发的项目转成Package，研究了一下相关文章，并且自己跑通了，走了一下弯路，这里记录一下如何打包一个简单的Python项目，展示如何添加必要的文件和结构来创建包，如何构建包，以及如何将其上传到Python包索引（PyPI）。首先要确保安装最新版本：#Unix/macOSpython3-mpipinstall--upgradepip#windowspy-mpipinstall--u
管理员权限的软件不能开机自启动的解决方法 ss_ctrl
这是几种解决方法：1.将启动参数写入到32位注册表里面去在64位系统下我们64位的程序访问此HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run注册表路径，是可以正确访问的，32位程序访问此注册表路径时，默认会被系统自动映射到HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft
matlab游标标注移动,matlab实现图形窗口的数据游标莫白想 matlab游标标注移动
DatacursorsforfigurewindowSeveralrelatedfunctions:CreateCursorsetsupaverticalcursoronallaxesinafigure.Thecursorscanbemovedaroundusingthemouse.MultiplecursorsaresupportedineachfigureGetCursorLocationre
TA-Lib Python 库 Windows 64位安装包黄桥壮Quinn
TA-LibPython库Windows64位安装包TA.rar项目地址:https://gitcode.com/open-source-toolkit/3ff39简介本仓库提供了一个适用于Windows64位系统的TA-LibPython库安装包。TA-Lib是一个广泛用于金融技术分析的库，支持多种技术指标的计算。资源文件文件名TA-Lib-0.4.29-cp312-win-amd64.whl描
WORD批量转换器MultiDoc Converter uolian 工作 word
WORD批量转换器MultiDocConverterhttps://www.52pojie.cn/thread-1318745-1-1.html可批量将doc、docx等文件格式转成doc、docx、pdf、rtf、txt、html、epub等格式。安装包下载地址：https://wws.lanzouj.com/irvVbiz0pkd最终下载文件打包地址（未作成单文件，不确定是否可以直接使用）：h
【Python爬虫】百度百科词条内容 PokiFighting 数据处理 python 爬虫开发语言
词条内容我这里随便选取了一个链接，用的是FBI的词条importurllib.requestimporturllib.parsefromlxmlimportetreedefquery(url):headers={'user-agent':'Mozilla/5.0(WindowsNT6.1;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/80.
如何避免学习linux必然会遇到的几个问题 twintwin
相信在看这篇文章的都是对linux系统所迷的志同道合的人，不管你是刚开始学，还是已经接触过一些linux的知识，下面的问题是你在学习linux所必须遇到的，若是没有的话那我只能说大神我服你了。下面我就作为一个过来人分享下我学习后的经验。一、无法摆脱Windows的思维方式相信大家接触电脑的时候都是从windows开始，windows的思维方式已经根深蒂固。不过现在你已经打算开始学习linux了，就
两种方法判断Python的位数是32位还是64位 sanqima Python编程电脑 python 开发语言
Python从1991年发布以来，凭借其简洁、清晰、易读的语法、丰富的标准库和第三方工具，在Web开发、自动化测试、人工智能、图形识别、机器学习等领域发展迅猛。 Python是一种胶水语言，通过Cython库与C/C++语言进行链接，通过Jython库与Java语言进行链接。 Python是跨平台的，可运行在多种操作系统上，包括但不限于Windows、Linux和macOS。这意味着用Py
python logging模块默认日志级别_一看就懂，Python 日志 logging 模块详解及应用路易·罗莎 python logging模块默认日志级别
日志概述百度百科的日志概述：Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志
Axure移动端原型模板实例100+，APP原型设计模版，高保真高交互含大组件库默林工作室 AxureRP原型模板 axure 原型模板
作品概况页面数量：共100+页（长期更新中…）源文件格式：rp格式，兼容AxureRP9/10，非程序软件无源代码适用领域：APP、小程序、H5作品特色本品为「移动端原型模板实例100+」，属于APP+H5+小程序的页面实例原型模板，主要运用了中继器＋动态面板，栏目丰富样式多多，高保真高交互高复用（带仿真交互），可以快速组装成美观大方的原型图。该原型模板的页面尺寸为375×812像素，推荐演示设备
《黑神话：悟空》游戏AkExpander.dll文件缺失，使用工具修复更快捷李秋秋啊游戏
在Windows操作系统中，当遇到“黑神话：悟空”游戏中的AkExpander.dll文件丢失问题时，用户可能会经历游戏启动失败或运行中断的情况。这个DLL文件是游戏正常运行所必需的，缺失或损坏会导致关键功能无法执行，影响游戏体验。针对《黑神话：悟空》游戏中AkExpander.dll文件缺失的问题，您可以尝试以下几种解决方法：一、重新安装游戏首先，考虑卸载当前安装的游戏版本，并从官方渠道重新下载
MySQL数据库全面学习之（上篇）一心只为学数据库 mysql 学习
Windows服务--启动MySQLnetstartmysql--创建Windows服务sccreatemysqlbinPath=mysqld_bin_path(注意：等号与值之间有空格)连接与断开服务器mysql-h地址-P端口-u用户名-p密码SHOWPROCESSLIST--显示哪些线程正在运行SHOWVARIABLES--显示系统变量信息数据库操作--查看当前数据库SELECTDATABA
技术周总结 09.09~09.15周日(C# WinForm WPF) 打破砂锅问到底007 wpf c#WinForm
文章目录一、09.09周一1.1)问题01:Windows桌面开发中，WPF和WinForm的区别和联系？联系：区别：二、09.12周四2.1）问题01：visualstudio的相关快捷键有哪些？通用快捷键编辑导航调试窗口管理2.2）问题02：publicpartialclassChoosePLReason:CommonBaseForm2.3)问题03：介绍WindowsForms中的Syste
xp系统打开计算机硬盘分区,详解WindowsXP硬盘分区步骤随缘惜情 xp系统打开计算机硬盘分区
有许多游戏玩家对经典的WinXP系统非常忠实，即使重新购买了一台超强配置的电脑，依然选择安装WinXP系统，因为WinXP对很多老游戏兼容性更强，游戏玩家也对硬盘的分配非常讲究，因为每一款好玩的游戏容量都是非常庞大，而如果硬盘容量太小的话就装不了几款游戏了，所以许多用户喜欢将其它硬盘容量都分配到一个比较大的分区内，若是Win7就可以非常直观的自动分配，而在WinXP系统下该如何实现呢?下面一起来认
什么是 PHP? 为什么用 PHP? 谁在用 PHP? m0_37438181 永远学习 php 开发语言
一、什么是PHP？PHP（HypertextPreprocessor，超文本预处理器）是一种广泛应用于Web开发的通用开源脚本语言。PHP主要用于服务器端编程，可以嵌入HTML中，与数据库进行交互，生成动态网页内容。它具有以下特点：简单易学：语法相对简单，容易上手，对于初学者来说是一个不错的选择。跨平台性：可以在多种操作系统上运行，如Windows、Linux、Unix等。丰富的函数库：提供了大量
Windows多版本python共存翟光 Python Python
1.简介Python自从进入3.x版本后，与2.x的版本发生了许多变化，3.x对2.x也不兼容。在实际应用中，可能会2.x和3.x的版本交叉应用，因此，需要在本地安装多个版本的Python。本处介绍一种在Windows系统下安装多个不同版本的python的方法，安装后无需进行任何特殊的处理（例如将python.exe更名为python2.exe什么的）即可使用。2.安装环境本人的安装环境如下：系统
gs3101光猫改桥接及路由器pppie拨号设置 xing2zhe3wujiang1 路由器网络
1)改桥接1连接光猫发出的WiFi，并访问192.168.1.1输入光猫背面提供的账号密码，保持登录。2打开新页面并访问192.168.1.1/cgi-bin/getGateWay.cgiFamilyGateWayYes/No#如果第二行显示No，再次刷新浏览器就可以了3在控制面板-程序和功能-启动或关闭Windows功能选中Telnet4输入telnet192.168.1.1tclogin：ad
操作系统简介像风一样自由2020 操作系统 linux ubuntu windows harmonyos
操作系统简介操作系统（OperatingSystem，简称OS）是管理计算机硬件和软件资源的系统软件，为用户和应用程序提供接口。现今，操作系统种类繁多，主要分为桌面操作系统、服务器操作系统和移动操作系统等。以下是对目前存在的主要操作系统的详细介绍。1.Windows简介：Windows是由微软公司开发的系列图形界面操作系统，是全球使用最广泛的桌面操作系统之一。最新版本：截至2023年10月，最新版
ios私钥证书(p12)导入失败，Windows OpenSSl 1.1.1 下载书边事. 其他
ios私钥证书(p12)导入失败如果你用的OpenSSL版本是v3那么恭喜你V3必然报这个错，解决办法将OpenSSL3降低成v1。WindowsOpenSSl1.1.1下载阿里云网盘下载地址：OpenSSLV1
log4j对象改变日志级别 3213213333332132 java log4j level log4j对象名称日志级别
log4j对象改变日志级别可批量的改变所有级别，或是根据条件改变日志级别。 log4j配置文件： log4j.rootLogger=ERROR,FILE,CONSOLE,EXECPTION #log4j.appender.FILE=org.apache.log4j.RollingFileAppender log4j.appender.FILE=org.apache.l
elk+redis 搭建nginx日志分析平台 ronin47 elasticsearch kibana logstash
elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎么进行nginx的日志分析呢？首先，架构方面，nginx是有日志文件的，它的每个请求的状态等都有日志文件进行记录。其次，需要有个队列，redis的l
Yii2设置时区 dcj3sjt126com PHP timezone yii2
时区这东西，在开发的时候，你说重要吧，也还好，毕竟没它也能正常运行，你说不重要吧，那就纠结了。特别是linux系统，都TMD差上几小时，你能不痛苦吗？win还好一点。有一些常规方法，是大家目前都在采用的1、php.ini中的设置，这个就不谈了，2、程序中公用文件里设置，date_default_timezone_set一下时区3、或者。。。自己写时间处理函数，在遇到时间的时候，用这个函数处理（比较
js实现前台动态添加文本框，后台获取文本框内容 171815164 文本框
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://w
持续集成工具 g21121 持续集成
持续集成是什么？我们为什么需要持续集成？持续集成带来的好处是什么？什么样的项目需要持续集成？... 持续集成(Continuous integration ,简称CI)，所谓集成可以理解为将互相依赖的工程或模块合并成一个能单独运行
数据结构哈希表(hash)总结永夜-极光数据结构
1.什么是hash 来源于百度百科: Hash，一般翻译做“散列”，也有直接音译为“哈希”的，就是把任意长度的输入，通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
乱七八糟程序员是怎么炼成的
eclipse中的jvm字节码查看插件地址： http://andrei.gmxhome.de/eclipse/ 安装该地址的outline 插件后重启，打开window下的view下的bytecode视图 http://andrei.gmxhome.de/eclipse/ jvm博客： http://yunshen0909.iteye.com/blog/2
职场人伤害了“上司” 怎样弥补 aijuans 职场
由于工作中的失误，或者平时不注意自己的言行“伤害”、“得罪”了自己的上司，怎么办呢？　　在职业生涯中这种问题尽量不要发生。下面提供了一些解决问题的建议：　　一、利用一些轻松的场合表示对他的尊重　　即使是开明的上司也很注重自己的权威，都希望得到下属的尊重，所以当你与上司冲突后，最好让不愉快成为过去，你不妨在一些轻松的场合，比如会餐、联谊活动等，向上司问个好，敬下酒，表示你对对方的尊重，
深入浅出url编码 antonyup_2006 应用服务器浏览器 servlet weblogic IE
出处：http://blog.csdn.net/yzhz 杨争 http://blog.csdn.net/yzhz/archive/2007/07/03/1676796.aspx 一、问题：编码问题是JAVA初学者在web开发过程中经常会遇到问题，网上也有大量相关的
建表后创建表的约束关系和增加表的字段百合不是茶标的约束关系增加表的字段
下面所有的操作都是在表建立后操作的,主要目的就是熟悉sql的约束,约束语句的万能公式 1,增加字段(student表中增加姓名字段) alter table 增加字段的表名 add 增加的字段名增加字段的数据类型 alter table student add name varchar2(10); &nb
Uploadify 3.2 参数属性、事件、方法函数详解 bijian1013 JavaScript uploadify
一.属性属性名称默认值说明 auto true 设置为true当选择文件后就直接上传了，为false需要点击上传按钮才上传。 buttonClass ” 按钮样式 buttonCursor ‘hand’ 鼠标指针悬停在按钮上的样子 buttonImage null 浏览按钮的图片的路
精通Oracle10编程SQL(16)使用LOB对象 bijian1013 oracle 数据库 plsql
/* *使用LOB对象 */ --LOB(Large Object)是专门用于处理大对象的一种数据类型，其所存放的数据长度可以达到4G字节 --CLOB/NCLOB用于存储大批量字符数据，BLOB用于存储大批量二进制数据，而BFILE则存储着指向OS文件的指针 /* *综合实例 */ --建立表空间 --#指定区尺寸为128k,如不指定，区尺寸默认为64k CR
【Resin一】Resin服务器部署web应用 bit1129 resin
工作中，在Resin服务器上部署web应用，通常有如下三种方式：配置多个web-app 配置多个http id 为每个应用配置一个propeties、xml以及sh脚本文件配置多个web-app 在resin.xml中,可以为一个host配置多个web-app <cluster id="app&q
red5简介及基础知识白糖_ 基础
简介 Red5的主要功能和Macromedia公司的FMS类似，提供基于Flash的流媒体服务的一款基于Java的开源流媒体服务器。它由Java语言编写，使用RTMP作为流媒体传输协议，这与FMS完全兼容。它具有流化FLV、MP3文件，实时录制客户端流为FLV文件，共享对象，实时视频播放、Remoting等功能。用Red5替换FMS后,客户端不用更改可正
angular.fromJson boyitech AngularJS AngularJS 官方API AngularJS API
angular.fromJson 描述: 把Json字符串转为对象使用方法: angular.fromJson(json); 参数详解: Param Type Details json string JSON 字符串返回值: 对象, 数组, 字符串或者是一个数字示例: <!DOCTYPE HTML> <h
java-颠倒一个句子中的词的顺序。比如： I am a student颠倒后变成：student a am I bylijinnan java
public class ReverseWords { /** * 题目：颠倒一个句子中的词的顺序。比如： I am a student颠倒后变成：student a am I.词以空格分隔。 * 要求： * 1.实现速度最快,移动最少 * 2.不能使用String的方法如split,indexOf等等。 * 解答：两次翻转。 */ publ
web实时通讯 Chen.H Web 浏览器 socket 脚本
关于web实时通讯，做一些监控软件。由web服务器组件从消息服务器订阅实时数据，并建立消息服务器到所述web服务器之间的连接，web浏览器利用从所述web服务器下载到web页面的客户端代理与web服务器组件之间的socket连接，建立web浏览器与web服务器之间的持久连接；利用所述客户端代理与web浏览器页面之间的信息交互实现页面本地更新，建立一条从消息服务器到web浏览器页面之间的消息通路
[基因与生物]远古生物的基因可以嫁接到现代生物基因组中吗? comsci 生物
大家仅仅把我说的事情当作一个IT行业的笑话来听吧..没有其它更多的意思如果我们把大自然看成是一位伟大的程序员,专门为地球上的生态系统编制基因代码,并创造出各种不同的生物来,那么6500万年前的程序员开发的代码,是否兼容现代派的程序员的代码和架构呢?
oracle 外部表 daizj oracle 外部表 external tables
oracle外部表是只允许只读访问，不能进行DML操作，不能创建索引，可以对外部表进行的查询，连接，排序，创建视图和创建同义词操作。 you can select, join, or sort external table data. You can also create views and synonyms for external tables. Ho
aop相关的概念及配置 daysinsun AOP
切面(Aspect): 通常在目标方法执行前后需要执行的方法（如事务、日志、权限），这些方法我们封装到一个类里面，这个类就叫切面。连接点（joinpoint） spring里面的连接点指需要切入的方法，通常这个joinpoint可以作为一个参数传入到切面的方法里面（非常有用的一个东西）。通知（Advice）通知就是切面里面方法的具体实现，分为前置、后置、最终、异常环
初一上学期难记忆单词背诵第二课 dcj3sjt126com english word
middle 中间的，中级的 well 喔，那么；好吧 phone 电话，电话机 policeman 警察 ask 问 take 拿到；带到 address 地址 glad 高兴的，乐意的 why 为什么 China 中国 family 家庭 grandmother (外)祖母 grandfather (外)祖父 wife 妻子 husband 丈夫 da
Linux日志分析常用命令 dcj3sjt126com linux log
1.查看文件内容 cat -n 显示行号 2.分页显示 more Enter 显示下一行空格显示下一页 F 显示下一屏 B 显示上一屏 less /get 查询"get"字符串并高亮显示 3.显示文件尾 tail -f 不退出持续显示 -n 显示文件最后n行 4.显示头文件 head -n 显示文件开始n行 5.内容排序 sort -n 按照
JSONP 原理分析 fantasy2005 JavaScript jsonp jsonp 跨域
转自 http://www.nowamagic.net/librarys/veda/detail/224 JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中，有一个很重要的安全性限制，被称为“Same-Origin Policy”（同源策略）。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制，即JavaScript只能访问与包含它的
使用connect by进行级联查询 234390216 oracle 查询父子 Connect by 级联
使用connect by进行级联查询 connect by可以用于级联查询，常用于对具有树状结构的记录查询某一节点的所有子孙节点或所有祖辈节点。来看一个示例，现假设我们拥有一个菜单表t_menu，其中只有三个字段：
一个不错的能将HTML表格导出为excel,pdf等的jquery插件 jackyrong jquery插件
发现一个老外写的不错的jquery插件，可以实现将HTML 表格导出为excel,pdf等格式，地址在： https://github.com/kayalshri/ 下面看个例子，实现导出表格到excel,pdf <html> <head> <title>Export html table to excel an
UI设计中我们为什么需要设计动效 lampcy UI UI设计
关于Unity3D中的Shader的知识首先先解释下Unity3D的Shader，Unity里面的Shaders是使用一种叫ShaderLab的语言编写的，它同微软的FX文件或者NVIDIA的CgFX有些类似。传统意义上的vertex shader和pixel shader还是使用标准的Cg/HLSL 编程语言编写的。因此Unity文档里面的Shader，都是指用ShaderLab编写的代码，
如何禁止页面缓存 nannan408 html jsp cache
禁止页面使用缓存~ ------------------------------------------------ jsp:页面no cache： response.setHeader("Pragma","No-cache"); response.setHeader("Cache-Control","no-cach
以代码的方式管理quartz定时任务的暂停、重启、删除、添加等 Everyday都不同定时任务管理 spring-quartz
【前言】在项目的管理功能中，对定时任务的管理有时会很常见。因为我们不能指望只在配置文件中配置好定时任务就行了，因为如果要控制定时任务的 “暂停” 呢？暂停之后又要在某个时间点 “重启” 该定时任务呢？或者说直接 “删除” 该定时任务呢？要改变某定时任务的触发时间呢？ “添加” 一个定时任务对于系统的使用者而言，是不太现实的，因为一个定时任务的处理逻辑他是不
EXT实例 tntxia ext
（1）增加一个按钮 JSP: <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <% String path = request.getContextPath(); Stri
数学学习在计算机研究领域的作用和重要性 xjnine Math
最近一直有师弟师妹和朋友问我数学和研究的关系，研一要去学什么数学课。毕竟在清华，衡量一个研究生最重要的指标之一就是paper,而没有数学，是肯定上不了世界顶级的期刊和会议的，这在计算机学界尤其重要！你会发现，不论哪个领域有价值的东西，都一定离不开数学！在这样一个信息时代，当google已经让世界没有秘密的时候，一种卓越的数学思维，绝对可以成为你的核心竞争力. 无奈本人实在见地