pe格式查看(pe格式的护理诊断)

PE工具有很多，像LordPE，Stud_PE，等等，像这些工具可以查看那PE文件的基本结构，也可以修改PE文件。 如果出于学习目的的话，还是直接用16进制编辑工具吧，比如UltraEdit。 改PE的话，用那些工具足矣。点个两三下就能填个节。16进制编辑器改PE的话，要非常熟悉PE结构，这个结构在winnt.h中有定义，建议你把整体结构组织一下，打印一份，对照每个结构的偏移，看PE文件的16进制码，很快PE就不在话下了。

PE格式的开头是两个字母"MZ" 也就是十六进制的4D 5A 然后根据DOS头里面NT头的偏移找 （NT头在DOS头的偏移是3C） 能找到就是PE文件 找不到就不是
费解
什么格式？我头一次听说

exescope。

PE文件格式 1.PE文件的含义PE文件的意思是Portable Executable(可移植,可执行),它是win32可执行文件的标准格式.它的一些特性继承unix的COFF文件格式,同时保留了与旧版MS-DOS和WINDOWS的兼容.其可移植可执行意味着是跨win32平台的.2.PE文件的层次结构PE文件最前面紧随DOS MZ文件头的是一个DOS可执行文件(Stub).这使得PE文件成为一个合法的MS-DOS可执行文件.DOS MZ文件头后面是一个32位的PE文件标志0x50450000(IMAGE_NT_SIGNATURE),即PE00.接下来的是PE的映像文件头,包含的信息有该程序的运行平台,有多少个节,文件链接的时间,文件的命名格式.后面还紧跟一个可选映像头,包含PE文件的逻辑分布信息,程序加载信息,开始地址,保留的堆栈数量,数据段大小等.可选头还有一个重要的域,称为:数据目录表"的数组,表的每一项都是指向某一节的指针.可选映像头后面紧跟的是节表和节.节通过节表来实现索引.实际上,节的内容才是真正执行的数据和程序.每一个节都有相关的标志.每一个节会被一个或多个目录表指向,目录表可通过可选头的"数据目录表"的入口找到.就像输出函数表或基址重定位表.也存在没有目录表指向的节.3.PE文件层次解释A.DOS STUB和DOS头DOS插桩程序在大多数情况下由汇编器/编译器自动产生.通常它调用INT 21H服务9来显示上述字符串.可以通过IMAGE_DOS_HEADER结构来识别一个合法的DOS头.这个结构的头两个字节肯定是"MZ".可通过该结构的e_lfanew成员来找到PE文件的开始标志.MS-DOS头部占据了PE文件的头64个字节.在微软的WINNT.H中可以找到其内容结构的描述.B.PE文件头在DOS STUB后是PE文件头(PE header).PE文件头是PE相关结构IMGAE_NT_HEADERS的简称,即NT映像头,存放PE整个文件信息发布的重要字段,包含了PE装载器用到的重要域.执行体在操作系统中执行时,PE装载器将从DOS MZ头中找到PE头文件的起始偏移量e_lfanew,从而跳过DOS STUB直接定位真正的PE文件.它由3部分组成:(1)PE文件标志(4H字节)PE文件标志0x50450000即PE00,标志着NT映像头的开始,也是PE文件中与windows有关内容的开始.(2)映像文件(14H字节)是NT映像文件的主要部分,包含PE文件的基本信息(3)可选映像头包含PE文件的逻辑分布信息.C.节表节表其实是紧跟NT映像文件的一个结构数组.其成员数目由映像文件头结构NumberOFSectios域的值来决定.D.节 PE文件的真正内容划分为块,称之为节.节的划分基于各组数据的共同属性.惟有节的属性设置决定了节的特性和功能.典型的windows NT应用程序可以具有9个节:.texr,.bss.rdata,.data,.rsrc,edata,idata,pdata,.debug
PE文件被称为可移植的执行体是Portable Execute的全称，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件（可能是间接被执行，如DLL） 详细的信息到http://baike.baidu.com/view/1087038.htm 查看

可以通过pe备份数据库文件。用光盘启动，选取PE启动；在PE中打开‘我的电脑’找到你放数据库的哪个盘也就是C盘，找到要的数据库把复制出来到别的盘就可以了。 数据库的日志文件一般分为两大类：文本存储、二进制存储。1.对于文本存储的日志文件，仅仅需要找到该日志文件的存储位置即可，它一般是以纯文本的格式存储，可以直接查看。2.而对于二进制存储结构的日志文件的解析就没那么简单了，在读取的过程中有时会出现乱码或不能识别等情况，这就需要借助一些其他的工具和手段来完成。