PE结构

最新推荐文章于 2024-02-28 17:03:41 发布
最新推荐文章于 2024-02-28 17:03:41 发布
阅读量1k 收藏
点赞数
分类专栏: hack基地 文章标签: header image 磁盘 dos struct file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaron_xyt/article/details/7590799
版权

PE:
在winNT.h的image  format定义
PE文件映射到内存的映射比例规则形成虚拟地址
Win API:HMODULE GetModulleHandle(LPCTSTR IpModuleName)
句柄获取PE基地址

PE文件结构:
.text:指令代码
rdata:只读数据
data:初始化数据块
idata:包含其他外来DLL函数及数据信息(即输入表)
rsrc:全部资源
不同块在磁盘和内存中空隙部分填充大小不一样
PE优点:在磁盘上的数据结构与在内存中的结构一致
加壳:在磁盘中PE文件结构加密使其混乱,但是在内存中要执行时恢复


PE相关名词:
入口点:oep(original entry point)
文件偏移地址:存储在磁盘上的pe各数据地址
虚拟地址(VA):逻辑地址,由于windows保护机制
  段选择子:虚拟地址
基地址:vc++建立的exe文件基地址默认00400000h
    dll文件基地址:10000000h
工具:PE Editor

结构如图:


图片

在winnt.h中的定义:

//dos头部  _IMAGE_DOS_HEADER
(EA)  typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
+0h      WORD   e_magic;                     // Magic number  //DOS可执行文件标记  存放2个字节MZ(4Dh  5Ah)
      WORD   e_cblp;                      // Bytes on last page of file
      WORD   e_cp;                        // Pages in file
      WORD   e_crlc;                      // Relocations
      WORD   e_cparhdr;                   // Size of header in paragraphs
      WORD   e_minalloc;                  // Minimum extra paragraphs needed
      WORD   e_maxalloc;                  // Maximum extra paragraphs needed
      WORD   e_ss;                        // Initial (relative) SS value
      WORD   e_sp;                        // Initial SP value
      WORD   e_csum;                      // Checksum
      WORD   e_ip;                        // Initial IP value
      WORD   e_cs;                        // Initial (relative) CS value
WORD e_lfarlc; // File address of relocation table
      WORD   e_ovno;                      // Overlay number
      WORD   e_res[4];                    // Reserved words
      WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
WORD e_oeminfo; // OEM information; e_oemid specific
      WORD   e_res2[10];                  // Reserved words
+3Ch          LONG   e_lfanew;                    // File address of new exe header //指向PE文件头  32位指针(记载PE开始地址)
   } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

//PE文件头  _IMAGE_NT_HEADER
PNTHeader=ImageBase + dosHeader->e_lfanew

typedef struct _IMAGE_NT_HEADER {
+0h     DWORD      Signature;  //Signature  PE标志位 PE..(4550h):开始
+4h    IMAGE_FILE_HEADER   FileHeader;  //包含文件结构体
+18h   IMAGE_OPTIONAL_HEADER    OptionalHeader;
} IMAGE_NT_HEADER, *PIMAGE_NT_HEADER;

//文件结构体  _IMAGE_FILE_HEADER
typedef struct _IMAGE_FILE_HEADER {
     WORD    Machine;    //运行平台
     WORD    NumberOfSections;  //文件区块数目
     DWORD   TimeDateStamp;  //文件创建日期和时间
     DWORD   PointerToSymbolTable;//指向符号表(用于调试)
     DWORD   NumberOfSymbols;
     WORD    SizeOfOptionalHeader; //记载IMAGE_OPTIONAL_HEADER32结构大小(32位:00E0h,64位00F0h)
     WORD    Characteristics;  //文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

//PE文件增强结构  _IMAGE_OPTIONAL_HEADER
typedef struct _IMAGE_OPTIONAL_HEADER {
     //
     // Standard fields.  //标准部分
     //

     WORD    Magic;
     BYTE    MajorLinkerVersion;
     BYTE    MinorLinkerVersion;
     DWORD   SizeOfCode;
     DWORD   SizeOfInitializedData;
     DWORD   SizeOfUninitializedData;
+28h   DWORD   AddressOfEntryPoint; //程序执行入口 病毒修改该地址
     DWORD   BaseOfCode;
     DWORD   BaseOfData;

     //
     // NT additional fields.  //添加部分
     //

     DWORD   ImageBase; //程序首选装载地址  由windows装载器装载   exe在vc++默认00400000h /dll为10000000h(高)
+38h   DWORD   SectionAlignment;  //内存中区块对齐大小  默认1000h(即在磁盘中一页对齐大小)内存中分页机制
+3ch   DWORD   FileAlignment;   //文件中区块对齐大小  默认200h (即在磁盘中一页对齐大小)磁盘分页机制
     WORD    MajorOperatingSystemVersion;
     WORD    MinorOperatingSystemVersion;
     WORD    MajorImageVersion;
     WORD    MinorImageVersion;
     WORD    MajorSubsystemVersion;
     WORD    MinorSubsystemVersion;
     DWORD   Win32VersionValue;
     DWORD   SizeOfImage;
     DWORD   SizeOfHeaders;
     DWORD   CheckSum;
     WORD    Subsystem; //界面子系统(驱动程序/图形界面/控制台):程序类型
     WORD    DllCharacteristics;
     DWORD   SizeOfStackReserve;
     DWORD   SizeOfStackCommit;
     DWORD   SizeOfHeapReserve;
     DWORD   SizeOfHeapCommit;
     DWORD   LoaderFlags;
     DWORD   NumberOfRvaAndSizes;
+78h   IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//数据目录表(数组:16项)
    //本结构包括2个部分:起始地址+长度
    //导入表   导出表  资源....
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

PE文件到内存的映射
windows装载器在装载DOS部分、PE文件头和区块表部分时不进行任何处理,而在装载区块自动按区块不同属性做不同处理
处理以下几个方面的内容:
1.内存页的属性 (如:只读/写)
2.区块的偏移地址 //在磁盘中按照IMAGE_OPTIONAL_HEADER32结构的FileAlignment字段值进行对齐,当加载到内存按照SectionAlignment对齐
3.区块的尺寸
4.不进行映射的区块  //如.reloc节,(重定位)只是给windows装载器使用,对程序是透明的
区块(节):相同属性数据的集合

节表由一系列IMAGE_SECTION_HEADER结构排列而成

//IMAGE_SECTION_HEADER结构
typedef struct _IMAGE_SECTION_HEADER {
     BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];  //节表名,如.text
     union {
      DWORD   PhysicalAddress;
      DWORD   VirtualSize; //对应区块大小
     } Misc;
     DWORD   VirtualAddress; //装入到内存中的RVA地址  一般是1000h的整数倍
     DWORD   SizeOfRawData; //该区块在磁盘中的大小,该字段被FileAlignment潜规则掉了
     DWORD   PointerToRawData;  //该区块在磁盘中的偏移量
     DWORD   PointerToRelocations;
     DWORD   PointerToLinenumbers;
     WORD    NumberOfRelocations;
     WORD    NumberOfLinenumbers;
     DWORD   Characteristics;  //区块属性:按位指定区块属性(代码/数据/可读/可写)
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

aaron_xyt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构详解1
06-19
PE结构
详细的PE结构图(带中文解释)
09-03
最详细的PE结构图。有中文注释。最详细的PE结构图。有中文注释。
有用的Windows代码: 获取进程中加载的PE模块; 获取进程中加载的PE模块的节表
Niatruc的博客
08-19 131
来复习一下PE文件的节表
PE结构详解
whl0071的专栏
02-20 2294
文章目录 转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599) 1 基本概念 2 概览 3 文件头 3.1 DOS头(PE文件签名的偏移地址就是大小) 3.2 NT头(244或260个字节) 3.2.1 机器类型 3.2.2 特征 3.3 节头 3.3.1 节标志 4 一些注意信息 5 特殊的节 5.1 .edata节 5.1.1 导
PE文件信息获取(Win32, C++)
最新发布
FlameCyclone的博客
02-28 267
获取PE文件头信息内容
PE结构详解(加壳脱壳必备知识)
MR王峰的专栏
11-23 1万+
近期太忙一直没有抽出时间来更新文章,周末抽空写一篇关于PE结构相关知识,PE结构是windows下的可执行文件的标准结构。可执行文件的装载、内存分步、执行等都依赖于PE结构。如果要掌握反病毒、免杀、权益保护、反调试、加壳脱壳等相关知识,那了解PE结构则是重中之重。 一、PE结构概述 PE文件大致可以分为两部分,即数据管理结构及数据部分。数据管理结构包含:DOS头、PE头、节表。...
PE文件结构解析
eli的博客
12-01 6488
说明:本文件中各种文件头格式截图基本都来自看雪的《加密与解密》;本文相当《加密与解密》的阅读笔记。 1.PE文件总体结构 PE文件框架结构,就是exe文件的排版结构。也就是说我们以十六进制打开一个.exe文件,开头的那些内容就是DOS头内容,下来是PE头内容,依次类推。 如果能认识到这样的内含,那么“exe开头的内容是不是就直接是我们编写的代码”(不是,开头是DOS头内容)以及“我们编写的代码被编排到了exe文件的哪里”(在.text段,.text具体地址由其相应的IMAGE_SECTION_HR
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 5795
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
PE文件结构详解
神棍之路
07-20 8963
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构详解--(完整版)
热门推荐
adam001521的博客
11-30 3万+
(一)基本概念 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名,系统是如何判断这个文件是一个合法的动态库呢?这就涉及到PE文件结构了。 PE文件的...
PE结构图和PE结构
12-28
PE结构图 由看雪论坛得到 不知道作者是谁 PE.h 里面存放的是PE使用的结构
pe可执行文件的结构详细讲解图
01-20
pe可执行文件的结构详细讲解图,详细画出了每个section,资源段,代码段等信息,共学习pe格式的新手使用或是老手查询用。
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
学习pe结构非常好的教程
01-16
学习pe结构非常好的教程,里面有代码,写好了一个现成的loadPE,对学习pe非常有帮助
PE结构图,理清exe dll结构.zip
08-20
从网上收集的,希望对大家有帮助
PE结构图文.rar
05-06
10张PE文件格式的高清图以及微软官方PE文件结构手册,非常适合用来学习PE文件结构.有树形图及微软官方英文PE文件格式手册.十分适合用来学习
PE结构查看.rar
04-05
PE结构查看.rar
易语言PE结构查看
07-21
易语言PE结构查看源码,PE结构查看,子程序1,初始化PE基本信息,判断是否为标准PE结构,定义数据长度,计算偏差,判断是否存在输出表,判断是否存在输入表,查询PE导入表,查询PE输出表
windows pe结构
09-27
Windows PE结构是指Windows可执行文件的格式,它由DOS头、标准PE头和可选PE头组成。DOS头是Windows可执行文件的前64个字节,其中包含了e_magic和e_lfanew两个字段。e_magic是一个16位的字段,它的值为0x5A4D,用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值