PE文件结构与程序装载

已于 2022-05-09 21:15:00 修改
阅读量1.4k 收藏 10
点赞数 2
分类专栏: 逆向工程 文章标签: windows 逆向工程
于 2022-05-04 16:54:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Captain_RB/article/details/124500423
版权

PE文件结构与程序装载是掌握Windows逆向、加壳、免杀等技术的基础,本文详细记录了PE文件的基本结构,用编辑器对文件结构进行分析,并介绍程序装载的相关概念和基本过程。

参考书籍:《逆向工程核心原理》《程序员的自我修养》

文章目录

一、PE文件结构

Windows PE (Protable Executable) 文件基本结构由PE头和多个节区组成,如下图所示:
在这里插入图片描述
下面逐一说明各个部分的基本特征和作用:

(一) PE头

1.DOS头

微软在创建PE文件格式时,DOS文件正在广泛使用,为兼容DOS文件,在PE头部添加了DOS头部分,DOS头实际上是 IMAGE_DOS_HEADER 结构体,大小为64字节,定义如下所示:

typedef struct _IMAGE_DOS_HEADER {
         // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

该结构体中有2个重要成员:

  • WORD e_magic:DOS签名,固定为4D5A (“MZ”),位于DOS头的第一个部分
  • LONG e_lfanew:标识NT头的偏移,位于DOS头的最后一个部分
2.DOS存根

可选项,大小不固定,由代码和数据组成。在32/64位Windows系统中会被识别为PE格式,此时会跨过DOS存根部分;在DOS环境中系统不能识别PE文件格式,因此按照DOS文件进行解析,此时DOS存根部分的代码会被执行。

3.NT头

实际为 IMAGE_NT_HEADERS 结构体,大小为248个字节,定义如下所示:

typedef struct _IMAGE_NT_HEADERS {
   
    DWORD Signature;						     // PE Signature (“PE”00)
    IMAGE_FILE_HEADER FileHeader;			     // PE File Header
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;		 // PE Optional Header
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

该结构体中成员有3个,介绍如下:

(1) DWORD Signature:PE签名,为0x50450000 (“PE”00)

(2) IMAGE_FILE_HEADER FileHeader:该结构体大小为20个字节,定义如下所示:

typedef struct _IMAGE_FILE_HEADER {
   
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

IMAGE_FILE_HEADER结构体中又包括4种重要成员,如下所示:

WORD Machine:CPU标识,每种CPU对应唯一的Machine码,常见的如:Intel386 —> 0x014c,AMD64 —> 0x8664

WORD NumberOfSections:节区数量,PE文件按照节区的属性划分节区

WORD SizeOfOptionalHeader:标识IMAGE_OPTIONAL_HEADER32IMAGE_OPTIONAL_HEADER64结构体的长度

WORD Characteristics:文件类型,不同类型按位向或进行组合,常见如:EXE文件 —> 0x0002,DLL文件 —> 0x2000,具体如下:

#define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // Relocation info stripped from file.
#define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // File is executable  (i.e. no unresolved externel references).
#define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // Line nunbers stripped from file.
#define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // Local symbols stripped from file.
#define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010
最低0.47元/天 解锁文章
Captain_RB
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 2971
下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
WINPE自启动脚本Winpeshl.ini 和Startnet.cmd
Greless的后花园
06-07 2万+
官方文档:https://msdn.microsoft.com/zh-cn/library/windows/hardware/dn938394(v=vs.85).aspx 一,Winpeshl.ini 使用 Windows 预安装环境 (Windows PE) 中的 Winpeshl.ini 文件将默认命令提示符替换为外壳应用程序或其他应用。例如,你的外壳应用可能会为部署工程师提供 GUI,以
PE结构-3
Starr
07-05 393
PE结构-3 文章目录PE结构-39. 异常10. 安全11. 调试 9. 异常 PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。 平台不同,异常结构也不同。x64的异常结构如下: typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY { DWORD BeginAddress;...
滴水三期:day34.2-数据目录
Edimade的博客
05-04 915
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE执行流程
最新发布
SXXYNHHXX的博客
09-01 269
PE介绍
PE.rar_PE装载_portable executable
09-24
PE文件结构** PE文件由多个部分组成,包括DOS头、PE头(NT头)、节表、节等。DOS头是一个遗留自MS-DOS时代的结构,用于在不支持PE格式的系统中提供简单的错误提示。接着是PE头,它包含了COFF(Common Object File ...
PE文件格式分析及修改.doc
02-21
在装入程序时,系统会根据文件扩展名启动一个程序装载器,称之为 Loader。Loader 会首先检查 DOS MZ Header,如果存在,就继续寻找 PE header,如果这两项都不存在,就认为是 DOS 16 位代码。如果 DOS Header 和 PE ...
PE文件读取程序示例
04-14
理解PE文件结构对于编写读取或分析PE文件程序至关重要。通过这个小程序,学习者可以深入了解到如何提取PE文件中的元数据,如文件头信息、Section信息等,从而为更高级的系统级编程和逆向工程打下基础。这个过程...
OEP.rar_DLL感染_OEP_PE 感染_PE装载_oep注入
09-24
OEP感染注入呢,最主要我们要了解OEP的...当windows把一个pe文件装载完成之后,就会直接执行OEP入口,即:AddressOfEntryPoint。我们学过PE知识得知,AddressOfEntryPoint是在IMAGE_OPTIONAL_HEADER32 结构的定义里面。
PE view 详细查看PE文件工具
01-09
1. **PE文件结构概述** - **DOS头**:PE文件起始于一个DOS小程序,用于在旧版DOS系统下识别并引导到PE加载器。 - **PE签名**:DOS头后面紧跟着一个“PE\0\0”的标识,表明这是一个PE文件。 - **COFF头**:包含...
VS下EXE可执行文件启动代码剖析(2)_mtinit函数
春暖花开
12-30 2041
紧接上文,来看看另外一个函数_mtinit,这个函数定义在tidtable.c文件中 /**** *_mtinit() - Init multi-thread data bases * *Purpose: * (1) Call _mtinitlocks to create/open all lock semaphores. * (2) Allocate a TLS ind
PE文件PE加载的过程
weixin_43742894的博客
03-31 2065
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE文件格式(一)
周星星的博客
10-18 8055
PE文件Windows操作系统下使用的可执行文件文件格式。PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
纯手工编写的PE可执行程序
banhanjun1518的博客
07-05 215
【文章标题】:纯手工编写的PE可执行程序【文章作者】:Kinney【下载地址】:自己搜索下载【使用工具】:C32【操作平台】:win7【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!最近,学习PE结构的知识。之后深有感触,随即便萌发了不依赖任何开发环境和编译器,纯手工写一个小程序的念头。所以我打算就写一个弹出MessageBox的小程序吧(弹出“Hell...
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1074
主要步骤: 1.将要加载的文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值