PE格式详解(四)

最新推荐文章于 2023-05-20 11:14:44 发布
最新推荐文章于 2023-05-20 11:14:44 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: PE格式 文章标签: image header dll windows terminal 磁盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LewisCheng/article/details/2854118
版权
 

         特地把Optional header放一篇文章,是因为它比较复杂与庞大,也因为它比较重要。

         老样子,先是IMAGE_OPTIONAL_HEADER结构:

typedef struct _IMAGE_OPTIONAL_HEADER {

    WORD Magic;                     // 又是Magic

    BYTE MajorLinkerVersion;        // 链接器主要版本

    BYTE MinorLinkerVersion;        // 链接器次要版本

    DWORD SizeOfCode;   // 所有代码区段的长度之和

    DWORD SizeOfInitializedData;        // 同上

    DWORD SizeOfUninitializedData;      // 同上

// 代码起始执行处,对DLL可选,没有是0

    DWORD AddressOfEntryPoint;

    DWORD BaseOfCode;       // 载入内存后代码的起始地址,相对ImageBase而言

    DWORD BaseOfData;       // 载入内存后代码的起始地址,相对ImageBase而言

    DWORD ImageBase;        // 期望的内存中映像载入地址

    DWORD SectionAlignment;         // 内存中区段排列基数

    DWORD FileAlignment;        // 磁盘上区段排列基数

// OS最低主要版本号

    WORD MajorOperatingSystemVersion;

// OS最低次要版本号

WORD MinorOperatingSystemVersion;

    WORD MajorImageVersion;         // 映像文件的主要版本号

    WORD MinorImageVersion;         // 映像文件的次要版本号

    WORD MajorSubsystemVersion;     //  子系统的主要版本号

    WORD MinorSubsystemVersion;     //  子系统的次要版本号

    DWORD Win32VersionValue;        //  由编译器定义,PE规定这里是保留位置

// 加载到内存中的映像文件所占内存的大小,一定是SectionAlignment的整数倍

    DWORD SizeOfImage;

    DWORD SizeOfHeaders;    // 所有头与区段表的长度之和

// 映像文件校验和,仅仅针对内核模式驱动和一些系统DLL

    DWORD CheckSum;

    WORD Subsystem;         // 下详

    WORD DllCharacteristics;        // 下详

    DWORD SizeOfStackReserve;       // 为栈预留字节数

    DWORD SizeOfStackCommit;    // 栈实际使用的字节数

    DWORD SizeOfHeapReserve;    // 为局部堆预留字节数

    DWORD SizeOfHeapCommit;     // 局部堆实际使用字节数

    DWORD LoaderFlags;      // 这个域已经被废弃,直接无视

    DWORD NumberOfRvaAndSizes;      // 目录表项的个数

    // 下详

    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER32,*PIMAGE_OPTIONAL_HEADER32;

    为了方便比对,我把前面那张PE截图再贴一下:

                    PICTURE MISSING

    _IMAGE_OPTIONAL_HEADER占用从0F0h~14Fh,也就是图中第三行开始总共六行。

    同样,下面挑选一些有用的结构成员讲一下。

    Magic。位置F0~F1,值为010BhWinnt.h 为我们定义了如下三个常数:

#define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b

#define IMAGE_NT_OPTIONAL_HDR64_MAGIC 0x20b

#define IMAGE_ROM_OPTIONAL_HDR_MAGIC 0x107

    也就是符合第一个,表示32位程序。最后一个是ROM,指刷在ROM里面的程序,反正我从来没见过。

    MajorLinkerVersion也就是接下去的一个字节,图中是09h,说明我们的连接器版本是9.0(VC9)MinorLinkerVersion同理。

    SizeOfCode。值为00 00 36 00,即13824字节,指所有代码区段的长度和。

    SizeOfInitializedData。值为00 00 42 00,即16896字节,是所有已初始化数据的长度和。

    AddressOfEntryPoint。截图中的位置,100h~103h,就是右边有个x开始的那里,别找不到咯~值为00 01 10 78,程序将从地址为00011078h处的指令开始执行,也就是俗称的程序入口点。经过加壳的EXE通常入口点处先是一段解密程序,完了才会跳到原始入口点(OEP)真正执行。

    BaseOfCodeBaseOfData分别指代码区段与数据区段的基地址,自己看看是哪里?

    ImageBase指最希望把PE文件载入到地址空间中的ImageBase地址开始的地方,如果这个地址已经被占用,那只好换地方了,但99%的情况下,ImageBase指向的地址肯定是空闲的。

    SectionAlignmentFileAlignment。位置为110~117,值分别为00 00 10 0000 00 02 00。指的是任意区段的起始地址必须是SectionAlignment(或FileAlignment)中值的整数倍,不同的是,前者指在内存中,后者指在文件中。在内存中起始地址是1000h,即4096的整数倍,是因为Windows中一个虚拟内存页面的大小就是4096字节,这样就可以保证,一个新的区段一定会被分配到一个新的页面中,而不会出现两个区段在一个页面中的情况。同样,在磁盘上必须是200h,即512的整数倍,是因为磁盘一个扇区的大小就是512字节。

    SizeOfImagePE文件被载入内存后所占所有内存空间的总和(包括各个区段)。位置在128~12B,值为00 01 B0 00,即110592字节,合108KB。告诉你,这个程序文件只有正好30KB大小,那又怎么会在内存中变大了呢?原因就是上面说的,在内存中区段地址是按4096的整数倍分配的,而在磁盘上是按512的整数倍,这样就必定会造成很多未使用的内存空间浪费,使占用变大。但是,这也是出于性能优化的角度考虑,没什么好说的。

    SizeOfHeaders。所有的头的长度总和,像什么DOS header,Optional header等等,再加上区段表(Section Table,最先的结构图里有)的长度,就是这个值。这里是1024字节,正好1K。注意:这里的Size指文件中(或磁盘中的)Size,而上面一个指内存中的,别混了。

    Subsystem。位置134h~135h,值为00 03,对着下面的常数,发现是Windows控制台程序(Windows CUI)。

#define IMAGE_SUBSYSTEM_UNKNOWN 0

#define IMAGE_SUBSYSTEM_NATIVE  1

#define IMAGE_SUBSYSTEM_WINDOWS_GUI 2

#define IMAGE_SUBSYSTEM_WINDOWS_CUI 3

#define IMAGE_SUBSYSTEM_OS2_CUI     5  /* Not in PECOFF v8 spec */

#define IMAGE_SUBSYSTEM_POSIX_CUI   7

#define IMAGE_SUBSYSTEM_NATIVE_WINDOWS  8  /* Not in PECOFF v8 spec */

#define IMAGE_SUBSYSTEM_WINDOWS_CE_GUI  9

#define IMAGE_SUBSYSTEM_EFI_APPLICATION 10

#define IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER 11

#define IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER  12

#define IMAGE_SUBSYSTEM_EFI_ROM 13

#define IMAGE_SUBSYSTEM_XBOX    14

    DllCharacteristicsDLL文件特征,只对作为DLL时有效。值为81 40,计算方法仍然是使用二进制位来标记。这里原文中在胡扯,后来查了MSDN,如下

#define IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE      0x0040 // 允许重定位

#define IMAGE_DLL_CHARACTERISTICS_FORCE_INTEGRITY   0x0080 // 强制完整性检查

#define IMAGE_DLL_CHARACTERISTICS_NX_COMPAT     0x0100 // 开启数据执行保护DEP

#define IMAGE_DLLCHARACTERISTICS_NO_ISOLATION       0x0200 // 不被孤立

#define IMAGE_DLLCHARACTERISTICS_NO_SEH         0x0400 // 关闭结构化异常处理

#define IMAGE_DLLCHARACTERISTICS_NO_BIND        0x0800 // 不被绑定

#define IMAGE_DLLCHARACTERISTICS_WDM_DRIVER     0x2000 // 这是个WDM Driver

#define IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE  0x8000 //此映像能得知终端服务 

    由此,我们的这个程序是IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE | IMAGE_DLL_CHARACTERISTICS_NX_COMPAT | IMAGE_DLL_CHARACTERISTICS_DYNAMIC_BASE,虽然这个参数没什么意义。

    DataDirectory。它是一个IMAGE_DATA_DIRECTORY类型的数组,共有IMAGE_NUMBEROF_DIRECTORY_ENTRIES个元素,一般IMAGE_NUMBEROF_DIRECTORY_ENTRIES = 16。每一个元素都指向PE文件内的一个很重要的数据结构,具体IMAGE_DATA_DIRECTORY的结构,我们下回讨论。

LewisCheng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《逆向工程核心原理》学习笔记4 PE文件学习——PE头总结
EloflyS的博客
02-16 315
《逆向工程核心原理》学习笔记4 PE文件学习——PE头总结 1.DOS头 typedef struct _IMAGE_DOS_HEADER //DOS头 { WORD e_magic; //DOS signature :4D5A ("MZ",是确定的值, 被称为DOS签名,如果值被改变,程序无法运行) WORD e_cblp; WORD e_c...
PE文件学习(二)数据目录表之导出表与导入表
SanSiro1的博客
08-25 4656
数据目录表是PE中比较重要的一个组成部分,其结构如下: IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 //导出表 #define IMAGE_DIRECTORY_ENTRY_IMPORT 1
PE结构】由浅入深PE基础学习-菜鸟手动查询导出表、相对虚拟地址(RVA)与文件偏移地址转换(FOA)...
weixin_30274627的博客
05-28 753
0 前言 此篇文章想写如何通过工具手查导出表、PE文件代码编程过程中的原理。文笔不是很好,内容也是查阅了很多的资料后整合出来的。希望借此加深对PE文件格式的理解,也希望可以对看雪论坛有所贡献。因为了解PE文件格式知识点对于逆向破解还是病毒分析都是很重要的,且基于对PE文件格式的深入理解还可以延伸出更多非常有意思的攻防思维。 1 导出表查询工具 1 ) dumpbin VS自带的工具,...
PE——PE结构中数据表
CSDN-ych
03-19 637
PE结构中的数据包主要作用是用于引导操作系统去怎么操作这个文件,大多是为了程序能顺利运行起来做一些前置准备工作。 PE结构中的数据表由可选文件头中的DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 字段来指示。 这个字段中有IMAGE_NUMBEROF_DIRECTORY_ENTRIES个下面的结构,IMAGE_NUMBEROF_DIRECTORY_ENTRIES也就是可选文件头中的NumberOfRvaAndSizes。 struct _IMAGE_DAT
PE文件结构—Data Diretoris,Sections,Section Header
最新发布
QXinHan的博客
05-20 505
今天将具体学习一下数据目录表和区域表的相关内容,这两部分中有很多内容在文件被执行时起关键作用。下面我们将具体分析一下数据目录表和区域表。
PE文件结构
南宫封清的博客
04-19 3718
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件被加载到内存的空间,是一个虚拟的地址空...
滴水三期:day34.2-数据目录
Edimade的博客
05-04 924
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE文件格式详解
03-23
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。  然而这...
windows PE文件格式详解
04-21
PE文件格式详解
Windows PE 格式详解.zip
03-16
Windows PE(Portable Executable)格式是Microsoft Windows操作系统中用于可执行文件、动态链接库(DLL)、驱动程序等的文件格式。这种格式包含了程序运行所需的所有信息,如代码、数据、元数据以及资源。以下是PE...
PE格式详解
12-30
**PE(Portable Executable)格式详解** PE格式Windows操作系统中的可执行文件和动态链接库(DLL)的主要格式。它由Microsoft设计,用于在DOS和Windows NT家族系统上运行。PE格式不仅包括了程序的实际机器码,还包含...
IMAGE_DIRECTORY_ENTRY_RESOURCE
我爱密码学
08-07 5167
/**//* * Predefined Resource Types */#define RT_CURSOR           MAKEINTRESOURCE(1)#define RT_BITMAP           MAKEINTRESOURCE(2)#define RT_ICON             MAKEINTRESOURCE(3)#define RT_MENU        
PE格式详细讲解3 - 系统篇03|解密系列
weixin_34111790的博客
04-11 183
PE格式详细讲解3-系统篇03 让编程改变世界 Change the world by program 咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE...
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表
pjz969的专栏
02-26 3778
PE文件详解七:IMAGE_EXPORT_DIRECTORY STRUCT导出表 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 导出表就是记载着动态链接库的一些导出信息。通过导出表,DLL 文件可
PE文件详解IMAGE_NT_HEADER结构
知其所以然
09-02 5370
PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
windows PE文件格式笔记(二)RVAToFOV
一位非著名不专业的Re选手
12-11 780
什么是RVA,FOV RVA是相对虚拟地址,FOV是文件偏移 由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA. 在PE格式中查看对齐粒度 PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment 他们在PE扩展头中可以找到,PE扩展头的结构体: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
文件 偏移 基址_[PE](3)PE文件头部解析
weixin_36406678的博客
12-16 408
一、DOSMZ头首先是IMAGE_DOS_HEADER头部,字段后面的偏移是基于IMAGE_DOS_HEADER的typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; 0000h // Magic number //EXE...
PE总结10---PE文件结构之导入表 (IMAGE_IMPORT_DESCRIPTOR)
oBuYiSeng的博客
12-11 4296
1、导入表基址是PE文件从其他三方程序中导入API,以供本程序调用的机制 2、是分析最好的切入点 IMAGE_IMPORT_DESCRIPTOR只是一个引导的角色,引导系统找到真正保存有导入信息的其他两个结构:  IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_DESCRIPTOR {
滴水逆向-打印数据目录
qq_45714114的博客
09-17 143
//简单打印可选PE头的数据目录 VOID FileBufferPrintDataDirectory(IN LPVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL; PI
Windows PE文件格式详解
"PE文件结构-PE文件格式" 在个人计算机系统中,特别是Windows操作系统上,可执行文件的格式至关重要。PE(Portable Executable)文件格式是微软为Win32平台设计的一种标准,用于存放应用程序的机器代码和数据。本文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值