pe格式从入门到图形化显示(三)-可选头

已于 2024-04-06 21:47:43 修改
阅读量1k 收藏 10
点赞数 9
分类专栏: pe格式从入门到图形化显示 文章标签: qt c++ windows 数据分析
于 2024-04-06 18:37:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrack/article/details/137434576
版权

文章目录

前言

通过分析和解析Windows PE格式,并使用qt进行图形化显示

一、什么是Windows PE格式可选头?

PE文件格式的可选头(Optional Header)是一个结构体,它包含了关于PE文件的额外信息,如文件的属性、内存布局、加载参数等。可选头的结构体有两个版本:IMAGE_OPTIONAL_HEADER32和IMAGE_OPTIONAL_HEADER64。它们的主要区别在于64位版本支持64位地址空间,而32位版本仅支持32位地址空间。

二、怎么区别32位版本和64位版本

要区分32位PE文件版本和64位PE文件版本,可以查看PE文件的可选头中的Magic字段。Magic字段是一个标识PE文件类型的幻数,它有两个值:

对于32位PE文件,Magic字段的值为0x010B。
对于64位PE文件,Magic字段的值为0x020B。
因此,只需检查PE文件的可选头中的Magic字段,就可以判断PE文件是32位版本还是64位版本。如果Magic字段的值为0x010B,则PE文件是32位版本;如果Magic字段的值为0x020B,则PE文件是64位版本。

三、解析可选头并显示

1.32位和64位区别

32位PE文件版本和64位PE文件版本的结构体主要区别在于它们的可选头结构体。32位PE文件使用IMAGE_OPTIONAL_HEADER32结构体,而64位PE文件使用IMAGE_OPTIONAL_HEADER64结构体。这两个结构体的主要区别在于它们的字段类型和大小。
以下是一些主要的区别:

1、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的ImageBase字段是一个DWORD类型,表示PE文件默认装入的基地址而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的ImageBase字段是一个ULONGLONG类型,表示PE文件默认装入的基地址。

2、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的SizeOfStackReserve和SizeOfStackCommit字段是DWORD类型,表示线程的栈初始保留的虚拟内存大小和初始提交的虚拟内存大小。而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的SizeOfStackReserve和SizeOfStackCommit字段是ULONGLONG类型,表示线程的栈初始保留的虚拟内存大小和初始提交的虚拟内存大小。

3、对于32位PE文件,IMAGE_OPTIONAL_HEADER32结构体中的SizeOfHeapReserve和SizeOfHeapCommit字段是DWORD类型,表示进程的堆保留的虚拟内存大小和初始提交的虚拟内存大小。而对于64位PE文件,IMAGE_OPTIONAL_HEADER64结构体中的SizeOfHeapReserve和SizeOfHeapCommit字段是ULONGLONG类型,表示进程的堆保留的虚拟内存大小和初始提交的虚拟内存大小。

2.32位可选头数据结构以及字段描述

Magic:指定PE文件的目标机器类型,如I386、AMD64、ARM等。
MajorLinkerVersion:表示PE文件的主要链接器版本号。
MinorLinkerVersion:表示PE文件的次要链接器版本号。
SizeOfCode:表示PE文件中代码段的大小。
SizeOfInitializedData:表示PE文件中已初始化数据段的大小。
SizeOfUninitializedData:表示PE文件中未初始化数据段的大小。
AddressOfEntryPoint:表示PE文件的入口点地址。
BaseOfCode:表示PE文件中代码段的基址。
BaseOfData:表示PE文件中数据段的基址。
ImageBase:表示PE文件在内存中的基址。
SectionAlignment:表示PE文件中节的对齐方式。
FileAlignment:表示PE文件中文件的对齐方式。
MajorOperatingSystemVersion:表示PE文件所需的主要操作系统版本号。
MinorOperatingSystemVersion:表示PE文件所需的次要操作系统版本号。
MajorImageVersion:表示PE文件的主要图像版本号。
MinorImageVersion:表示PE文件的次要图像版本号。
MajorSubsystemVersion:表示PE文件所需的主要子系统版本号。
MinorSubsystemVersion:表示PE文件所需的次要子系统版本号。
Win32VersionValue:表示PE文件的Win32版本值。
SizeOfImage:表示PE文件在内存中的大小。
SizeOfHeaders:表示PE文件中头部的大小。
CheckSum:表示PE文件的校验和。
Subsystem:表示PE文件所需的子系统类型,如GUI、CUI等。
DllCharacteristics:表示PE文件的DLL特性。
SizeOfStackReserve:表示PE文件的堆栈保留大小。
SizeOfStackCommit:表示PE文件的堆栈提交大小。
SizeOfHeapReserve:表示PE文件的堆保留大小。
SizeOfHeapCommit:表示PE文件的堆提交大小。
LoaderFlags:表示PE文件的加载器标志。
NumberOfRvaAndSizes:表示PE文件中数据目录的数量。
DataDirectory:表示PE文件中数据目录的数组。

struct IMAGE_OPTIONAL_HEADER32 {
    WORD Magic;
    BYTE MajorLinkerVersion;
    BYTE MinorLinkerVersion;
    DWORD SizeOfCode;
    DWORD SizeOfInitializedData;
    DWORD SizeOfUninitializedData;
    DWORD AddressOfEntryPoint;
    DWORD BaseOfCode;
    DWORD BaseOfData;
    DWORD ImageBase;
    DWORD SectionAlignment;
    DWORD FileAlignment;
    WORD MajorOperatingSystemVersion;
    WORD MinorOperatingSystemVersion;
    WORD MajorImageVersion;
    WORD MinorImageVersion;
    WORD MajorSubsystemVersion;
    WORD MinorSubsystemVersion;
    DWORD Win32VersionValue;
    DWORD SizeOfImage;
    DWORD SizeOfHeaders;
    DWORD CheckSum;
    WORD Subsystem;
    WORD DllCharacteristics;
    DWORD SizeOfStackReserve;
    DWORD SizeOfStackCommit;
    DWORD SizeOfHeapReserve;
    DWORD SizeOfHeapCommit;
    DWORD LoaderFlags;
    DWORD NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
};

3.64位可选头数据结构以及字段描述

Magic:指定PE文件的目标机器类型,如AMD64等。
MajorLinkerVersion:表示PE文件的主要链接器版本号。
MinorLinkerVersion:表示PE文件的次要链接器版本号。
SizeOfCode:表示PE文件中代码段的大小。
SizeOfInitializedData:表示PE文件中已初始化数据段的大小。
SizeOfUninitializedData:表示PE文件中未初始化数据段的大小。
AddressOfEntryPoint:表示PE文件的入口点地址。
BaseOfCode:表示PE文件中代码段的基址。
ImageBase:表示PE文件在内存中的基址。
SectionAlignment:表示PE文件中节的对齐方式。
FileAlignment:表示PE文件中文件的对齐方式。
MajorOperatingSystemVersion:表示PE文件所需的主要操作系统版本号。
MinorOperatingSystemVersion:表示PE文件所需的次要操作系统版本号。
MajorImageVersion:表示PE文件的主要图像版本号。
MinorImageVersion:表示PE文件的次要图像版本号。
MajorSubsystemVersion:表示PE文件所需的主要子系统版本号。
MinorSubsystemVersion:表示PE文件所需的次要子系统版本号。
Win32VersionValue:表示PE文件的Win32版本值。
SizeOfImage:表示PE文件在内存中的大小。
SizeOfHeaders:表示PE文件中头部的大小。
CheckSum:表示PE文件的校验和。
Subsystem:表示PE文件所需的子系统类型,如GUI、CUI等。
DllCharacteristics:表示PE文件的DLL特性。
SizeOfStackReserve:表示PE文件的堆栈保留大小。
SizeOfStackCommit:表示PE文件的堆栈提交大小。
SizeOfHeapReserve:表示PE文件的堆保留大小。
SizeOfHeapCommit:表示PE文件的堆提交大小。
LoaderFlags:表示PE文件的加载器标志。
NumberOfRvaAndSizes:表示PE文件中数据目录的数量。
DataDirectory:表示PE文件中数据目录的数组。

struct IMAGE_OPTIONAL_HEADER64 {
    WORD Magic;
    BYTE MajorLinkerVersion;
    BYTE MinorLinkerVersion;
    DWORD SizeOfCode;
    DWORD SizeOfInitializedData;
    DWORD SizeOfUninitializedData;
    DWORD AddressOfEntryPoint;
    DWORD BaseOfCode;
    ULONGLONG ImageBase;
    DWORD SectionAlignment;
    DWORD FileAlignment;
    WORD MajorOperatingSystemVersion;
    WORD MinorOperatingSystemVersion;
    WORD MajorImageVersion;
    WORD MinorImageVersion;
    WORD MajorSubsystemVersion;
    WORD MinorSubsystemVersion;
    DWORD Win32VersionValue;
    DWORD SizeOfImage;
    DWORD SizeOfHeaders;
    DWORD CheckSum;
    WORD Subsystem;
    WORD DllCharacteristics;
    ULONGLONG SizeOfStackReserve;
    ULONGLONG SizeOfStackCommit;
    ULONGLONG SizeOfHeapReserve;
    ULONGLONG SizeOfHeapCommit;
    DWORD LoaderFlags;
    DWORD NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
};

4.解析

bool PEParser::parserFileData(const QByteArray &fileData)
{
    //判断是否是MZ开头的文件
    if (fileData.left(2) != "MZ")
    {
        return false;
    }
    //解析DOS头
    parserDOSHeader(fileData.left(sizeof(IMAGE_DOS_HEADER)));
    //DOSStub数据
    m_dosStubData = fileData.mid(sizeof(IMAGE_DOS_HEADER), m_dosHeader.e_lfanew - sizeof(IMAGE_DOS_HEADER));
    long peAddress = m_dosHeader.e_lfanew;
    if (fileData.mid(peAddress, 2) != "PE")
    {
        return false;
    }
    m_fileData = fileData;
    //去除前4个字节的PE头标识
    long fileHeaderIndex = peAddress + 4;
    //记录文件头索引
    m_fileHeaderIndex = fileHeaderIndex;
    //解析标准PE文件头
    paserFileHeader(fileData.mid(fileHeaderIndex, sizeof(IMAGE_FILE_HEADER)));
    //解析扩展PE文件头
    long optionHeaderIndex = fileHeaderIndex + sizeof(IMAGE_FILE_HEADER);
    //记录扩展PE文件头索引
    m_optionHeaderIndex = optionHeaderIndex;
    //解析扩展PE文件头
    parserOptionHeader(fileData.mid(optionHeaderIndex, m_fileHeader.SizeOfOptionalHeader));
    return true;
}

void PEParser::parserOptionHeader(const QByteArray &peHeaderData)
{
    WORD magic = 0;
    QByteArray magicData = peHeaderData.mid(0, 2);
    memcpy(&magic, magicData.data(), magicData.size());
    m_directories.clear();
    if (magic == PEType::PE32 && peHeaderData.size() == sizeof(IMAGE_OPTIONAL_HEADER32))
    {
        const IMAGE_OPTIONAL_HEADER32 *peHeader = reinterpret_cast<const IMAGE_OPTIONAL_HEADER32 *>(peHeaderData.data());
        emit sendX86PEOptionHeader(*peHeader);
        m_optionalHeader32 = *peHeader;
        m_fileAlignment = peHeader->FileAlignment;
        m_imageBase = peHeader->ImageBase;
        m_sectionAlignment = peHeader->SectionAlignment;
        m_x86Flag = true;
    }
    else if (magic == PEType::PE64 && peHeaderData.size() == sizeof(IMAGE_OPTIONAL_HEADER64))
    {
        const IMAGE_OPTIONAL_HEADER64 *peHeader = reinterpret_cast<const IMAGE_OPTIONAL_HEADER64 *>(peHeaderData.data());
        emit sendX64PEOptionHeader(*peHeader);
        m_optionalHeader64 = *peHeader;
        m_fileAlignment = peHeader->FileAlignment;
        m_imageBase = peHeader->ImageBase;
        m_sectionAlignment = peHeader->SectionAlignment;
        m_x86Flag = false;
    }
}

5.显示

void MainWindow::showX86OptionalHeader(const IMAGE_OPTIONAL_HEADER32 &header)
{
    ui->lineEdit_sizeOfCode->setText(QString::asprintf("%08lX", header.SizeOfCode));
    ui->lineEdit_sizeOfImage->setText(QString::asprintf("%08lX",header.SizeOfImage));
    ui->lineEdit_baseOfCode->setText(QString::asprintf("%08lX", header.BaseOfCode));
    ui->lineEdit_baseOfData->setText(QString::asprintf("%08lX", header.BaseOfData));
    ui->lineEdit_entry->setText(QString::asprintf("%08lX", header.AddressOfEntryPoint));
    ui->lineEdit_imageBase->setText(QString::asprintf("%08lX", header.ImageBase));
    ui->lineEdit_sizeOfHead->setText(QString::asprintf("%08lX", header.SizeOfHeaders));
    ui->lineEdit_sectionAlign->setText(QString::asprintf("%08lX", header.SectionAlignment));
    ui->lineEdit_fileAlign->setText(QString::asprintf("%08lX", header.FileAlignment));
    ui->lineEdit_checkSum->setText(QString::asprintf("%08lX", header.CheckSum));
    ui->lineEdit_baseInfo->setText("PE 32 文件");
}

void MainWindow::showX64OptionalHeader(const IMAGE_OPTIONAL_HEADER64 &header)
{
    ui->lineEdit_sizeOfCode->setText(QString::asprintf("%08lX", header.SizeOfCode));
    ui->lineEdit_sizeOfImage->setText(QString::asprintf("%08lX",header.SizeOfImage));
    ui->lineEdit_baseOfCode->setText(QString::asprintf("%08lX", header.BaseOfCode));
    ui->lineEdit_entry->setText(QString::asprintf("%08lX", header.AddressOfEntryPoint));
    ui->lineEdit_imageBase->setText(QString::asprintf("%08lX", header.ImageBase));
    ui->lineEdit_sizeOfHead->setText(QString::asprintf("%08lX", header.SizeOfHeaders));
    ui->lineEdit_sectionAlign->setText(QString::asprintf("%08lX", header.SectionAlignment));
    ui->lineEdit_fileAlign->setText(QString::asprintf("%08lX", header.FileAlignment));
    ui->lineEdit_checkSum->setText(QString::asprintf("%08lX", header.CheckSum));
    ui->lineEdit_baseInfo->setText("PE 64 文件");
}
mrack
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
接口测试 02 -- JMeter入门到实战
最新发布
weixin_54104072的博客
01-20 1091
● JMeter是基于Java的开源工具,扩展性强,可自定义开发插件;● JMeter社区活跃,会定期更新、修改bug、优化功能;● JMeter学习成本低,提供了方便的图形界面来编辑和开发测试脚本,上手快;● JMeter可以和很多工具兼容,如Jenkins,方便测试自动化;● JMeter具有平台无关性,可以轻易在Windows、Linux和macOS上运行。1.2。
PE可选头
BiCai2的博客
09-16 1299
typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像 BYTE MajorLinkerVersion; 链接器版本号 BYTE MinorLinkerVersion; 链接器副版本号 DWORD
iczelion pe tutcn4
jimgreen的专栏
08-29 796
 PE教程4: Optional Header我们已经学习了关于 DOS header 和 PE header 中部分成员的知识。这里是 PE header 中最后、最大或许也是最重要的成员,optional header。回顾一下,optional header 结构是 IMAGE_NT_HEADERS 中的最后成员。包含了PE文件的逻辑分布信息。该结构共有31个域,一些是很关键,另
PE Header中的OptionalHeader
weixin_34239592的博客
06-28 296
typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // +18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh) +1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号 +1Bh B...
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1884
目录预备知识一、相关实验二、C32Asm、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
WIN11 PE系统下自定义启动LOGO及桌面背景图片
ggkggn的博客
11-07 848
下载HackBGRT运行。下载Dism++运行。
winpe添加explorer教程
01-30
winpe添加explorer教程 压缩包内分为个部分
windowsPE入门与精通
08-27
同时,OEM和ISV可以通过Windows PE构建定制化的恢复解决方案,用于恢复和重建运行Windows 7的计算机,如从恢复CD或恢复分区启动,重新格式化硬盘并重新安装系统。 **Windows PE的体系结构** Windows PE 3.0基于...
Freescale PE
12-27
- **自动化代码生成**:Freescale PE能够自动生成初始化代码,这大大减轻了开发者编写底层驱动程序的工作量。 - **组件库**:该工具提供了丰富的组件库,包括逻辑设备驱动器和其他各种嵌入式组件,这些组件可用于...
应急系统集合版 winpe & dos 图形界面 和 命令行1
09-12
这个是我个人临时给朋友用的 包含有 WinXP恢复控制台, winpe我的个人定制版内核 (有winmount解压用,imagex挂载wim文件,winpm磁盘分区管理), maxdos 好像是我很久以前下载的一个dos系统 win98精简版 这么四个虚拟启动系统 可以放到任意分区 (需要修改参数)建议放到 boot.ini同目录下 使用这个修改 boot.ini 自然是必须的 我只想告诉大家 在里面添加一个启动项 c:\grldr "你随便写只要你愿意能明白选择这个可以引导你启动到我的这四个系统就行" -------- 例如 [boot loader] timeout=5 default=multi(0)disk(0)rdisk(0)partition(2)\ybbos [operating systems] multi(0)disk(0)rdisk(0)partition(2)\ybbos="琼小子志趣园 OS-01"/noexecute=optin /fastdetect /SHADOWall c:\grldr="琼小子志趣园 OS-02" --------------------------------- 关键的是添加上面最后这一行 至于 具体为什么怎么样修改 boot.ini 这里不多说 启动的时候选择下面这个就能引导你选择上面说过的四个系统进行选择启动
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 1948
目录* 16.1 本篇概述 + 16.1.1 本篇内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本篇将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
滴水期:day28.1-PE头字段说明
Edimade的博客
05-02 1014
一、PE头字段>二、DOS头>PE标记>四、标准PE头>五、可选PE头>六、可执行文件的读取到装入内存过程
从ADK的WinPE自己手动构建自己的PE
lengye7的博客
01-11 9188
一、背景 一直以来,我都是使用微软官方的PE系统来安装操作系统,但是官方的PE系统只有黑乎乎的命令行,每次安装系统都需要使用notepad查看一下镜像所在的盘的盘符,挺麻烦的,于是,我就想到给PE加上一个explorer,从而方便查看资源。 为什么我不使用别人做好的PE? 首先,网络的上的别人制作的PE,无法保证安全性,即使制作的人可以保证不加入任何第方的文件,但是他使用的制作工具可能也会写入一些文件(毕竟有些人用破解版工具)。安全性,这是不使用别人的制作好的PE的重要原因,毕竟这是用于日常生产中的
WINPE启动盘的制作
aarong的博客
10-11 2919
前言:启动U盘,顾名思义,是指可以脱离硬盘上的Windows系统而单独启动的U盘。 目前市面上常见的启动U盘大多是基于Windows PEWindows Pre-installation Environment),是由微软官方推出的一个系统维护精简版Windows系统,该系统可以方便的在便携式设备,比如U盘上启动。在电脑启动不了的时候,可以通过启动U盘进入电脑,拿到重要的文件和数据,还可以查看磁盘情况、重装系统等等。WINPE启动盘是每个电脑使用者必备的数据抢救工具,那么这么好的玩意怎么弄出来呢? 下面
滴水逆向————PE头解析
clayoa的博客
12-18 1072
PE头解析
笔记:PE结构(3)可选头解析*
Q324411601的博客
08-30 209
笔记:PE结构(3)可选头解析*
使用微软官方的Winpe系统安装操作系统(包括下载Winpe、制作U盘启动工具、安装操作系统)
热门推荐
lengye7的博客
11-24 2万+
一、安装Winpe Winpe是微軟官方提供的用來部署windows操作系統的工具,在win10版本1809之前,Winpe随着ADK工具一起分发,只要安装ADK就能够获得winpe,在这个版本之后,winpe不再随着ADK一起下发,我们需要在安装好ADK工具之后,再单独安装winpe工具。 ADK下载 这一次,我选择下载了下载适用于 Windows 10 版本 2004 的 Windows ADK,此 ADK 支持 Windows 10 版本 2004、Windows 10 版本 20H2 和 Wi
wimbuilder2教程_Wimbuilder2-基于hta/vbs/js/bat的图形界面新的PE生成器
weixin_33554514的博客
02-22 1359
大神我的文件列表就火狐整个文件夹放进去了火狐该用了便捷版│ ││broadcast-listeners.json│ ││cert9.db│ ││compatibility.ini│ ││containers.json│ ││content-prefs.sqlite│ ││cookies.sq...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mrack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值