PE执行流程

最新推荐文章于 2024-03-18 11:20:23 发布
最新推荐文章于 2024-03-18 11:20:23 发布
阅读量319 收藏 1
点赞数
文章标签: 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SXXYNHHXX/article/details/132630413
版权

PE 文件的执行顺序

  1. 当一个 PE 文件 被执行时,PE 装载器 首先检查 DOS header 里的 PE header 的偏移量。如果找到,则直接跳转到 PE header 的位置。
  2. 当 PE装载器 跳转到 PE header 后,第二步要做的就是检查 PE header 是否有效。如果该 PE header 有效,就跳转到 PE header 的尾部。
  3. 紧跟 PE header 尾部的是节表。PE装载器执行完第二步后开始读取节表中的节段信息,并采用文件映射( 在执行一个PE文件的时候,Windows并不在一开始就将整个文件读入内存,而是采用与内存映射的机制,也就是说,Windows装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系,只有真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系 )的方法将这些节段映射到内存,同时附上节表里指定节段的读写属性
  4. PE文件映射入内存后,PE装载器将继续处理PE文件中类似 import table (输入表)的逻辑部分。

PE 文件结构说明:

  1. DOS头 是用来兼容 MS-DOS 操作系统的,目的是当这个文件在 MS-DOS 上运行时提示一段文字,大部分情况下是:This program cannot be run in DOS mode. 还有一个目的,就是指明 NT 头在文件中的位置。
  2. NT头 包含 windows PE 文件的主要信息,其中包括一个 'PE' 字样的签名PE文件头(IMAGE_FILE_HEADER)和 PE可选头(IMAGE_OPTIONAL_HEADER32)。
  3. 节表:是 PE 文件后续节的描述,windows 根据节表的描述加载每个节。
  4. :每个节实际上是一个容器,可以包含 代码、数据 等等,每个节可以有独立的内存权限,比如代码节默认有读/执行权限,节的名字和数量可以自己定义,未必是上图中的三个。

详细解释如下:

PE(Portable Executable)文件是Windows操作系统中可执行文件的一种格式。PE文件的执行顺序如下:
1. 加载器(Loader):当执行PE文件时,操作系统的加载器负责将PE文件加载到内存中。加载器会解析PE文件的文件头和节表,并将相关的节(Sections)加载到内存中。
2. 初始化(Initialization):加载器会执行PE文件的初始化代码,包括运行全局变量的初始化和执行静态构造函数等操作。
3. 入口点(Entry Point):PE文件中定义了一个入口点(Entry Point)函数,通常命名为`main`或`WinMain`。加载器会跳转到入口点函数,开始执行程序的主逻辑。
4. 执行程序主逻辑:在入口点函数中,程序会按照编写的逻辑执行相应的指令和操作。这包括处理用户输入、调用函数、执行算法等。
5. 结束执行:当程序执行完入口点函数中的代码,或者遇到`return`语句或`exit`函数调用时,程序会退出执行。加载器负责释放相关资源并终止程序的执行。
需要注意的是,PE文件的执行顺序可能还会涉及其他操作,如动态链接库的加载、异常处理机制等。此外,具体的执行顺序也可能会受到编程语言、编译器和操作系统的影响。以上是一般情况下PE文件的执行顺序。

当执行PE文件时,会按照以下步骤进行深入解释:
1. DOS头(DOS Header):PE文件以一个DOS头开始,这是为了兼容早期的MS-DOS系统。DOS头中包含了一些DOS特定信息和可执行文件的入口点。
2. 文件头(File Header):文件头包含了PE文件的基本信息,如文件类型、架构、节表的偏移等。加载器会解析文件头以确定PE文件的属性和结构。
3. 可选头(Optional Header):可选头包含了PE文件的一些可选属性,如程序入口点地址、内存对齐方式、数据目录等。可选头的结构和内容因不同的架构而异。
4. 节表(Section Table):节表记录了PE文件中各个节的信息,如代码节、数据节、资源节等。加载器会根据节表的信息将相应的节加载到内存中。
5. 导入表(Import Table):如果PE文件依赖于其他动态链接库(DLL),导入表会记录所依赖的库和函数。加载器会解析导入表,并加载相应的DLL以满足程序的调用需求。
6. 重定位表(Base Relocation Table):如果PE文件需要以其他基址加载,重定位表会记录需要修改的内存地址。加载器会根据重定位表进行地址修正,以确保程序在不同的内存基址上正确执行。
7. 初始化(Initialization):加载器会执行PE文件的初始化代码,包括运行全局变量的初始化和执行静态构造函数等。这些初始化操作会准备好程序运行所需的环境。
8. 入口点(Entry Point):PE文件中定义了一个入口点(Entry Point)函数,通常命名为`main`或`WinMain`。加载器会跳转到入口点函数,开始执行程序的主逻辑。
9. 执行程序主逻辑:在入口点函数中,程序会按照编写的逻辑执行相应的指令和操作。这包括处理用户输入、调用函数、执行算法等。
10. 结束执行:当程序执行完入口点函数中的代码,或者遇到`return`语句或`exit`函数调用时,程序会退出执行。加载器负责释放相关资源并终止程序的执行。
以上是PE文件的深入解释和执行过程的逐步说明。不同的PE文件可能具有不同的结构和特性,执行过程可能会因具体情况而有所不同。

烬柒小云
关注
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1211
Windows进程创建过程 第一阶段:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
滴水逆向三期笔记和作业-PE总结1
weixin_44449397的博客
01-18 1982
PE头手动解析,节表,FileBuffer-ImageBuffer
程序时如何被链接和加载的???
H002399的专栏
06-08 710
运行 PE执行文件 启动一个 PE执行程序的过程是相对简单的。  读入文件的第一页,其中有 DOS 头部,PE 头部和区段头部等。  确定地址空间的目标区域是否有效,如果不可用则另分配一块区域。  根据各区段头部的信息,将文件中的所有区段映射到地址空间的适当位置上。  如果文件并没有被加载到它的目标地址中,则进行重定位。  遍历导入区段中的 DLL 列表,将任何未加载
编译输出的PE文件的执行过程
weixin_30432007的博客
07-26 218
节 选自 C#锐利体验.........我们对"HelloWorld.cs"文件用csc.exe命令编译后发生了什么。是的,我们得到了HelloWorld.exe文件。但那仅仅是事情的表象,实际上那个HelloWorld.exe根本不是一个可执行文件!那它是什么?又为什么能够执行? 好的,下面正是回答这些问题的地方。首先,编译输出的HelloWorld.exe是一个由...
PE文件的执行顺序
04-14 156
当一个PE文件被执行时,PE装载器首先检查DOSMZheader里的PEheader的偏移量。如果找到,则直接跳转到PEheader的位置。 当PE装载器跳转到PEheader后,第二步要做的就是检查PEheader是否有效。如果该PEheader有效,就跳转到PEheader的尾部。 紧跟PEheader尾部的是节表。PE装载器执行完第二步后开始读取节表中的节段...
PE文件动态加载执行过程
Mentally_slow的博客
08-30 1159
主要步骤: 1.将要加载的文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE加载器将文件装载到虚拟内存中),先根据op头的SizeOfHeaders,将文件的各种头数据先拷贝过来(因为各种头数据是线性存储的,在静态动态都是相同的存放顺序),随后复制节表数据,遍历每个节表,如果当前节表在文
FileNet PE 流程管理
03-21
- **流程引擎**:负责执行流程定义。 - **监控工具**:提供实时监控和分析功能。 - **集成框架**:支持与其他系统和服务的集成。 #### 四、流程设计 在 IBM FileNet BPM 中,流程设计主要包括以下几个方面: - **...
关于PE执行文件的修改.rar_PE修改_pe_pe文件修改
09-23
通过修改PE头中的IMAGE_NT_HEADERS.OptionalHeader.EntryPoint字段,可以改变程序的启动流程。 2. **添加或删除导入和导出**:导入表用于标识程序依赖的外部函数,导出表则列出程序提供的可被其他模块调用的函数。...
MFC程序的执行流程
02-12
### MFC程序的执行流程详解 MFC(Microsoft Foundation Classes)是微软提供的一套用于Windows应用程序开发的类库,它简化了Windows编程的复杂性,让开发者能够更专注于应用程序的业务逻辑而非底层细节。理解MFC...
PE执行文件超强查壳神奇/Die最新版2.0
12-13
在IT领域,尤其是逆向工程和恶意软件分析中,"PE执行文件超强查壳神奇/Die最新版2.0"是一款重要的工具,主要用于检测和处理PE(Portable Executable)格式的可执行文件上的加壳技术。PE文件是Windows操作系统中...
PE管道生产工艺流程图.ppt
09-07
PE管道生产工艺流程详解】 PE(聚乙烯)管道因其耐腐蚀、抗压性强、柔韧性好等特性,广泛应用于市政供水、燃气输送、农田灌溉等多个领域。本文将深入解析PE管道的生产工艺流程,涵盖原料、设备、螺杆模具、工艺...
PE文件加载过程揭秘
lucien的博客
01-03 1919
http://hi.baidu.com/srcwork/item/71d169257bd2bf0d73863ee3  (1) http://hi.baidu.com/tangweb/item/3ea05035ae0a430dcfb9fe4f  (2) http://hi.baidu.com/tangweb/item/6fab453a3934a3bb623aff4f  (3) http://h
滴水三期:day30.1-FileBuffer-ImageBuffer
Edimade的博客
05-02 1204
一、FileBuffer到ImageBuffer常见的误区(1.文件执行的总过程>2.SizeOfRawData一定大于Misc.VirtualSize?)>二、模拟PE加载过程>三、内存偏移到文件偏移计算>四、作业(1.C语言实现PE加载>2.编写一个函数,将RVA的值转换成FOA)
内存运行PE文件
weixin_30872337的博客
08-28 372
内存中运行文件 拿exe并在HxD或010中打开 - cntrl+a copy as C 粘贴到encrypt.cpp 编译并运行encrypt.cpp - 创建shellcode.txt 从shellcode.txt复制char数组,并替换runPE.cpp中的rawData [] 编译生成最终的runPE.exe 使用XOR密钥解密,加载到内存中执行。 encrypt.cpp //e...
跟着王哥学逆向——PE文件详解篇(第一篇)
qq_52642385的博客
03-12 3386
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
pe文件运行过程
最新发布
03-18 378
一、pe入口为 _WinMainCRTStartup (ida6.5显示的函数名,下面是ida7.5转的C代码),简单来说,就是先调用HeapCreate建立一个可变大小的堆,在该堆上申请几块内存用于管理小内存变量,如果是变量较大则调用HeapAlloc。运行之后 p1=0x00560000 p2=0x01f30000 e=0x005607e0。运行之后,p=0x003f0000,e=0x003f07e0,此时堆应该变大了。分析vc6 生成的hello world 程序,
PE制程工程师具体要做什么
shl_telnetcode的博客
09-15 1391
PE制程工程师具体要做什么
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值