【逆向】二进制可执行文件的组织标准

原创 于 2025-08-06 15:04:02 发布 · 1.5k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #二进制可执行文件 #CTF #ELF #PE文件

PE文件

概念

PE文件(Portable Executable)是Windows操作系统下的可执行文件格式,用于描述可执行程序、动态链接库(DLL)、驱动程序、内核模块等二进制文件的组织结构。

类型

  • .exe:可执行程序。

  • .dll:动态链接库。

  • .sys:驱动程序。

  • .ocx:ActiveX控件。

文件结构

  1. DOS头(DOS Header)

    • 包含MZ签名,用于DOS兼容。

    • 指向PE头的偏移地址。

  2. PE文件头(PE Header)

    • PE\0\0签名。

    • COFF头(机器类型、节区数量等)。

    • 可选头(入口点、内存对齐、子系统类型等)。

  3. 节区表(Section Table)

    • 描述各节(如.text, .data, .rsrc)的属性。

  4. 节区数据(Sections)

    • 存储代码、数据、资源等。

ELF文件

概念

类Unix系统(如Linux、Android、BSD等)使用另一种常见的可执行文件格式——ELF(Executable and Linkable Format)

类型

无扩展名

.elf

.so

.o

.ko

文件结构

  1. ELF头(ELF Header)

    • \x7F ELF魔数。

    • 类型(可执行/共享库/目标文件)、机器架构、入口点等。

  2. 程序头表(Program Headers)

    • 定义如何加载到内存(LOAD段)。

  3. 节区头表(Section Headers)

    • 描述各节(如.text, .data, .dynamic)的链接信息。

  4. 节区数据(Sections/Segments)

    • 代码、数据、符号表等。

两者工具对比

用途PE工具ELF工具
查看结构CFF Explorer, PEViewreadelf, objdump
反汇编IDA Pro, Ghidraobjdump -d, Ghidra
调试WinDbg, x64dbggdb, strace
编辑/修补HxD, 010 Editorhexedit, vim + xxd

节区

概念

在PE(Windows)和ELF(Linux)这类可执行文件中,节区(Section) 就像是一个“分类收纳盒”,用来把程序的不同部分(代码、数据、资源等)分门别类存放。

作用

  • 分类存储:代码、数据、资源等分开存放,避免混乱。

    • 比如:代码放.text,全局变量放.data,字符串放.rodata

  • 内存管理:告诉操作系统每个部分的权限(可读/可写/可执行)。

    • 例如:代码节(.text)需要“可读+可执行”,但不能写入(防止被篡改)。

  • 优化效率

    • 未初始化的数据(如全局变量int a;)不占文件空间,只在内存中分配(ELF的.bss节)。

PE节区类型

节区名作用
.text存放可执行代码(CPU指令),权限通常是可读+可执行(RX)。
.data存放已初始化的全局变量(如int a = 10;),权限可读+可写(RW)。
.rdata存放只读数据(如字符串常量),权限只读(R)。
.rsrc存放资源(图标、菜单、对话框等),权限只读
.idata导入表(记录程序依赖的DLL及其函数),用于动态链接。

ELF节区类型

节区名作用
.text可执行代码(同PE),权限RX
.data已初始化的全局变量,权限RW
.bss未初始化的全局变量(如int a;),不占文件空间,内存中补零,权限RW
.rodata只读数据(类似PE的.rdata),权限R
.plt/.got动态链接的跳转表(类似PE的导入表),用于调用共享库(.so)的函数。
.dynamic动态链接信息(依赖哪些库、符号表等)

概念

段(Segment) 是操作系统加载程序时使用的“内存管理单元”。它定义了如何将文件中的内容(代码、数据等)映射到内存,并设置内存的访问权限(可读、可写、可执行)。

  • 文件中的节区 是分类打包的“小盒子”(比如代码盒、数据盒)。

  • 是最终装车的“大集装箱”,告诉操作系统:“这几个小盒子要一起运到内存的某个地方,并且只能按某种方式使用(比如代码集装箱只能读和执行,不能乱改)。”

一个段(如LOAD)可以包含多个节区(如.text.rodata),而一个节区也可能被拆分到不同段。

作用

  1. 内存映射

    • 指定文件中哪些部分(节区)需要加载到内存。

    • 例如:代码段(LOAD)包含.text节,数据段(LOAD)包含.data节。

  2. 权限控制

    • 设置内存页的访问权限(Read/Write/Execute)。

    • 例如:代码段权限是R-X(可读+可执行),数据段是RW-(可读+可写)。

  3. 对齐优化

    • 按内存页大小(如4KB)对齐,提高加载效率。

反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 6万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
工业控制应用程序二进制的秘密
qq_40229814的博客
03-15 1134
调试器处理程序之后是导入库F/FBS的子程序。每个静态链接的F/FB(function block)由两个子例程组成:一个子例程执行其主要功能(staticlib),另一个子例程初始化其本地内存(staticlib init)。与PLC编程器直接开发的代码相对应的用户自定义F/FB以类似的方式放置在每个F/FB的静态链接库之后 :首先是执行其主要功能的子程序(FB),然后是其初始化子程序(FB INIT)。倒数第二个子例程是主函数,在Codesys中名为PLC_PRG。
Linux 可执行文件结构与进程结构
秋叶原 && Mike || 麦克
04-19 6872
Linux可执行文件结构 在 Linux 下,程序是一个普通的可执行文件,以下列出一个二进制可执行文件的基本情况: 可以看出,此可执行文件在存储时(没有调入到内容)分为代码区(text)、数据区(data)和未初始化数据区(bss)3 个部分。各段基本内容说明如下: 代码区: 存放 CPU 执行的机器指令。通常代码区是可共享的(即另外的执行程序可以调用它),使其可共享的目的是对
通过二进制头识别文件类型
热门推荐
yagerfgcs的博客
05-16 2万+
通过二进制头识别文件类型,可以使用UE或者WinHex软件打开 1.JPEG/JPG - 文件头标识 (2 bytes): $ff, $d8 (SOI) (JPEG文件标识)  - 文件结束标识 (2 bytes): $ff, $d9 (EOI)  2.TGA - 未压缩的前5字节   00 00 02 0000 - RLE压缩的前5字节   00 00 10 0000
文件二进制头与文件类型的判断
每天记录点滴,日后总有收获。
10-06 1万+
如果有些文件,比如是媒体文件,因格式太多,如果没有后缀名的话,在WIN下面是很难知道他是什么类型的,只有用播放器去放才知道,最近在网上搜了一下,整理了一些常用文件的头部编码,这些头部编码可以用UltraEdit或是winhex来能过二进制方式打开文件来查看1、从Ultraedit查看的头部编码JPEG (jpg),文件头:FFD8FF PNG (png),文件头:89504E47
可执行程序的结构
weixin_30426879的博客
07-27 256
可执行程序的结构; 1.首先, 我们知道编程就是在写数据和处理数据的逻辑 2.一个应用程序编译以后, 得到可执行文件,这个文件就分为: 代码区, 常量区双击这个程序, 在宿主系统上会有一个应用程序加载器的软件.该程序会加载应用程序到内存中。加载内存中的时候, 程序中的全局变量, 常量等数据就开始加载。 3.内存划分为: 代码区(段), 常量区(段), BSS段, 堆区, 栈...
二进制文件操作(添加头信息)
BurgessKzg的博客
06-09 3390
  在做bootloader升级的时候,经常需要给需要升级的APP添加头信息,如果是成熟的项目,公司会用一个简单的上位机来添加头信息,但是对于预言项目,这个头信息就需要手动添加了,经过多种方法尝试,发现两种可行方法,总结如下。 1. 常用工具比较 工具 修改 添加 插件 ultraedit 可以 不可以 (未深究) 不需要 Notepad++ 可以 不可以 (未深究) 需要 FreeHexEditorNeo 可以 .
二进制菜鸟之PE文件结构
Blood_Pupil的博客
08-22 2395
所谓PE文件就是可执行文件在硬盘中存储是的文件表示,Windows中可执行文件文件表示的发展途径为com->LE(Linerar executable)->PE(Portable Executable File Formate)。操作系统识别可执行文件的方法是依赖于文件头而不是文件扩展名,如果当前文件格式不符合任何已定义文件头格式则将其按照COM文件格式装入即将整个文件的数据当做代...
用shell把(1到100)100个整数写入到二进制文件
hjjdebug的专栏
01-05 473
1. 问题分析(需求分析) 2. writeint() 的实现 3. 参考源码如下: 4. 执行效率测试
【游戏开发实战】Unity逆向怀旧经典游戏《寻秦OL》,解析二进制动画文件生成预设并播放(资源逆向 | 二进制 | C#)
linxinfa的专栏
01-03 1万+
【游戏开发实战】Unity逆向怀旧经典游戏《寻秦OL》,解析二进制动画文件生成预设并播放(资源逆向 | 二进制 | C#)
BIN二进制文件合并工具V1.1详细解析
weixin_29097457的博客
07-12 416
二进制文件合并工具主要应用于IT领域中,特别是在软件开发、数据恢复和系统维护等场景。该工具能够将多个二进制文件无损地合并为一个文件,对于开发者来说,它有助于合并代码片段、资源文件等;对于数据恢复,它可以用作重组损坏的文件;系统维护中,它可以用来合并日志文件,便于分析和存储。
如何在分析Windows可执行文件时理解并应用PE/COFF文件格式的二进制结构
11-07
理解PE/COFF文件格式的二进制结构对于分析Windows可执行文件至关重要。这份资源《Windows PE/COFF文件格式V8.1详解:可移植执行与对象文件标准》将为你提供深入的理论和实践指导,帮助你掌握PE/COFF规范,并将其应用...
Python初学者入门实战教程:构建网站与iOS应用源代码.zip
11-05
Python入门实战项目
流处理基于Kafka的实时消息系统架构设计与核心代码实现:电商用户行为分析场景应用
11-05
内容概要:本文围绕Kafka实时消息处理项目实战,系统讲解了Kafka的核心概念与分布式架构设计,包括Producer、Consumer、Broker、Topic和Partition等关键组件的工作机制。通过“电商用户行为实时分析”案例,详细展示了生产者与消费者端的Java代码实现,涵盖消息的可靠发送、批量处理、分区策略、偏移量管理及实时统计功能,并深入剖析了Kafka在实时日志收集、金融交易和物联网等场景中的应用。同时展望了Kafka与流处理引擎融合、云原生部署及多模态数据支持的发展趋势。; 适合人群:具备Java基础和一定分布式系统认知,从事大数据、后端开发或实时计算相关工作的工程师,尤其是工作1-3年的研发人员; 使用场景及目标:①掌握Kafka在实时消息处理中的架构设计与核心配置技巧;②理解并实践生产者可靠性保障、消费者并发消费与实时数据统计的编码实现;③应用于日志采集、用户行为分析、交易系统等高并发实时业务场景; 阅读建议:建议结合文中代码在本地环境搭建Kafka集群进行实操演练,重点关注生产者分区策略、消息确认机制与消费者组行为,并延伸学习Kafka与Flink等流处理框架的集成应用。
一步一步实现nginx 七层后端应用
11-05
一步一步实现nginx 七层后端应用
通信技术全光网六大趋势与F5.5G演进:光纤到户、工业互联及自动驾驶网络应用
11-05
内容概要:本文《迈向智能世界白皮书-全光网》系统阐述了全光网络在全球数字化转型背景下的发展趋势与技术演进方向。文章指出,全球光纤部署加速,FTTR将开启智慧家庭新时代,全光网深入企业办公与工业互联网,助力绿色低碳与安全可靠生产;光传送网络向单纤百T、全光调度发展,通信感知融合推动万物智联,全光网正迈向高度智能化的自动驾驶网络。白皮书还提出F5.5G愿景,强调在F5G基础上增强带宽、联接、体验,并新增绿色敏捷、实时韧性联接和光感知可视化三大能力,推动光网络从基础连接向智能服务升级。; 适合人群:通信行业从业者、网络基础设施建设相关人员、ICT技术人员、企业数字化转型负责人及政策制定者。; 使用场景及目标:①了解全光网络在家庭、企业、工业等场景的应用前景;②掌握光通信技术发展趋势,如FTTR、单纤百T、自动驾驶网络等;③为运营商、企业提供网络规划与升级的技术参考;④推动F5.5G标准与产业生态建设。; 阅读建议:建议结合图表与案例深入理解技术实现路径,关注华为提出的解决方案与行业实践,同时结合国家政策与产业发展趋势,全面把握全光网在智能社会中的战略地位。
基于SpringBoot框架构建的文本搜索引擎系统-支持文件读写预处理与数据存储-采用三层模块化架构设计包含Model层Persistence层与Web层-实现符号处理语法树构建与.zip
11-05
基于SpringBoot框架构建的文本搜索引擎系统_支持文件读写预处理与数据存储_采用三层模块化架构设计包含Model层Persistence层与Web层_实现符号处理语法树构建与.zip嵌入式通信协议与 Debug 实战指南
基于卡尔曼滤波的储能电池荷电状态SOC估计研究附Matlab代码.rar
最新发布
11-05
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
二进制文件比较工具HexCmp 234版发布
这种能力对于开发人员、系统管理员、安全研究人员等技术人员来说尤为重要,特别是在处理未格式化的原始数据、可执行文件、磁盘映像、加密文件等非文本文件时,传统的文本比较工具无法胜任,必须依赖二进制比较工具。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值