介绍
PE文件是windows操作系统的可执行文件格式(包括.exe、.scr、.dll、.sys、.obj等文件),PE文件指32位的可执行文件,也称为PE32。64位可执行文件称为PE+或PE32+,是PE32文件的一种扩展形式。
基本结构
PE文件包含PE头与PE体,研究PE文件格式,就是研究构成PE头的结构体。
PE头包含的基本结构如下:
1.DOS头
2.DOS存根
3.NT头
4.节区头(sectionHeader)
PE头中一些重要的信息
NT头:可选头(IMAGE_OPTIONAL_HEADER32)
1.AddressOfEntryPoint : EP的RVA值,程序最先执行的代码起始地址。
2.DataDirectory:IMAGE_DATA_DIRECTORY结构体数组
DataDirectory[0]:EXPORT Directory 导出表(EDT)的RVA地址
DataDirectory[1]:IMPORT Directory 导入表(IAT)的RVA地址
DataDirectory[9]:TLS Directory
IAT
IMAGE_IMPORT_DESCRIPTOR 结构体描述PE装载时的必须信息。每一个dll对应一个IMAGE_IMPORT_DESCRIPTOR 结构体,结构体的结构如下:
OriginalFirstThunk; //INT(Import Name Table) address(RVA)
TimeDateStamp;
ForwarderChain;
Name;//the name(string) of the dll
FirstThunk;//IAT(Import Address Table) address (RVA)
以装载kernel32.dll为例,PE装载器将导入函数输入至IAT的流程:
1.读取IID的Name,获取到库名称(“kernel32.dll”)
2.装载库(LoadLibrary(“kernel32.dll”))
3.读取IID的OriginalFirstThunk成员,获取INT地址
4.逐一读取INT中的函数名地址
5.通过函数名地址获取到函数名(eg.GetCurrentThreadId),获取函数的起始地址:GetProcAddress(“GetCurrentThreadId”)
6.读取IID的FirstThunk,获取IAT地址;
7.将函数地址填入到IAT项
8.重复4-7,直到INT结束
EAT
IMAGE_EXPORT_DIRECTORY 结构体描述PE文件的EAT信息,一个PE文件只包含一个IMAGE_EXPORT_DIRECTORY结构体。其结构如下:
NumberOfFunctions // Export函数的个数
NumberOfNames //Export函数中具名的函数个数
AddressOfFunctions // Export函数地址数组
AddressOfNames // 函数名称地址数组
AddressOfNameOrdinals // Ordinal地址数组
注:AddressOfFunctions与AddressOfNames的下标一般不互相对应, Ordinal地址数组是它们下标之间的映射。
759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
