《Windows PE》2.1 初识PE文件

于 2024-08-22 08:25:28 发布
阅读量167 收藏 3
点赞数 10
分类专栏: Windows PE 文章标签: windows PE
本文链接:https://blog.csdn.net/bcdaren/article/details/141408873
版权

Windows PE文件(Portable Executable file)是一种可执行文件格式,用于Windows操作系统中的可执行程序、动态链接库(DLL)和驱动程序等。它是一种规范化的文件格式,定义了文件的结构和组织方式,以便操作系统能够正确加载和执行这些文件。

本节必须掌握的知识点:

        PE文件特征和组成

        初识PE文件

2.1.1 PE文件特征和组成

图2-1 PE结构划分

如图2-1所示,Windows PE文件的主要特征和组成部分包括:

DOS

DOS头由两部分组成:

●DOS MZ头(DOS Header): 这是一个用于兼容DOS环境的头部,包含了DOS程序的执行入口和其他相关信息。

●DOS块(DOS Stub):DOS驻留程序。是Windows可执行文件(PE文件)中的一个特殊部分,位于文件头之后、PE头之前的位置。它是为了兼容DOS环境而保留的一个小段程序代码,用于在DOS环境下执行一些简单的操作或显示一些特定信息。

PE

PE头由3部分组成:

●PE头标识(Signature):即“50 45 00 00”4个字节二进制数,为“PE\0\0”的ASCII码字符,用于标识该文件为PE文件。

●PE文件头(PE Header): 这是PE文件的主要头部,包含了PE文件的标识和一些基本信息,如机器类型、节表(Section Table)的位置和大小等。

●PE扩展头(OptionalHeader):位于PE文件头(PE Header)之后的一个可选部分,用于存储一些额外的信息和数据。扩展头的存在取决于PE文件的特定配置和需要。扩展头包括扩展头(Optional Header)和数据目录表(Data Directory Table)。

其中数据目录表中包含了16个数据目录项:

1.导入表(Import Table)和导出表(Export Table): 这些表用于描述PE文件中的导入和导出函数。导入表记录了PE文件所依赖的外部函数和库,而导出表记录了PE文件中自己提供给其他模块使用的函数。

2.重定位表(Relocation Table): 当PE文件被加载到内存中时,由于地址空间的不同,可能需要对其中的地址进行重定位。重定位表记录了需要进行地址重定位的位置和相关信息。

3.资源表(Resource Table): 资源表包含了PE文件中的资源,如图标、位图、字符串等。它们可以被应用程序或操作系统使用。

4.IAT表(Import Address Table)是Windows可执行文件中的一个重要数据结构,用于存储程序所依赖的外部函数的地址。它是在链接和加载过程中由操作系统动态填充的。

5.其他数据部分(Data Sections): PE文件还包括一些其他数据部分,如调试信息、TLS(Thread Local Storage)初始化数据等。

DOS头和PE头构成了PE文件的头部。接下来就是PE文件的数据部分。

PE数据区

PE数据区包含节表和节区内容两个部分组成。每个具体PE文件中节区的数量是不同的。

●节表(Section Table): 节表定义了PE文件中各个节(Section)的位置、大小和属性等信息。每个节都对应着PE文件中的一个逻辑部分,如代码节、数据节、资源节等。

●节内容:节表以下的部分就是各个节区的具体内容了,如.text、.rdata、.data节区等。

Windows PE文件格式是Windows操作系统的核心之一,了解它的结构和使用方式对于开发和分析Windows应用程序和驱动程序非常重要。

【注意】 PE文件格式的细节和特性可能会因不同的Windows版本和编译器而有所差异。

2.1.2 初识PE文件

我们借助WinHex工具来初步认识一下一个简单的PE文件HelloWorld.exe。

实验一:静态分析32位PE文件

我们将32位程序HelloWorld.exe拖入WinHex,如图1-2所示:

图2-2 初识PE文件

图1-2清晰的显示了一个真实的、在磁盘上的PE文件的基本结构。一个PE文件可以划分为DOS头、DOS块、PE头、节表和节区几个大区块。

每个PE文件的DOS头的大小都是64个字节,都具有“4D5A”两个字节的DOS头特征字符“MZ”。而DOS块的大小却是可变的。

每个PE文件都有PE 文件标识“PE\0\0”,即0x00004550。PE头的大小也同样是可变的。通常绝大多数32位PE文件的PE头的大小是相同的,为248字节。而64位PE文件的PE头大小为264个字节。在一些特例中,有可能会人为的修改扩展头的大小。

每个PE文件节表的大小和节区的大小都有可能不相同。每个节表项都对应一个节区。在图2-2中,HelloWorld.exe包含.text、.rdata和.data 3个节区,分别对应3个节区。

实验二:静态分析64位PE文件

将64位程序notepad64.exe拖入WinHex,如图2-3所示:

图2-3 64位PE静态分析

64位PE文件格式与32位PE文件格式几乎相同,同样包含DOS头、DOS块、PE头、节表和节区。也同样包含”MZ”和”PE/0/0”特征。如果仔细观察就会发现,64位PE文件的PE头的大小为264个字节,而32位PE文件的PE头大小为248个字节。我们将在下一章详细讲解具体的区别。

bcdaren
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
《Windwos PE》1.3 动态调试工具
08-19 965
在Visual Studio中调试时,大部分的功能是借助菜单或按钮实现,而Windbg调试器是建立在命令之上。用户输入一个命令,调试器用文本描述命令执行的结果给出响应。在GUI模式下,一些结果用专门的窗口进行显示,比如局部变量、栈、线程等。正是因为这种调试模式,所以Windbg调试器学习的门槛就要相对高一些,得记这些命令。■。
博客
《Windows PE》第一章 PE学习环境搭建
08-13 763
可以看出,当程序调试的时候,如果修改了 test1.asm,也就是说test1.obj的文件时间比test1.asm 要早,就需要重新执行步骤(1)和(4)。隐含规则不能有依赖文件,所以下面没有内容,例子中的第17、18行定义了从 asm文件建立obj文件的隐含规则,第19和20行定义了从rc文件建立res文件的隐含规则,隐含规则中无法指定确定的输入文件名,因为输入文件名是泛指的有相同扩展名的一整类文件,这时候就要用到几个特殊的内定宏来指定文件名,这些宏是$@,$*, $?为了能存放自己编写的汇编代码。
博客
《Windows API每日一练》24.1 WinSock简介
08-01 377
本节将逐一介绍WinSock的主要特性和组件,套接字、WinSock动态库的使用。本节必须掌握的知识点: Windows Socket接口简介 Windows Socket接口的使用 第178练:网络时间校验■以下是WinSock的主要特性和组件:●套接字(Socket): 套接字是网络通信的基本概念,它代表了一个网络连接的端点。WinSock提供了函数来创建、绑定、连接和关闭套接字,以及发送和接收数据。●协议支持: WinSock支持多种网络协议,包括TCP/IP
博客
《Windows API每日一练》23.1 Windows多媒体
07-31 489
你可以使用预定义的命令字符串,也可以自定义命令字符串来实现特定的功能。但对于更复杂的多媒体处理,如音频编码、视频渲染等,可能需要使用更高级别的多媒体框架和API,如Media Foundation或DirectShow,这些内容本书并不涉及,有兴趣的读者可以查阅MSDN等相关资料。在这种情况下 mciSendString函数会立即返回,但是,当MCI命令中指定的操作结束后, mciSendString的最后一个参数所指定的句柄代表的窗口将收到一条MM_MCINOTIFY消 息。这就是所谓的“CD音频“。
博客
《Windows API每日一练》22.3 SHE异常
07-30 630
lpSEH参数指向注册回调函数时使用的EXCEPTION_REGISTRATION结构的地址,在例子程序中,它的值就是我们在堆栈中构造的这个结构的地址,这个参数 看上去似乎没有什么用处,例子程序中也确实没有用到它,但是如果希望异常处理程序能 够被封装在子程序里面的话,这个参数就是不可缺少的,因为使用它可以避免使用全局变量在模块和回调函数之间传递数据,在接下来的内容中读者会了解到如何做到这一点。发生异常时,由异常回调函数接管异常,处理异常后继续执行异常发生后的下一条指令。
博客
《Windows API每日一练》21.2 执行可执行程序
07-29 745
因此,应该谨慎使用,避免对正在运行的进程造成不可预料的结果。TerminateProcess函数不是一个推荐使用的函数,一般仅在很极端的情况下使用(如任务管理器用来结束停止响应的进程),因为它将目标进程无条件结束,被结束的进程根本 没有机会进行扫尾工作,同时,目标进程使用的dll文件也不会收到结束通知,所以极有 可能造成数据丢失。当某个进程创建了一个新的进程的时候,被创建的进程称为“子进程”,创建它的进程称为“父进程”,子进程可以从父进程那里继承环境变量以及其他一些对象,在子进程中可以继续创建“孙进程”。
博客
《Windows API每日一练》20.1 动态链接库
07-28 1031
在应用程序中,可以使用动态链接库的函数和资源,通过加载 DLL 文件并调用其中的导出函数来实现。链接器将根据.def文件中的导出列表来生成DLL,并确保这些函数和符号在DLL中是可见和可调用的。但使用.def文件可以提供更精确的控制,例如指定导出函数的名称和序号(C\C++引用动态链接库时,将.def文件包含在了头文件中)。是用以确保函数名称被添加到EDRLIB.LIB中的关键字而已(使得链接器在链接使用这些函数的应用程序时可以正确解析该函数名),并且用于确保这些函数在EDRLIB.DLL中可见。
博客
《Windows API每日一练》19.2 Windows多线程
07-27 849
这个窗口过程很简单.。在处理WM_CREATE消息时,它设定该结构的hwnd和cyChar字段,调用_beginthread函数创立一个使用Threadl函数的新线程并且传递给新线程一个指向该PARAMS结构的指针。这个实现看起来很好:如果一个程序在花很长时间处理一条消息,那么当鼠标在该程序的窗口上时,鼠标指针会显示为沙漏,而当它在另一个程序的窗口上时,就变成正常的箭头了。在主线程中,我们创建一个新的线程,等待线程结束后,使用GetExitCodeThread函数获取线程的退出代码,并将其打印出来。
博客
《Windows API每日一练》第十八章 多文档界面
07-26 1256
在WM_MDIACTIVATE消息中,wParam和lParam的值分别是将变成非活动窗口和活动窗口的窗口句柄。框架窗口可以向客户窗口发送这个消息来激活某个子窗口,而客户窗口既会把这个消息发送给被激活的子窗口,也会发送给从活动状态进入后台的那个子窗口,来通知它们这个变化。在子文档窗口的WM_CREATE消息中,lParam是指向CREATESTRUCT结构的指计,而这个结构的 lpCreateParams字段是一个指向用来创建窗口的MDICREATESTRUCT结构的指针。”的文档窗口相联系的。
博客
《Windows API每日一练》16.1 简单的文本输出
07-25 576
3.第3个Tab开始的位置应为10+(8的倍数),即18、26、34、42或50等,但因8、18、26、34、42处要么被字符占用,要么被以前的两个Tab占用,所以第3个Tab从50开始,然后输出h字符。3.第3个Tab开始的位置应为8的倍数,即8、16、24、32或40等,但因8、16、24、32处要么被字符占用,要么被以前的两个Tab占用,所以第3个Tab从40开始,然后输出h字符。2.第2个Tab为16(2*字符宽度的8倍)的位置(即刻度16)处开始,由于字符数不够,得再补充6个空格字符。
博客
《Windows API每日一练》第十五章 调色板
07-24 889
●Windows规定,活动窗口(标题栏高亮显示的程序)的逻辑调色板(如果有的话)具有最高的实现优先权,这是因为活动窗口是当前与用户交互的窗口,应该保证其有最佳的颜色显示。)更新客户区的颜色。如前面的“调色板原理图”中,逻辑调色板的索引1中的颜色与系统调色板中的第23号索引与其完全匹配,但逻辑调色板中的索引15和系统调色板中的索引46是不完全匹配的。1.首先将逻辑调色板中的项与系统调色板中的项作完全匹配,对于逻辑调色板中不能完全匹配的项将其加入到系统调色板的空白项中,系统调色板总共有236个空白项可供使用。
博客
《Windows API每日一练》14.1 位图基础
07-23 508
问题在于,这些位图不能被保存和用在另一个有着不同颜色组织的图形输出设备上,比如,不能用在一个每像素8位,能显示256种颜色的显示器上。人们常常会忘记最早的VGA的色彩限制,因为其他的硬件生产商很快就开发了“超级VGA”(或SVGA)适配器,它有更多的显示内存,而且能在640*480的模式下显示256种颜色或更多颜色。位图除了有空间尺寸外,还有颜色维度,也就是每个像素所需的位的数目,有时候又叫位图的颜色深度(Color Depth),或位数,或每像素位数(bbp)。位图的每个像素都有同样 的颜色位数。
博客
《Windows API每日一练》13.1 打印基础
07-22 832
在Windows中使用打印机时,在调用一系列与打印相关的GDI绘图函数的背后,实际上启动了一系列模块之间复杂的交互过程,包括 GDI32库模块、打印机设备驱动程序库模块(带.DRV后缀的文件)、Windows后台打印处理程序(print spooler)和其他有关模块。在开始为打印机编程之前,让我们先来看一下这个过程是如何工作的。本节必须掌握的知识点: 打印和后台处理 打印机设备环境 第79练:获取显示器及打印机设备信息 第80练:
博客
《Windwos API每日一练》12.1 剪贴板的简单用法
07-21 965
在32位Windows中,GMEM_FIXED可以正常使用,因为它返回一个虚拟地址,操作系统可以通过改变页表移动物理内存里的内存块。例如,在Windows NT下,如果某程序用CF_TEXT剪贴板数据类型来使用SetClipboardData,那么你也可以用 CF_OEMTEXT来调用GetClipboardData。但是,在之后打开剪貼板以取得文本时,应该再次进行检査(用同样的函数或者其他某种方法),以确定CF_TEXT数据是否仍保存在剪贴板中。如果这是个潜在的问题,就需要用可移动内存,具体用法如下。
博客
《Windows API每日一练》11.4 Richedit控件
07-20 794
在使用 RichEdit 控件时,可以通过代码创建控件实例并进行初始化,也可以在资源编辑器中添加 RichEdit 控件并在程序中获取该控件的句柄进行操作。在上述示例中,通过捕获 WM_COMMAND 和 WM_NOTIFY 消息,并根据消息的参数进行判断,可以处理 RichEdit 控件的命令消息和通知消息。根据具体的消息类型和参数,可以执行相应的处理逻辑。●超链接:RichEdit 控件支持文本中的超链接,可以将文本或图片转换为可点击的链接,点击链接时可以执行相应的操作,如打开网址、跳转到其他部分等。
博客
《Winodws API每日一练》11.3 工具栏控件
07-19 1208
因为不同控件的通知消息都使用 WM_NOTIFY消息,有些通知消息可能需要附带其他数据,这时仅使用一个NMHDR结 构来表达是不够的,Windows的处理办法是为需要附带其他数据的WM_NOTIFY消息定义不同的数据结构,但这些结构头部都是一个NMHDR结构,NMHDR结构以后才是其他字段,这样在得知通知码之前,把lParam参数指针当做一个NMHDR结构来处理总是正确的。NMTOOLBAR 消息的参数是一个 NMHDR 结构体,其中包含了关于通知消息的详细信息,包括发送消息的控件句柄、标识符和消息代码。
博客
《Windows API每日一练》10.3 公用对话框
07-18 955
为防止该结构被释放,要声明为静态变量。以上代码首先初始化了 OPENFILENAME 结构体,并设置了相关的成员,如文件过滤器、文件路径缓冲区、默认文件扩展名等。如果用户点击了保存按钮并选择了文件路径,您可以通过 ofn.lpstrFile 获取选择的文件路径,并进行相应的处理。如果用户点击了确定按钮并选择了颜色,您可以通过 cc.rgbResult 获取选择的颜色,并进行相应的处理。要使用公共文件对话框来进行查找和替换操作,您可以使用 FindText 和 ReplaceText 函数以及相应的结构体。
博客
《Windows API每日一练》10.2 非模态对话框
07-17 616
如果查找对话框是一个模态对话框,用户将不得不从菜单中选择査找,输入想找的字符串,结束对话框以返回到文档,然后重复整个过程査找同一字符串的另一实例。如果消息是针对非模态对话框的,IsDialogMessage就会将其发送到对话框窗口过程并返回 TRUE(非零),否则返回FALSE(0)。■第三个差异:与模态对话框和消息框的消息不同的是,非模态对话框的消息要进入你 程序的消息队列。如上图所示,模态对话框的消息循环使用Windows系统内置的消息循环,包含一个自定义对话框窗口过程和系统内建的默认对话框窗口过程。
博客
《Windows API 每日一练》10.1 模态对话框
07-16 706
【注意】添加标题的前提是对话框属性中必须包含标题栏,可以在VS中设置对话框属性,也可以直接在rc资源文件文件中添加WS_CAPTION样式。也可以在VS中打开对话框资源,选中对话框后点击鼠标右键,单机属性菜单,在属性栏修改对话框属性。对话框的窗口过程属于Windows。这个函数的参数包括实例句柄、对话框的名称(在资源脚本中定义)、父窗口(此程序的主窗口)和对话框过程的地址。当对话框过程处理一条消息时,它会返回TRUE(非零——消息处理成功),而当它不处理一条消息时,返回FALSE(零——消息处理失败)。
博客
《Windows API每日一练》9.3.1 快捷键
07-15 858
对有多个窗口和窗口过程的应用程序,快捷键变得十分重要。通常,这会是你的主窗口,亦即拥有菜单的那个窗口,这意味着响应快捷键的逻辑不需要被复制到每一个窗口过程。如果是菜单发送的WM-command消息,则通过调用SendMessage函数向edit控件发送WM_UNDO、WM_COPY、WM_CUT 、WM_PASTE、WM_CLEAR、EM_SETSEL消息,分别对应UNDO 、CUT 、COPY、PASTE、CLEAR、SETSEL_ALL菜单,HELP和ABOUT菜单弹出MessageBox框提示信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值