PE文件结构详解

最新推荐文章于 2022-05-06 17:17:10 发布
最新推荐文章于 2022-05-06 17:17:10 发布
阅读量1k 收藏
点赞数
分类专栏: 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tonychan129/article/details/21054425
版权

我们大家都知道,在Windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件的 修改。

PE文件框架构成
DOS MZ header
DOS Stub
PE header
Section table
Section 1
Section 2
Section...
Section n

    上表是PE文件结构的总体层次分布。所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header开始,在偏移0处有DOS下可执行文件的“MZ标志”,有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随 MZ header之后的DOS Stub。紧接着DOS Stub的是PE header。PE header是PE相关结构IMAGE_NT_HEADERS的简称,其中包含了许多PE装载器用到的重要域。可执行文件在支持PE文件结构的操作系统 中执行时,PE装载器将从DOS MZ header的偏移3CH处找到PE header的起始偏移量。因而跳过了DOS Stub直接定位到真正的文件头PE header。

    小知识:DOS Stub实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串“This program cannot run in DOS mode”或者程序员可根据自己的意图实现完整的DOS代码。通常DOS Stub由汇编器/编译器自动生成,对我们的用处不是很大,它简单调用中断21h服务9来显示字符串“This program cannot run in DOS mode”。

    PE文件的真正内容划分成块,称之为Sections(节)。每节是一块拥有共同属性的数据,比如“.text”节等,那么,每一节的内容都是什么呢?实 际上PE格式的文件把具有相同属性的内容放入同一个节中,而不必关心类似“.text”、“.data”的命名,其命名只是为了便于识别,所有,我们如果 对PE格式的文件进行修改,理论上讲可以写入任何一个节内,并调整此节的属性就可以了。

    PE header 接下来的数组结构Section table(节表)。每个结构包含对应节的属性、文件偏移量、虚拟偏移量等。如果PE文件里有5个节,那么此结构数组内就有5个成员。

    以上就是PE文件格式的物理分布,下面将总结一下装载一PE文件的主要步骤:

1.PE文件被执行,PE装载器检查DOS MZ header里的PE header偏移量。如果找到,则跳转到PE header。 
2.PE装载器检查PE header的有效性。如果有效,就跳转到PE header的尾部。 
3.紧跟 PE header的是节表。PE装载器读取其中的节信息,并采用文件映射方法将这些节映射到内存 ,同时附上节表里指定的节属性。 
4.PE文件映射入内存后,PE装载器将处理PE文件中类似Import table(引入表)逻辑部分。

    PE文件头定义

我们可以在Winnt.h这个文件中找到关于PE文件头的定义:
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature
//PE文件头标志 :“PE/0/0”。在开始DOS header的偏移3CH处所指向的地址开始
IMAGE_FILE_HEADER FileHeader;        //PE文件物理分布的信息
IMAGE_OPTIONAL_HEADER32 OptionalHeader;    //PE文件逻辑分布的信息
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
typedef struct _IMAGE_FILE_HEADER {
WORD    Machine;            //该文件运行所需要的CPU,对于Intel平台是14Ch
WORD    NumberOfSections;        //文件的节数目
DWORD   TimeDateStamp;        //文件创建日期和时间
DWORD   PointerToSymbolTable;    //用于调试
DWORD   NumberOfSymbols;        //符号表中符号个数
WORD    SizeOfOptionalHeader;    //OptionalHeader 结构大小
WORD    Characteristics;        //文件信息标记,区分文件是exe还是dll
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD    Magic;            //标志字(总是010bh)
BYTE    MajorLinkerVersion;        //连接器版本号
BYTE    MinorLinkerVersion;        //
DWORD   SizeOfCode;            //代码段大小
DWORD   SizeOfInitializedData;    //已初始化数据块大小
DWORD   SizeOfUninitializedData;    //未初始化数据块大小
DWORD   AddressOfEntryPoint;     

PE装载器准备运行的PE文件的第一个指令的RVA,若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行(以往许多文章都有介绍RVA,请大家先了解)。

DWORD   BaseOfCode;            //代码段起始RVA
DWORD   BaseOfData;            //数据段起始RVA
DWORD   ImageBase;            //PE文件的装载地址
DWORD   SectionAlignment;        //块对齐
DWORD   FileAlignment;        //文件块对齐
WORD    MajorOperatingSystemVersion;//所需操作系统版本号
WORD    MinorOperatingSystemVersion;//
WORD    MajorImageVersion;        //用户自定义版本号
WORD    MinorImageVersion;        //
WORD    MajorSubsystemVersion;    //win32子系统版本。若PE文件是专门为Win32设计的
WORD    MinorSubsystemVersion;    //该子系统版本必定是4.0否则对话框不会有3维立体感
DWORD   Win32VersionValue;        //保留
DWORD   SizeOfImage;            //内存中整个PE映像体的尺寸
DWORD   SizeOfHeaders;        //所有头+节表的大小
DWORD   CheckSum;            //校验和
WORD    Subsystem;            //NT用来识别PE文件属于哪个子系统
WORD    DllCharacteristics;        //
DWORD   SizeOfStackReserve;        //
DWORD   SizeOfStackCommit;        //
DWORD   SizeOfHeapReserve;        //
DWORD   SizeOfHeapCommit;        //
DWORD   LoaderFlags;            //
DWORD   NumberOfRvaAndSizes;    //
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
//IMAGE_DATA_DIRECTORY 结构数组。每个结构给出一个重要数据结构的RVA,比如引入地址表等
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD   VirtualAddress;        //表的RVA地址
DWORD   Size;                //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

PE文件头后是节表,在winnt.h下如下定义
typedef struct _IMAGE_SECTION_HEADER {
BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text”
union {
    DWORD   PhysicalAddress;    //物理地址            
    DWORD   VirtualSize;        //真实长度
} Misc;
DWORD   VirtualAddress;        //RVA
DWORD   SizeOfRawData;        //物理长度
DWORD   PointerToRawData;        //节基于文件的偏移量
DWORD   PointerToRelocations;    //重定位的偏移
DWORD   PointerToLinenumbers;    //行号表的偏移
WORD    NumberOfRelocations;    //重定位项数目
WORD    NumberOfLinenumbers;    //行号表的数目
DWORD   Characteristics;        //节属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

以上结构就是在Winnt.h中关于PE文件头的定义,如何我们用C/C++来进行PE可执行文件操作,就要用到上面的所有结构,它详细的描述了PE文件头的结构。

修改PE可执行文件
    现在让我们把一段代码写入任何一个PE格式的可执行文件,代码如下:
-- test.asm --
.386p
.model flat, stdcall
option casemap:none

include /masm32/include/windows.inc
include /masm32/include/user32.inc
includelib /masm32/lib/user32.lib

.code

start:
    INVOKE MessageBoxA,0,0,0,MB_ICONINFORMATION or MB_OK
    ret
end start
以上代码只显示一个MessageBox框,编译后得到二进制代码如下:
unsigned char writeline[18]=;

好,现在让我们看看该把这些代码写到那。现在用Tdump.exe显示一个PE格式得可执行文件信息,可以发现如下描述:
Object table:
#   Name      VirtSize    RVA     PhysSize Phys off Flags   
-- -------- -------- -------- -------- -------- --------
01 .text     0000CCC0 00001000 0000CE00 00000600 60000020 [CER]
02 .data     00004628 0000E000 00002C00 0000D400 C0000040 [IRW]
03 .rsrc     000003C8 00013000 00000400 00010000 40000040 [IR]

Key to section flags:
C - contains code
E - executable
I - contains initialized data
R - readable
W - writeable

    上面描述此文件中存在3个段及每个段的信息,实际上我们的代码可以写入任何一个段,这里我选择“.text”段。用光盘中提供的代码可以得到一个PE格式可执行文件的头信息。

    由于在PE格式的文件中,所有的地址都使用RVA地址,所以一些函数调用和返回地址都要经过计算才可以得到。

LceChan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pe文件结构解析  c\C++ 源程序+pe资料
05-28
Pe文件结构解析  c\C++ 源程序+pe资料 Microsoft visual studio 2008编译 Winhex工具
接扫理解.exe文件结构原理即运行过程
最新发布
s_sos0的博客
10-07 1426
接扫理解.exe文件结构原理即运行过程
理解.exe文件结构原理即运行过程
m0_55685698的博客
05-06 1万+
windows上运行一个.exe文件的原理和过程。一、什么是exe? 二、exe文件结构及原理 三、运行exe的原理和过程 四、exe文件病毒原理
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE文件结构详解.pdf
03-23
PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。
拼图的EXE文件
01-12
拼图 原创 游戏 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; namespace WindowsFormsApplication1 { public partial class Form1 : Form { Random r = new Random();//随机种子 Point pi = new Point();//出界返回 Point[] pt = new Point[8];//判断胜负 string[] st = new string[8];//判断胜负 public Form1() { InitializeComponent(); } private void Form1_Load(object sender, EventArgs e) { pictureBox1.Left -= 800; tianjia(); panduan(); } void tianjia()//添加图片 { string si;//获取坐标 int i = 7;//图片数量 int n = 0;//变量 string[] s = { "000000", "000100", "000200", "100000", "100100", "100200", "200000", "200100"}; ComboBox cb = new ComboBox(); ComboBox cc = new ComboBox(); cb.Items.AddRange(s);//确定坐标 cc.Items.AddRange(s);//确定图像 for (n = 0; n < 8; n++) { PictureBox p = new PictureBox();//创建拼图 p.Name = "i" + i; p.Size = new Size(100, 100); p.BackColor = Color.Red; si = cb.Items[r.Next(0,i)].ToString();//打乱拼图坐标 p.Location = new Point(Convert.ToInt32(si) / 1000, Convert.ToInt32(si) % 1000); cb.Items.Remove(si); Bitmap bit = new Bitmap(99, 99);//给拼图添加背景图片 Graphics g = Graphics.FromImage(bit); g.DrawImageUnscaled(pictureBox1.Image, -Convert.ToInt32(cc.Items[i]) / 1000, -Convert.ToInt32(cc.Items[i]) % 1000); p.Image = bit; Controls.Add(p);//把拼图画到窗体上 pt[n] = new Point(Convert.ToInt32(cc.Items[i]) / 1000, Convert.ToInt32(cc.Items[i]) % 1000); st[n] = p.Name; i--; } } private void Form1_KeyPress(object sender, KeyPressEventArgs e) { pi = pictureBox2.Location; string key = e.KeyChar.ToString(); switch (key)//图片移动 { case "w": pictureBox2 .Top -= 100; break; case "s": pictureBox2.Top += 100; break; case "a": pictureBox2.Left -= 100; break; case "d": pictureBox2.Left += 100; break; } if (pictureBox2.Location.X < 0 || pictureBox2.Location.X > 200 || pictureBox2.Location.Y < 0 || pictureBox2.Location.Y > 200) pictureBox2.Location = pi;//判断出界 foreach (Control i in Controls)//反向移动 if (i.Location == pictureBox2.Location&&i.Name!="pictureBox2") { switch (key) { case "w": i.Top += 100; break; case "s": i.Top -= 100; break; case "a": i.Left += 100; break; case "d": i.Left -= 100; break; } } panduan(); } void panduan() { int ai = 0; for (int n = 0; n < 8; n++) foreach (Control i in Controls) if (i.Name == st[n] && i.Location == pt[n]) ai++; label1.Text = ai.ToString(); if (ai == 8) { MessageBox.Show("恭喜你,通关了"); Close(); } } private void button1_Click(object sender, EventArgs e) { if (pictureBox1.Location.X == -800) pictureBox1.Left += 800; else pictureBox1.Left -= 800; } } }
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS头 3 三、 PE文件头 4 1、PE标识 4 2、映像文件头IMAGE_FILE_HEADER 4 3、可选映像头文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1、查找序列号的错误打开方式和正确打开方式 16
PE文件结构图,很详细,方便大家下载
08-21
很方便查看的PE文件结构图,看起来很方便 很方便查看的PE文件结构图,看起来很方便
PE文件结构及其加载机制(一)
weixin_34082695的博客
09-01 169
一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位...
PE文件内名存实亡的对齐
xuenixiang.com
07-21 1576
本文章是我在看雪转载的,感觉非常有用,让我明白了一个核心道理:PE格式只是一个参考 PE文件内名存实亡的对齐大家知道PE文件中IMAGE_NT_HEADERS的IMAGE_OPTIONAL_HEADER32里有两个对其因子SectionAlignment和FileAlignment分别表示内存中块的对齐和文件中块的对齐。我同时翻阅了Visual Studio, Microsoft Portabl...
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件结构
c630843901的博客
04-28 632
文章目录DOS头PE头区段表区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOS头 DOS
PE文件结构初探
qq_40026795的博客
01-10 120
PE概念: PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,然而不管什么后缀都可以是可执行文件,只要满足正确的PE结构PE文件结构: 1、DOS头: DOS MZ 头: 偏移0位置为MZ标志 偏移位置3Ch(e_...
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8431
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
PE文件详解之块表
知其所以然
09-03 1331
先来看看PE文件框架结构,多看几遍,就不陌生啦     按照进度,今天该学习块表啦。    PE文件到内存的映射。           在执行一个PE文件的时候,Windows并不是在一开始就将整个文件读入内存,而是采用域内存映射文件机制类似的机制。           换而言之,Windows加载器在装载的时候,仅仅是建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个
PE文件格式分析及修改.doc
02-21
总结来说,了解PE文件格式对于软件开发者、逆向工程师和安全分析师来说非常重要,它涉及到了操作系统底层的交互方式,文件结构的解析,以及潜在的安全威胁检测。通过深入研究和分析PE文件,可以确保程序的正确加载和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值