PE 格式详解

cwei231

已于 2024-03-29 12:00:39 修改

阅读量970

点赞数 16

文章标签： c++

于 2024-03-29 12:00:17 首次发布

本文链接：https://blog.csdn.net/cwei231/article/details/135451070

版权

一般概述

windows 下的可执行文件是一个exe ，采用额是PE格式来描述一个执行文件，执行的时候被操作系统中的加载器加载到内存中。先展示一个exe 按照PE格式解析出来的结果。

名字解释

下面的表格是从微软官方获取的名词解释：

名称	描述
属性证书	用于将可验证声明与映像关联的证书。许多不同的可验证声明可以与文件相关联；其中最有用的一个声明是软件制造商的声明，此声明指示映像的消息摘要应该是什么。消息摘要类似于检验和，只是很难伪造。因此，很难修改文件以使其具有与原始文件相同的消息摘要。可以使用公钥或私钥加密方案来验证声明是否是由制造商发出的。本文档描述了有关属性证书的详细信息，但不允许将其插入到图像文件中。
日期/时间戳	在 PE 或 COFF 文件中的多个位置用于不同目的的戳记。在大多数情况下，每个标记的格式与 C 运行时库中的时间函数使用的格式相同。有关异常，请参见调试类型中 IMAGE_DEBUG_TYPE_REPRO 的说明。如果戳记值为 0 或 0xFFFFFFFF，则它不表示实际或有意义的日期/时间戳。
文件指针	链接器（对于目标文件）或加载器（对于映像文件）处理之前文件本身中项的位置。换句话说，这是存储在磁盘上的文件内的位置。
链接器	随 Microsoft Visual Studio 一起提供的链接器引用。
对象文件	作为链接器输入提供的文件。链接器生成一个映像文件，而此映像文件又用作加载器的输入。术语“目标文件”并不一定意味着与面向对象的编程有任何联系。
已保留，必须为 0	字段的描述，指示该字段的值对于生成器来说必须为零，而使用者必须忽略该字段。
相对虚拟地址 (RVA)	在映像文件中，这是项目加载到内存并从中减去映像文件基地址后的地址。项目的 RVA 几乎总是与其在磁盘上文件中的位置（文件指针）不同。在目标文件中，RVA 的意义不大，因为未分配内存位置。在这种情况下，RVA 将是一个段内的地址（此表后面将进行描述），稍后在链接期间会对此地址应用重定位。为简单起见，编译器应只将每个部分中的第一个 RVA 设置为零。
section	PE 或 COFF 文件中代码或数据的基本单位。例如，目标文件中的所有代码都可以组合在单个部分中，或者（取决于编译器行为）每个函数都可以占用自己的部分。部分越多，文件开销就越大，但链接器能够更有选择性地链接代码。一个部分类似于 Intel 8086 体系结构中的段。一个部分中的所有原始数据都必须连续加载。此外，映像文件可以包含多个具有特殊用途的部分，例如 .tls 或 .reloc 。
虚拟地址 (VA)	与 RVA 相同，只不过不减去映像文件的基址。该地址称为 VA，因为 Windows 会为每个进程创建一个独立于物理内存的不同 VA 空间。对于几乎所有目的，VA 应只被视为一个地址。 VA 不如 RVA 那么可预测，因为加载器可能不会在其首选位置加载映像。

PE 文件的模块介绍

下面我们来一个个解析PE文件的每一个模块：

IMAGE_DOS_HEADER：

DOS头的作用是兼容MS-DOS操作系统中的可执行文件，对于32位PE文件来说，DOS所起的作用就是显示一行文字，提示用户：我需要在32位windows上才可以运行。

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

执行文件用十六进制显示

我们只需要关注两个域：

e_magic：一个WORD类型，值是一个常数0x4D5A，用文本编辑器查看该值位‘MZ’，可执行文件必须都是'MZ'开头。

e_lfanew：为32位可执行文件扩展的域，用来表示DOS头之后的NT头相对文件起始地址的偏移。

从图中可以看到是0x000000e8 这个位置，所以下一个位置就是NT的头

DOS存根位于DOS头下方，是个可选项，且大小不固定，即使没有DOS存根，文件也能正常运行，DOS存根由代码与数据混合而成

IMAGE_NT_HEADERS：

顺着DOS头中的e_lfanew，我们很容易可以找到NT头，这个才是32位PE文件中最有用的头

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature：类似于DOS头中的e_magic，其高16位是0，低16是0x4550，用字符表示是'PE‘。

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine：Machine：该文件的运行平台，是x86、x64还是I64等等

NumberOfSections：该PE文件中有多少个节，也就是节表中的项数。

TimeDateStamp：PE文件的创建时间，一般有连接器填写。

PointerToSymbolTable：COFF文件符号表在文件中的偏移。

NumberOfSymbols：符号表的数量。

SizeOfOptionalHeader：紧随其后的可选头的大小。

Characteristics：可执行文件的属性，可以是下面这些值按位相或。

IMAGE_OPTIONAL_HEADER32

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Magic：表示可选头的类型。

MajorLinkerVersion和MinorLinkerVersion：链接器的版本号。

SizeOfCode：代码段的长度，如果有多个代码段，则是代码段长度的总和。

SizeOfInitializedData：初始化的数据长度。

SizeOfUninitializedData：未初始化的数据长度。

AddressOfEntryPoint：程序入口的RVA，对于exe这个地址可以理解为WinMain的RVA。对于DLL，这个地址可以理解为DllMain的RVA，如果是驱动程序，可以理解为DriverEntry的RVA。

BaseOfCode：代码段起始地址的RVA。

BaseOfData：数据段起始地址的RVA。

ImageBase：映象（加载到内存中的PE文件）的基地址，这个基地址是建议，对于DLL来说，如果无法加载到这个地址，系统会自动为其选择地址。

SectionAlignment：节对齐，PE中的节被加载到内存时会按照这个域指定的值来对齐，比如这个值是0x1000，那么每个节的起始地址的低12位都为0。

FileAlignment：节在文件中按此值对齐，SectionAlignment必须大于或等于FileAlignment。

MajorOperatingSystemVersion、MinorOperatingSystemVersion：所需操作系统的版本号，随着操作系统版本越来越多，这个好像不是那么重要了。

MajorImageVersion、MinorImageVersion：映象的版本号，这个是开发者自己指定的，由连接器填写。

MajorSubsystemVersion、MinorSubsystemVersion：所需子系统版本号。

Win32VersionValue：保留，必须为0。

SizeOfImage：映象的大小，PE文件加载到内存中空间是连续的，这个值指定占用虚拟空间的大小。

SizeOfHeaders：所有文件头（包括节表）的大小，这个值是以FileAlignment对齐的。

CheckSum：映象文件的校验和。

Subsystem：运行该PE文件所需的子系统

SizeOfStackReserve：运行时为每个线程栈保留内存的大小。
SizeOfStackCommit：运行时每个线程栈初始占用内存大小。

SizeOfHeapReserve：运行时为进程堆保留内存大小。

SizeOfHeapCommit：运行时进程堆初始占用内存大小。

LoaderFlags：保留，必须为0。

NumberOfRvaAndSizes：数据目录的项数，即下面这个数组的项数。

DataDirectory：数据目录，这是一个数组，数组的项定义如下：

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

VirtualAddress：是一个RVA。
Size：是一个大小。

DataDirectory 的每一项就不一一的介绍。

程序的真正入口点 = ImageBase + AddressOfEntryPoint

节表

先简单介绍一下基本节表的功能，这些节表在被加载器加载的时候读取，根据具体的内容获取相应的节中的具体数据。

bss段（Block（b） Started（s） by Symbol（s））：即用来存储一些未被初始化的全局变量和静态变量的内存区域，一般在初始化时bss段部分将会清零，属于静态内存分配，即程序一开始就将其清零了。

特点：可读写。

data段：又称为数据段，通常是指用来存放程序中已被初始化的全局变量，常量，静态变量的一块内存区域。也就是我们通常说的静态存储区。

特点：可读写。

text段 （textsegment）：通常指用来存放程序执行代码的一块内存区域，这部分区域的大小在程序运行前就已经确定，并且内存区域通常属于只读。
在代码段中，也有可能包含一些只读的常数变量，例如字符串常量等。

特点：只读

rdata段：该段也叫常量区，用于存放常量数据，ro就是read only（只读）。

特点：只读

idata段：通常指的是导入表（Import Table）的部分

特点：只读

reloc段（或称为节，Section）是重定位表（Relocation Table）的存储位置

特点：只读

rsrc段是一个标准的段，用于存放程序的资源。这些资源可以包括图标、光标、位图、菜单、对话框、字符串表、字体等，它们都是程序用户界面和功能的重要组成部分。通过将这些资源存储在.rsrc段中，程序可以在运行时动态地访问和使用它们，而不需要将它们硬编码到程序中。

特点：只读

下面是一个windows 32 位程序的内存分布。

显示当前的exe 文件中有多少给个section

根据内容对每一个section 做一个解析

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //ASCII字符串 可自定义 只截取8个字节
    union {								   //该节在没有对齐之前的真实尺寸,该值可以不准确
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress; 			   //内存中的偏移地址
    DWORD   SizeOfRawData;				   //节在文件中对齐的尺寸
    DWORD   PointerToRawData;			   //节区在文件中的偏移
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;			   //节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

看第一个节表的数据

按照数据结构解析出来的结果