《逆向工程核心原理》第13章——PE文件格式(1):PE头

最新推荐文章于 2023-05-18 22:40:47 发布
最新推荐文章于 2023-05-18 22:40:47 发布
阅读量694 收藏 5
点赞数
分类专栏: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diamond_biu/article/details/110495504
版权

PE文件格式(1)——PE头

介绍

PE是指32位可执行文件,也称PE32。64位可执行文件称为PE+或PE32+,是PE文件的一种扩展形式。

PE文件格式

PE文件种类如下:

种类主扩展名
可执行系列exe scr
库系列dll ocx cpl drv
驱动程序系列sys vxd
对象文件系列obj

严格来讲,obj文件之外的所有文件都是可执行的。ddl、sys文件虽然不能直接在shell执行,但可以使用其他方法(调试器、服务等)执行。

PE文件基本结构

从DOS头到节区头是PE头部分下面的节区合称为PE体。文件中使用偏移,内存中使用VA虚拟地址来表示位置。文件加载到内存后,节区的位置大小会发生变化。文件内容一般可分为代码、数据、资源节,分别保存。

各节区头分别定义各节区在文件或内存中的大小、位置、属性等

PE头和各节区尾部存在NULL填充区域,这是因为为了提高处理效率,计算机中使用“最小基本单位的概念”。

在这里插入图片描述

VA:进程虚拟内存的绝对地址。
RVA:从某一个基准位置(ImageBase)开始的相对地址

VA=RVA+ImageBase,两者都指的是装载进入内存后的地址

PE头内部信息大多以RVA形式存在:因为PE文件(主要是DLL)加载到进程虚拟内存的特定位置时,该位置可能已经加载了其他DLL,此时必须通过重定位将其加载到其他空白区域。发生重定位后,只要相对于基准位置的相对地址没有变化,就能正常访问。

PE头

包括

  • DOS头
  • DOS存根
  • NT头
  • 各节区头

DOS头

PE头最前面的40H字节是一个IMAGE_DOS_HEADER结构体——DOS头
在这里插入图片描述
两个重要成员:

  • e_magic:多有PE文件开始部分都有的DOS签名(‘MZ’,4D5A)
  • e_lfanew:指示NT头的偏移
    在这里插入图片描述

DOS存根

在DOS头下方,可选项且大小不固定由代码和数据混合而成
在这里插入图片描述
文件偏移40~4D区域为16位汇编指令:功能为输出偏移0E处字符串。在DOS调试器debug.exe中运行:
在这里插入图片描述
若使用得当,可以在一个可执行文件中创建另一个文件,在16位DOS和32位Windows中都能运行。

NT头

NTIMAGE_NT_HEADERS结构体由3个成员组成:签名、文件头、可选头。其结构体大小为F8H起始位置由DOS头的e_lfanew确定(因为DOS存根大小不确定,这里为0000 00E0h
在这里插入图片描述
签名:50450000h(‘PE’00)
在这里插入图片描述

NT头:文件头

文件头是表现文件大致属性的IMAGE_FILE_HEADER结构体。
在这里插入图片描述
四个重要成员:

  • Machine:每个CPU唯一拥有的机器码,这里为Intel 386芯片14C。
  • NumberOfSections:节区数,此处为3。
  • SizeOfOptionalHeader:可选头大小,用来指出IMAGE_OPTIONAL_HEADER32/64的长度,此处是e0。
  • Characteristics表示文件属性,记住0002h与2000h。此处为010F,包含了重定向信息删除,可执行文件,行数移除,本地符号表移除以及系统文件等属性。
    在这里插入图片描述在这里插入图片描述

NT头:可选头

IMAGE_OPTIONAK_HEADER是PE头结构中最大的。其大小在IMAGE_FILE_HEADER的SizeOfOptionalHeader中标明,此处为00E0。
在这里插入图片描述
在这里插入图片描述
几个重要成员:

  • Magic:可选头是32结构体时,该值为10B。可选头是64位结构体时,该值为20B。
  • AddressOfEntryPointEP的RVA值,指出程序最先执行的代码起始地址
  • ImageBase:文件优先装入的虚拟内存地址。32位系统进程虚拟内存范围为0~FFFFFFFF。一般来说,EXE文件ImageBase值为00400000,DLL文件为10000000
    PE装载器先创建进程,再将文件载入内存,然后把EIP寄存器的值设为ImageBase+AddressOfEntryPoint。所以说EIP的初始值由可执行文件描述部分决定。
  • SectionAlignment、FileAligment:SectionAlignment指定了节区在内存中的最小单位,FileAligment指定了节区在磁盘文件中的最小单位。磁盘文件或内存的节区大小必定为对应最小单位的整数倍。
  • SizeOfImage:PE文件在虚拟内存中所占空间的大小,即加载后大小。
  • SizeOfHeadersPE头的大小,是FileAlignment的整数倍(磁盘文件中)。
  • Subsystem:区分系统驱动文件与普通可执行文件。
    在这里插入图片描述
  • NumberOfRvaAndSizes:指定最后一个成员DataDirectory数组的个数,以这个为准,而不是IMAGE_NUMBEROF_DIRECTERY_ENTRIES(16)。
  • DataDirectory:以IMAGE_DATA_DIRECTORY结构体数组,数组每一项都有被定义的值。DataDirectory[n]结构体中的每一个都有两个属性:一个是相对虚拟地址,一个是大小,其中每个结构体的大小为8字节。
    在这里插入图片描述
    在这里插入图片描述
    更正:程序EP的RVA应该是0000739D,上图框选应该向右移动两字节。

节区头

节区头中定义了各节区属性。PE文件中的code(代码)、data(数据)、resourse(资源)等按照属性分类存储在不同节区,这样可以保证程序的安全性。

节区头是由IMAGE_SECTION_HEADER结构体组成的数组,每个结构体对应一个节区。大小固定为40字节
在这里插入图片描述
几个重要成员:

  • VirtualSize内存中节区所占实际大小
  • VirtualAddress内存中节区起始地址(RVA),运行时会加上ImageBase值。按SectionAlignment对齐。
  • SizeofRawData:磁盘中节区所占大小,通常是VirtualSize按照FileAligment值对齐后得到的
  • PointerToRawData:磁盘中节区起始地址。按FileAligment对其。
  • Characteristics:节区属性,由bit OR组合而成。
    在这里插入图片描述
    下图显示notpad.exe的三个节区头数组:
    在这里插入图片描述在这里插入图片描述在这里插入图片描述

RVA与RAW

PE文件加载到内存时,每个节区都要准确完成内存地址与磁盘文件偏移之间的映射,这种映射称为RVA to RAW。方法为:(1)查找RVA所在节区(2)使用下方公式计算处文件偏移RAW。

RAW-PointerToRawData(磁盘中节区偏移)=RVA-VirtualAddress(内存中节区偏移)

diamond_biu
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程核心原理》一书提到的代码以及实验程序
12-14
逆向工程核心原理》一书提到的代码以及实验程序,通过该材料 可以更好地去学习及练手,不错过书的每一个例子,通过动手更好地吸收书的知识
[读书][笔记]WINDOWS PE权威指南《三》PE原理和基础 之 第三 PE文件
二次元怪兽的博客
02-05 2067
目录3.1 PE的数据组织方式3.2 与PE有关的基本概念3.2.1 地址3.2.2 指针3.2.3 数据目录3.2.4 节3.2.5 对齐3.2.6 Unicode字符串3.3 PE文件结构3.3.1 16位系统下的PE结构3.3.2 32位系统下的PE结构3.3.3 程序员眼PE结构3.4 PE文件部解析3.5 数据结构字段详解3.6 PE内存映像3.7 PE文件编程3.8 总结 3.1 PE的数据组织方式 3.2 与PE有关的基本概念 3.2.1 地址 3.2.2 指针 3.2.3 数据目
逆向工程核心原理5:PE文件
dengshengli123的博客
06-26 246
PE : portable execute (windows下的可执行文件)VA : 进程虚拟内存的绝对地址,方位是 0x00000000 ~ 0xFFFFFFFF (进程的虚拟内存是4G)RVA : 相对的虚拟地址,从某个基准位置(images)开始的相对地址PE分为如下部分 :    PE :  从DOS(DOS Header) 到节区(section header)          ...
PE格式详解
顺其自然~专栏
10-29 3012
PE(PortableExecutable,可移植的执行体)是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format,通用对象文件格式)文件格式。它是Win32环境自身所带的执行体文件格式。"portableexecutable"(可移植的执行体)意味着此文件格式是跨win32平台的:即使Windows运行在非Intel的CPU上,任何win32...
PE文件(一)PE
qq_63329753的博客
02-13 3638
PE文件结构(一)PE 12/100 发布文 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
PE文件结构——NT Headers
QXinHan的博客
05-18 397
它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“”和“节”进行重定位。它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。1.32位的可选择,它一共有31个成员而64位的可选择有30个成员。7.SizeOfHaeders:所有的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 1882
什么是PE文件? PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
PE解析(仅限于PE
qq_58405021的博客
11-30 1623
学习感悟,如果错误,还望指出 目录 前言 过程 总结 前言 过程 总结
RVA VA ImageBase RAW offset关系
ccchu的专栏
08-17 1492
RVA VA ImageBase RAW offset关系 RVA:relative virtrual address VA:virtrual address ImageBase:基地址 RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)   PE文件在内存时: 虚拟地址(VA)=基地址(ImageBase)
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件。
PE文件格式图表 详细介绍(BMP图片形式)
12-01
PE文件格式(BMP图片形式),详细介绍 PE 文件的大致布局,PEPE Header),在 PE和真正的 section 资料之间,横躺着一个 section table 。其内含 image 的 每一个sections 的信息。sections 是以其起始地址来排列,而不是以其字母次序来排列。
2015 逆向工程核心原理 程序源码 资源
06-07
2015 逆向工程核心原理 程序源码 资源
PE文件格式详解(附有原文和源代码,逆向工程的基础教程)
07-05
此文的英文原文为The Portable Executable File Format from Top to Bottom,我找到了两篇不同出处的译文,题名分别为《PE文件格式详解》和《可移植的可执行文件格式全接触》。并且搜集到了文所提到的两个附件...
PE文件格式分析
shitdbg的博客
11-09 8273
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
PE文件格式
weixin_61154173的博客
03-30 1517
PE文件是Windows操作系统下使用的可执行文件。PE文件是指32位的可执行文件,也称为PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式。
PE文件结构:DOS部程序实例详解
qq_46145027的博客
05-02 566
​​​​​​可执行文件结构:PE文件结构讲解<----关于PE文件结构可以看这个 下面我们结合程序实例来具体的看一看DOS部的意义。 程序字段分析 我们用VC新建一个windows桌面应用程序: 程序Winnt.h包含了PE文件的定义格式,我们找到这个文件打开并查看IMAGE_DOS_HEADER的定义代码: 有这么多个字段: 其第一个和最后一个比较重要: e_magic字段: 是一个DOS可执行文件的标识符,占用2字节。保存的字符是 “MZ” 在Winnt...
PE文件格式总结 - DOS文件PE文件、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件PE文件、节表和表详解
逆向工程核心原理》第2——逆向分析HelloWorld!程序
diamond_biu的博客
11-23 1553
逆向分析Hello World!程序 源程序 #include "windows.h" #include "tchar.h" int _tmain(int argc,TCHAR *argv[]) { MessageBox(NULL, L"Hello World!", L"www.reversecore.com", MB_OK); return 0; } ctrl+F2 重新调试:EP(入口点)处 F8单步执行,前面的复杂代码是启动函数。 F7跳入函数,此处跳入401005处。 .
PE文件格式逆向解析成汇编语言
最新发布
06-02
PE文件格式逆向解析成汇编语言是一个非常复杂的任务,需要对PE文件格式有深入的了解,并且需要具备较强的反汇编技能。以下是一个简单的示例,演示如何将PE文件部信息逆向解析成汇编语言: ``` ; 定义IMAGE_DOS_HEADER结构体 IMAGE_DOS_HEADER struct e_magic dw ? e_cblp dw ? e_cp dw ? e_crlc dw ? e_cparhdr dw ? e_minalloc dw ? e_maxalloc dw ? e_ss dw ? e_sp dw ? e_csum dw ? e_ip dw ? e_cs dw ? e_lfarlc dw ? e_ovno dw ? e_res dw 4 dup(?) e_oemid dw ? e_oeminfo dw ? e_res2 dw 10 dup(?) e_lfanew dd ? IMAGE_DOS_HEADER ends ; 定义IMAGE_NT_HEADERS结构体 IMAGE_NT_HEADERS struct Signature dd ? FileHeader IMAGE_FILE_HEADER <> OptionalHeader IMAGE_OPTIONAL_HEADER32 <> IMAGE_NT_HEADERS ends ; 定义IMAGE_FILE_HEADER结构体 IMAGE_FILE_HEADER struct Machine dw ? NumberOfSections dw ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader dw ? Characteristics dw ? IMAGE_FILE_HEADER ends ; 定义IMAGE_OPTIONAL_HEADER32结构体 IMAGE_OPTIONAL_HEADER32 struct Magic dw ? MajorLinkerVersion db ? MinorLinkerVersion db ? SizeOfCode dd ? SizeOfInitializedData dd ? SizeOfUninitializedData dd ? AddressOfEntryPoint dd ? BaseOfCode dd ? BaseOfData dd ? ImageBase dd ? SectionAlignment dd ? FileAlignment dd ? MajorOperatingSystemVersion dw ? MinorOperatingSystemVersion dw ? MajorImageVersion dw ? MinorImageVersion dw ? MajorSubsystemVersion dw ? MinorSubsystemVersion dw ? Win32VersionValue dd ? SizeOfImage dd ? SizeOfHeaders dd ? CheckSum dd ? Subsystem dw ? DllCharacteristics dw ? SizeOfStackReserve dd ? SizeOfStackCommit dd ? SizeOfHeapReserve dd ? SizeOfHeapCommit dd ? LoaderFlags dd ? NumberOfRvaAndSizes dd ? DataDirectory dd 16 dup(?) IMAGE_OPTIONAL_HEADER32 ends ; 定义节表结构体 IMAGE_SECTION_HEADER struct Name db 8 dup(?) VirtualSize dd ? VirtualAddress dd ? SizeOfRawData dd ? PointerToRawData dd ? PointerToRelocations dd ? PointerToLinenumbers dd ? NumberOfRelocations dw ? NumberOfLinenumbers dw ? Characteristics dd ? IMAGE_SECTION_HEADER ends ; 定义变量 dos_header IMAGE_DOS_HEADER <> nt_headers IMAGE_NT_HEADERS <> section_headers IMAGE_SECTION_HEADER 16 dup(?) ; 读取PE文件 filename db 'test.exe', 0 handle dw ? buffer db 512 dup(?) bytes_read dw ? section_table_offset dd ? size_of_section_table dd ? ; 打开文件 mov ah, 3dh mov al, 0 ; 只读模式 mov dx, offset filename int 21h mov handle, ax ; 读取DOS部信息 mov ah, 3fh mov bx, handle mov cx, sizeof IMAGE_DOS_HEADER mov dx, offset dos_header int 21h ; 获取PE部偏移地址 mov ax, word ptr [dos_header+0x3c] mov bx, handle mov cx, sizeof IMAGE_NT_HEADERS mov dx, offset nt_headers add dx, ax int 21h ; 解析PE部信息 mov ax, word ptr [nt_headers.Signature] cmp ax, 'PE' jne exit_program ; 解析文件部信息 mov ax, word ptr [nt_headers.FileHeader.NumberOfSections] mov section_table_offset, dx mov size_of_section_table, ax * sizeof IMAGE_SECTION_HEADER add dx, sizeof IMAGE_FILE_HEADER mov cx, sizeof IMAGE_FILE_HEADER mov si, offset nt_headers.FileHeader mov di, dx rep movsb ; 解析可选部信息 mov ax, word ptr [nt_headers.OptionalHeader.Magic] cmp ax, IMAGE_NT_OPTIONAL_HDR32_MAGIC jne exit_program mov cx, sizeof IMAGE_OPTIONAL_HEADER32 mov si, offset nt_headers.OptionalHeader mov di, dx rep movsb ; 解析节表信息 mov ah, 3fh mov bx, handle mov cx, size_of_section_table mov dx, offset section_headers add dx, section_table_offset int 21h exit_program: ; 关闭文件 mov ah, 3eh mov bx, handle int 21h ``` 以上代码仅为示例,实际上解析PE文件格式的过程要比这个更加复杂,需要对不同的结构体进行不同的解析方式,并且需要处理一些特殊情况。同时,反汇编的过程还需要考虑一些优化问题,例如去除无用代码、还原函数调用等,以确保反汇编的代码正确、可读性强。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值