PE文件格式详解(4)

最新推荐文章于 2021-11-04 23:16:52 发布
最新推荐文章于 2021-11-04 23:16:52 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 逆向 文章标签: PE PE文件 PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36294382/article/details/77146270
版权
1.RVA to RAW
    PE文件加载到内存时,每个节区都要准确完成内存地址与文件偏移的映射。这种映射便称为RVA to RAW,实现这个过程需要经过以下的步骤。
         1.查找RVA所在节区。
         2.使用公式计算出文件偏移。
         根据IMAGE_SECTION_HEADER结构体,换算公式如下。
         RAW - PoniterToRawData = RVA - VirtualAddress
                                               RAW  = RVA - VirtualAddress + PointerToRawData
  2.IAT(Import Address Table,导入地址表)
    IAT保存的内容与Windows操作系统的核心进、内存、DLL结构等有关。(即掌握了IAT便掌握了Windows操作系统的根基)。

      1.DLL(Dynamic Linked Library)
        加载DLL的方式有两种:一种是“显式链接”(Explicit Linking),程序使用DLL时加载,使用完毕后释放内存。另一种是“隐式链接”(Implicit Linking),程序开始时遍一同加载DLL,程序终止时,再释放占用的内存。IAT提供的机制便与隐式链接有关。
    DLL重定位,DLL文件的ImageBase一般为10000000.比如某个程序使用a.dll和b.dll,OE装载器先把a.dll装载到内存的10000000(ImageBase)处,然后尝试把b.dll也装载到该处。但是由于该地址处已经装载了a.dll,所以PE装载器需要查找其他空白的内存空间(ex:3E000000),然后将b.dll装载进去。这就是DLL文件的重定位。
    2.IMAGE_IMPOT_DESCRIPTOR
        IMAGE_IMPORT_DESCRIPTOR结构体中记录着PE文件要导入哪些库文件。 IMAGE_OPTIONAL_HEADER32.DataDirectory[1].VirtualAddress 的值即是IMAGE_IMPORT_DESCRIPTOR结构体数组的起始地址(RVA值)。(第一个4字节为虚拟地址,第二个4字节为Size成员。)
           注:Import:导入,向库提供服务(函数)。
                  Export:导出,从库向其他PE文件提供服务(函数)。
 
代码 IMAGE_IMPORT_DESCRIPTOR

typedef struct _IMAGE_IMPORT_DESCRIPTOR{
    union{
         DWORD     Characteristics;
         DWORD     OriginalFirstThunk;          //INT(Import Name Table) address (RVA)
    };
    DWORD     TimeDatastamp;
    DWORD     ForwarderChain;
    DWORD     Name;                                        // library name string address (RVA)
    DWORD     FirstThunk;                               // IAT( Import Address Table) address (RVA)
     } IMAGE_IMPORT_DESCRIPTOR;

typedef struct _IMAGE_IMPORT_BY_NAME{
    WORD     Hint;                                              // ordinal
    BYTE         Name[1];                                      // function name string
      } IMAGE_IMPORT_BY_NAME , *PIMAGE_IMPORT_BY_NAME;

    执行一个普通程序时往往需要导入多个库,导入多少库就存在多少个IMAGE_IMPORT_DESCRIPTOR结构体,这些结构体形成了数组,且结构体数组最后以NULL结构体结束。
  IMAGE_IMPORT_DESCRIPTOR的重要成员如下
                                  项目                                   含义
              OriginalFirstThunk          INT的地址(RVA)
                        Name                            库名称字符串的地址 (RVA)
              FirstThunk                            IAT的地址 (RVA)
注:INT与IAT是长整型(4个字节数据类型)数组,以NULL结束(未另外明确指出大小)。
        INT中各元素的值为IMAGE_IMPORT_BY_NAME结构体指针(有时IAT也有相同的值)。
         INT与IAT的大小应相同。
3.EAT
    Windows操作系统中,“库”是为了方便其他程序调用而集中包含相关函数的文件(DLL/SYS)。Win32 API是最具代表性的库,其中的kernel32.dll文件称为最核心的库文件。
    EAT是一种核心机制,它使不同的应用程序可以条用库文件中提供的函数(即只有通过EAT才能准确求得从相应库中导出函数的起始地址)。PE文件内部有且仅有一个用来说明库EAT的IMAGE_EXPORT_DIRECTORY结构体,并且保存着导出信息。  
    注: IAT的结构体以数组的形式存在,且拥有多个成员。即说明PE文件可以同时导入多个库。
    可以在PE文件的PE头中查找到IMAGE_EXPORT_DIRECTORY结构体的闻之。 IMAGE_OPTIONAL_HEADER32.DataDirectory[0].VirtualAddress 值即为结构身体数组的其实地址(RVA值)。 (第一个4字节为虚拟地址,第二个4字节为Size成员。)
    
    代码    IMAGE_EXPORT_DIRECTORY结构体
    typedef struct _IMAGE_EXPORT_DIRECTORY {
         DWORD     Characteristics;
         DWORD     TimeDateStamp;               //creation time date stamp
         WORD        MajorVersion;
         WORD        MinorVersion;
         DWORD    Name;                                   //address of library file neme
         DWORD    Base;                                      //ordinal base
         DWORD    NumberOfFunctions;       //number of functions
         DWORD    NumberOfNames;          //number of names
         DWORD    AddressOfFunctions;     //address of function start address array
         DWORD    AddressOfName;             //address of function name string array
          DWORD    AddressOfNameOrdinals;    //address of ordinal array
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

其中结构体中的重要成员如下
                   项目                                                  含义          
NumberOfFunctions                    实际Export函数的个数
NumberOfNames                          Export函数中具名的函数个数
AddressOfFunctions                    Export函数地址数组(数组元素个数= NumberOfFunctions
AddressOfNames                          函数名称地址数组( 数组元素个数= NumberOfNames
AddressOfNameOrdinals          Ordinal地址数组 (数组元素个数= NumberOfNames)
0x4154304D
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件格式详解
09-26
PE文件格式详解 超详细 图文并貌
PE文件格式详解.pdf
05-31
同时为了保证与旧版本 MS-DOS 及 Windows 操作系统的兼容,PE 文件格式也保 留了 MS-DOS 中那熟悉的 MZ 头部。“Portable Executable”(可移植的执行体)意 味着此文件格式是跨 Win32 平台的;即使 Windows 运行在...
PE格式详解讲解1
Masimaro的专栏
03-13 662
这篇文章主要转载自小甲鱼的加密解密部分,然后补充加上我自己的少许内容,原文地址–>传送门 下面的内容主要是围绕这个图来进行 MS-DOS头部这个头部是为了兼容早期的DOS系统,PE文件的第一个字节起始于一个传统的MS-DOS头,被称为IMAGE_DOS_HEADER,这个结构体完整的定义如下:(注:最左边是文件头的偏移量。) IMAGE_DOS_HEADER STRUCT { +0h WO
PE文件格式详细解析(三)
weixin_47754894的博客
11-04 1178
3.PE文件结构 3.3 节区表 节区表位于PE文件NT头之后,也是PE头的最后一个部分。节区表记录了PE文件中所有节区的相关属性,节区表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中IMAGE_SECTION_HEADER结构数量等于节的数量加一。IMAGE_SECTION_HEADER结构体大小0x28字节,为该结
PE格式解析-区段表及导入表结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段表与导入表的结构详解
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 3001
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
windows PE文件格式详解
04-21
PE文件格式详解
PE文件结构详解
08-25
PE文件结构详解 PE文件结构是Windows平台上可执行文件的标准格式,由微软基于COFF格式制定,用于Windows NT系统。PE文件结构详解可以分为四个主要部分:DOS头、PE头、节表和节体。 PE文件结构 PE文件结构可以...
PE文件格式
测试
08-10 214
1.介绍   PE文件是Windows下使用的可执行文件格式PE文件是指32位的可执行文件,也称PE32,64位称PE+或PE32+,是PE32的一种扩展形式(不是PE64) 2.PE文件格式 种类 主扩展名 可执行系列 EXE、SCR 库系列 DLL、OCX、CPL、DRV 驱动程序系列 SYS、VXD 对...
PE文件结构分析
river
03-22 1万+
PE文件分析
VA&RVA 和 RVA to RAW
bangren3304的博客
10-23 1269
VA&RVA VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtual Address,相对虚拟地址)指从某个基准位置(ImageBase)开始的相对地址。VA与RVA满足下面的换算关系。 RVA + ImageBase = VA PE(Portable Executable)头部信息大多以RVA形式存在。原因在于,PE文件(主要是DLL(DLL,Dynami...
PE文件结构(四) 输出表
billvsme的专栏
10-06 2389
PE文件结构(四) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 输出表 一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址, PE装载器通过输出表来修改IAT。 IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 开始的。 IMAGE_EXPORT_DIRECTORY结构: typedef struct _IMAGE_EXP
PE总结
Life_hes_az的博客
03-24 525
个人觉得PE结构中RVA–>RAW、IAT、EAT等是较难理解的内容,在此做一个笔记(本文中部分内容来自网络,侵删) PE PE(Portable Executable)文件是运行与windows系统下的可执行文件格式,像我们平常所见到的.exe、.dll都是PE文件,除此之外,像.sys(驱动文件)、.obj(对象文件)等都是PE文件。 个人觉得,在学习PE结构最难的就是理解硬盘...
(逆向工程核心原理)小白初探逆向_1:逆向分析Hello World!程序
Crystal_Atom
06-19 8489
刚开始探入逆向的大门,很多知识不理解,如果哪里有问题,请大牛指点。 根据朋友的建议,我逆向学习是采用的‘李程远的《逆向工程核心原理》’一书,这本书是针对初学者而写的,而且书中提供了很多实际调试过程的截图、源代码、示例文件等,能够帮助更好的理解。   本书中作者提供了源代码,由Visual Studio 2010开发而成的。 * 下载地址 :http://download.csdn.NET
PE文件格式详解(1)
Crystal_Atom
08-10 2457
PE头由许多结构体组成,接下来分别解释一下各部分。 1.DOS头     微软最初创建PE格式的时候,DOS文件被人们广泛的使用,为了实现PE文件对DOS文件的兼容性。结果是在PE头的最前面添加了一个IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。 代码IMAGE_DOS_HEADER结构体 typedef strucet _IMAGE_DOS_HEA
PE文件格式详解(0)
Crystal_Atom
08-07 1367
0.介绍     PE是Windows操作系统性爱使用的可执行文件格式。它是微软在UNIX平台的COFF(Common Object File Format,通用对象格式)基础上而成的(在Windows开发环境中,PE格式也称为PE/COFF格式。)。最初(正如Portable这个单词所代表的那样)设计用来提高程序在不同操作系统上的移植性,但实际上这种文件格式仅使用在Windows系列的操
PE文件格式详解(2)
Crystal_Atom
08-11 1040
1.NT头 接下来说一下NT头,IMAGE_NT_HEADERS。 代码 IMAGE_NT_HEADERS结构体 typedef struct _IMAGE_NT_HEADERS{     DWORD Signature;                //PE Signature :  50450000 ("PE"00)     IMAGE_FILE_HEADER
PE文件格式详解与代码示例
PE文件格式详解PE(Portable Executable)文件格式是Windows NT及其后续操作系统中用于可执行文件、动态链接库(DLL)和驱动程序的主要格式。它在设计时考虑了与早期的MS-DOS和Windows的兼容性,因此包含了MS-DOS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值