逆向工程核心原理 第十三章 PE文件格式

最新推荐文章于 2022-09-25 09:25:00 发布
最新推荐文章于 2022-09-25 09:25:00 发布
阅读量555 收藏 3
点赞数 1
本文为博主原创文章,未经博主允许不得转载,未授权转载为侵权行为,违反法律。
本文链接:https://blog.csdn.net/qq_36869808/article/details/89846650
版权

0x00 前言

在没有接触壳之前,也不着急着做什么练习,PE文件格式还是要学一学的。

0x01 正文

1.VA&RVA

VA:进程虚拟内存的绝对地址
RVA:相对虚拟地址。从某个基准位置(ImageBase)开始的相对地址

公式:RVA+ImageBase=VA

PS:
32位Windows中,进程分配有4GB虚拟内存,因此进程中的VA范围是00000000~FFFFFFFF

2.PE头

2.1 DOS头

IMAGE_DOS_HEADER

在微软创建PE文件格式的时候,正在广泛使用DOS文件,所以考虑到对DOS文件的兼容性,于是在PE头的最前面添加了一个IMAGE_DOS_HEADER结构体,用来扩展已有的DOS EXE头。

IMAGE_DOS_HEADER结构体大小为40个字节。

python中有一个专门用来解析PE的库。
在这里插入图片描述
其中最为重要的有两个

一个是magic还有一个是Ifanew

magic:DOS签名,默认值MZ
在这里插入图片描述
ifanew:指示NT头的偏移,简单的说就是指向NT头所在的位置。

2.2 DOS存根

DOS存根在DOS头下放,是一个可选项,且大小不固定。

直白的说就是为了兼容DOS环境下运行。

2.3 NT头

IMAGE_NT_HEADERS里有三个成员变量

signature签名 值为PE
在这里插入图片描述
在这里插入图片描述

2.3.1 NT头 文件头

IMAGE_FILE_HEADERS结果题有四个重要成员。
在这里插入图片描述
Machine
唯一Machine码,兼容32位Intel x86芯片的Machine码为14C。
在这里插入图片描述
NumberOfSections
NumberOfSections用来支出文件中存在的节区数量,该数值一定要大于0。如果和实际节数不同则运行出错

SizeOfOptionalHeader
用来指出IMAGE_OPTIONAL_HEADER3结构体的长度。
Characteristics
该字段用于表示文件的属性,文件是否是可运行状态,是否为DLL,文件等信息。
0002h,不可执行。

2.3.2 NT头:可选头

IMAGE_OPTIONAL_HEADER
重要字典
Magic
32位为Magic码为10B
64位为20B
AddressOfEntryPoint
AddressOfEntryPoint持有PE的RVA值。指出程序最先执行的代码起始地址。
在这里插入图片描述
程序的相对起始位置。
使用OD进行查看
在这里插入图片描述
ImageBase
进程虚拟内存的范围是0~FFFFFFFF。
EXE,DLL文件被装载到用户内存的07FFFFFFF中,SYS文件被载入内和内存的80000000FFFFFFFF。
VB/VC++?Delphi 创建好EXE文件后,ImageBase的值为00400000。DLL为1000000
PE装载器先创建进程,再将文件载入内存,然后把EIP寄存器的值设置为ImageBase+AddressOfEntryPoint
SectionAlignment,FileAlignment:
PE文件的Body部分划分为若干节区,这些节存储着不同类别的数据。FileAlignment指定了截取在磁盘文件中的最小单位,SectionAlignment制定了截取中的最小单位。
自盘文件或内存的截取大小必定为FileAligment或SectionAlignment值的整数倍
SizeOfImage
加载PE文件到内存时,SizeOfImage指定了PE Image在虚拟内存中所占空间的大小。一般而言,文件的大小与加载到内存中的大小是不同的。
SizeOfHeader
SizeOfHeader用来指出整个PE头的大小。值是FileAlignment的整数倍,第一节区所在位置与SizeOfHeader距文件开始偏移的量相同。
Subsystem
区分系统驱动文件语普通的可执行文件。
DataDorectory
由IMAGE_DATA_DIRECTORY结构体组成的数组。

2.4 节区头

节区头定义了各节区属性。
code:代码
data:数据
resource:资源

2.5 RVA to RAW

1.查找RVA的节区
2。使用公式计算文件偏移
RAW-PointerToRawData=RVA-VirtualAddress

2.6 IAT

IAT是一种表格,用来记录程序正在使用哪些库的哪些函数

5.7 DLL

动态链接库

5.7.1 加载DLL的方式

显式链接:程序使用DLL时进行加载,使用完毕之后释放内存。
隐式链接:程序开始一桶加载DLL,程序终止释放占用的内存。

王嘟嘟_
关注
2015 逆向工程核心原理 程序源码 资源
06-07
2015 逆向工程核心原理 程序源码 资源
RVA VA ImageBase RAW offset关系
ccchu的专栏
08-17 1533
RVA VA ImageBase RAW offset关系 RVA:relative virtrual address VA:virtrual address ImageBase:基地址 RAW offset:物理地址,也就是磁盘文件上的文件偏移地址(File offset)   PE文件在内存中时: 虚拟地址(VA)=基地址(ImageBase)
PE文件格式中数据目录项中的导入表和VA-RVA-FA转换
qq_35426012的博客
11-15 1583
VA va(虚拟地址):虚拟地址是内存中的地址,每一个内存空间都有一个地址表示,这就是虚拟地址如打开OD,加载程序,里面的每一个地址都是虚拟地址,VA如下图,PE文件加载进内存的VA都是由imageBase(基址)+RVA(相对虚拟地址)形成的绝对虚拟地址VA RVA RVA(相对虚拟地址):相对虚拟地址相对的是选项头里面的字段ImageBase(程序基址),PE结构中大部分字段的存的就是RVA...
VA&RVARVA to RAW
bangren3304的博客
10-23 1284
VA&RVA VA指的是进程虚拟内存的绝对地址,RVA(Relative Virtual Address,相对虚拟地址)指从某个基准位置(ImageBase)开始的相对地址。VARVA满足下面的换算关系。 RVA + ImageBase = VA PE(Portable Executable)头部信息大多以RVA形式存在。原因在于,PE文件(主要是DLL(DLL,Dynami...
PE文件(二)
charge_release的博客
08-16 814
上篇讲到的PE文件DOS头中的两个重要成员,一个是e_magic 用来判段是否为PE文件,另一个 e_lfanew用来找出NT头的位置。在DOS头与NT头 之间还有一部分区域,这里储存着一些被DOS头使用的数据,包括一些字符串等等,这部分的大小不太确定,所以,NT头的具体位置要由DOS头的最后一个成员来确定 。 我们可以利用这一部分空间实现一些特殊用途。NT头的定义typedef struct _
深入剖析PE文件
lwglucky的专栏
03-15 5724
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
逆向工程核心原理》一书中提到的代码以及实验程序
最新发布
12-14
逆向工程核心原理》一书中提到的代码以及实验程序,通过该材料 可以更好地去学习及练手,不错过书中的每一个例子,通过动手更好地吸收书中的知识
逆向分析核心原理示例和源代码
01-15
逆向工程核心原理的代码和实例,其中都是全面的,是我自己找到的,网上总是有假的所以想让别人可以收到
IMAGE_DOS_HEADER STRUCT
namewangyue的专栏
09-26 371
IMAGE_DOS_HEADER STRUCT { +0hWORDe_magic//Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记 +2h WORDe_cblp//Bytes on last page of file +4hWORDe_cp//Pages in file +6hWORDe_crlc//Relocations
PE文件格式全解读
凌阳的博客
06-08 4958
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
虚拟内存的简单介绍及PE文件的内存映射
迪迦 • 奥特曼
11-09 573
虚拟内存的简单介绍 计算机中的内存分为物理内存和虚拟内存,一般情况下,物理内存对于我们是不可见的,而且其原理也非常复杂,需要进入内核层(Ring0)才可能与物理内存打交道。通常我们所看到的全都是虚拟内存,如图2所示。 图2 虚拟内存映射关系,为上图 通过图2不难发现,系统为每一个正在运行的进程都分配了4GB的虚拟内存,在虚拟内存与物理内存之间是虚拟内存管理器控制着它们之间的调度,虚拟内存与进程...
逆向工程核心原理---RVA转RAW
xuqi7
09-25 643
逆向工程核心原理---RVA转RAW
PE文件实战教程之手动实现新增节
weixin_43742894的博客
04-01 1444
前面我们说过在空白节添加代码,想要更多空间的话,可以扩大节,但是在最后一个节进行扩大的话,还需要修改原来节的属性,比较麻烦,所以不如直接新增一个节! 并且我们通过手动新增节,可以直观地看到非常多的细节,帮助我们理解原理! 手动实现新增节什么是新增一个节?了解一下节表新增节表的步骤1.判断是否有足够的空间增加一个新节.2.节表新增一个成员,在原最后一个成员后面添加3.修改节的数量4 修改sizeOfImage的大小5.再原有数据的最后,新增一个节的数据(内存对齐的整数倍)6 修正新增节表的属性节.Virt.
PE头解析
qq_41129854的博客
03-16 639
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数
HappyOrange2014的专栏
08-24 1788
本文将通过PEview 0.99这款PE查看器来复习与IAT相关的知识,复习方式就是手工查找xpsp3下notepad.exe文件中第一个导入DLL中的第一个导入函数。之所以选用PEview而不用winhex类软件,主要是为了便于验证自己的思路是否正确。在熟悉了IAT手工查找的具体过程之后,还是使用工具软件直接获取信息比较方便。
PE文件格式全面解析
在编程和逆向工程中,理解和处理PE文件格式至关重要。例如,PEFILE.DLL提供了接口,可以方便地提取和分析PE文件的各个部分,如获取导出函数、解析导入表、检查节属性等。通过这样的工具,开发者或安全研究人员可以更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王嘟嘟_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值