PE头解析(仅限于PE头)

最新推荐文章于 2023-03-16 21:58:45 发布
最新推荐文章于 2023-03-16 21:58:45 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 笔记 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58405021/article/details/121644263
版权

学习感悟,如果错误,还望指出

目录

前言

过程

总结

前言

PE格式是在Windows上的可执行程序需要遵守的格式规范。

接下来介绍一下PE头中的一部分成员的含义。

DOS头

大小是固定的64字节

struct _IMAGE_DOS_HEADER ,

{ 0x00 WORD e_magic;//表明此文件是不是PE文件,如果是PE文件的话,值为4D5A,ASCII值对应MZ。

0x02 WORD e_cblp;

0x04 WORD e_cp;

0x06 WORD e_crlc;

0x08 WORD e_cparhdr;

0x0a WORD e_minalloc;

0x0c WORD e_maxalloc;

0x0e WORD e_ss;

0x10 WORD e_sp;

0x12 WORD e_csum;

0x14 WORD e_ip;

0x16 WORD e_cs;

0x18 WORD e_lfarlc;

0x1a WORD e_ovno;

0x1c WORD e_res[4];

0x24 WORD e_oemid;

0x26 WORD e_oeminfo;

0x28 WORD e_res2[10];

0x3c DWORD e_lfanew; //指明PE标识,也就是NT头的开始位置的偏移是多少,大小不固定,因为在DOS头结束,和NT头开始之间的区域是操作系统留给编译器使用的空闲区域,大小不确定,所以需要这个成员来存储NT头部的偏移。

};

struct _IMAGE_NT_HEADERS

{ 0x00 DWORD Signature; //PE标识,也就是上图中DOS头最后一个成员所指向的地方。

0x04 _IMAGE_FILE_HEADER FileHeader; //标准PE头

0x18 _IMAGE_OPTIONAL_HEADER OptionalHeader;//可选PE头

};

标准PE头

大小为20字节

struct _IMAGE_FILE_HEADER

{

0x00 WORD Machine;//标识此程序可以在什么CPU上允许,如果是0x00的话说明在任何CPU上都 可以允许此程序,如果是014c,标识在386及其之后的CPU上可以执行。

0x02 WORD NumberOfSections;//去掉PE头部的节区数量

0x04 DWORD TimeDateStamp;//时间戳,因为编译器在编译的时候会生成一个MAP文件,MAP文 件,MAP文件里面记录了此程序的函数的名字,和地址,里面有一个时间戳,记录了MAP文件的生成时间,这个时间是和exe程序相匹配的,有的加壳软件在进行加壳的时候,会需要提供MAP文件,识别MAP文件的时间戳和exe是否匹配。

0x08 DWORD PointerToSymbolTable;

0x0c DWORD NumberOfSymbols;

0x10 WORD SizeOfOptionalHeader;//记录了可选PE头的大小,32位默认是E0,64位默认是F0,大小可以调整。

0x12 WORD Characteristics; //每一位都有特定的含义,可执行程序是10F,级0,1,2,3,8位置1

};

可选PE头

大小不确定,32位默认为E0,64系统默认为F0,可以自己定义大小。

struct _IMAGE_OPTIONAL_HEADER

{

0x00 WORD Magic; //说明文件类型,10B说明是32位下的PE文件,20B说明64位下的PE文件

0x02 BYTE MajorLinkerVersion;

0x03 BYTE MinorLinkerVersion;

0x04 DWORD SizeOfCode; //所有代码节的和,必须是FileAlignment的整数倍

0x08 DWORD SizeOfInitializedData;//所有已初始化数据的和,必须是FileAlignment的整数倍

0x0c DWORD SizeOfUninitializedData;//所有未初始化数据的和,必须是FileAlignment的整数倍

0x10 DWORD AddressOfEntryPoint; //简称OEP,程序的入口地址,需要配合ImageBase来定位程序的入口地址。这里相信大家可能会有疑问,为什么不直接定位到入口地址,还需要使用ImageBase+OEP偏移的方式来进行定位,因为一个EXE程序,很可能不止由一个PE文件构成,如果直接写死,而这个位置又已经被别的PE文件占据了,那么就出事了,如果采用这种偏移的方式,ImageBase改变之后,通过OEP进行偏移还是可以进行定位,程序还是可以跑起来。

0x14 DWORD BaseOfCode;//代码节的基址。

0x18 DWORD BaseOfData; //数据节的基址。

0x1c DWORD ImageBase; //程序在加载入内存的一个基址,也就是起始地址。

0x20 DWORD SectionAlignment; //内存对齐,1000字节

0x24 DWORD FileAlignment;//硬盘对齐,200字节

这里说一下,一个exe程序存储到硬盘上,如果直接通过一个16进制的编辑器打开,不会做任何改动,和在硬盘中是一样的,但是这个程序虽然加载如内存,但是不能跑起来,如果硬盘对齐和内存对齐尺寸不一样,那么就存在一个拉伸的过程,举个例子,代码节在硬盘上占389个字节,然后硬盘给他分配400字节(因为要进行对齐),那么允许这个程序时,拉到硬盘中,就会被拉伸到1000字节,如果硬盘对齐和内存对齐是一致的,就没有这个拉伸的过程了。

0x28 WORD MajorOperatingSystemVersion;

0x2a WORD MinorOperatingSystemVersion;

0x2c WORD MajorImageVersion;

0x2e WORD MinorImageVersion;

0x30 WORD MajorSubsystemVersion;

0x32 WORD MinorSubsystemVersion;

0x34 DWORD Win32VersionValue;

0x38 DWORD SizeOfImage; //程序在内存中的映射尺寸,可以设置的比原来的尺寸更长,但是必须是SectionAlignment的整数倍

0x3c DWORD SizeOfHeaders;//所有的头加上节表的大小。必须是文件对齐的整数倍。(DOS头+PE标识+标准PE头+可选PE头+节表)

0x40 DWORD CheckSum; //校验和,其实很简单,就是把数据从开始到结束加起来,存到此成员中,自然溢出。

0x44 WORD Subsystem;

0x46 WORD DllCharacteristics;

0x48 DWORD SizeOfStackReserve; //初始化的时候保留栈的大小

0x4c DWORD SizeOfStackCommit;//初始化时实际提交栈的大小

0x50 DWORD SizeOfHeapReserve; //初始化时保留堆区的大小

0x54 DWORD SizeOfHeapCommit;//初始化时实际提交堆的大小

0x58 DWORD LoaderFlags;

0x5c DWORD NumberOfRvaAndSizes;

0x60 _IMAGE_DATA_DIRECTORY DataDirectory[16];

};

过程

下面是我用C写的解析PE头的数据(只限于PE头),方法比较笨,如果大家有更好的办法请告知我,感谢。

我的思路是,把PE头的每个成员的信息用数组记录下来,然后依次匹配读取。

#Analyze_Of_PE_Header.h

"""Analyze_Of_PE_Header.h"""
#pragma once
typedef char BYTE;
typedef short WORD;
typedef int DWORD;
//DOS头信息
extern const BYTE* _IMAGE_DOS_HEADER[19];
//DOS头每个成员的大小
extern DWORD DOS_LENGTH[21];

//标准PE头信息
extern const BYTE* _IMAGE_FILE_HEADER[7];
//标准PE头每个成员的大小
extern DWORD FILE_PE_LENGTH[7];

//可选PE头信息
extern const BYTE* _IMAGE_OPTIONAL_HEADER[30];
//可选PE头每个成员的大小
extern DWORD _OPTIONAL_HEADER_LENGTH[30];

char* ReadFile(char*);
bool Analyse_PE_Head(char*);

#Analyze_Of_PE_Header.cpp

#define _CRT_SECURE_NO_WARNINGS
#include "Analyze_Of_PE_Header.h"
#include <stdio.h>
#include <malloc.h>
#include <string.h>

#DOS头信息
const BYTE* _IMAGE_DOS_HEADER[19]
{
	"e_magic",
	"e_cblp",
	"e_cp",
	"e_crlc",
	"e_cparhdr",
	 "e_minalloc",
	"e_maxalloc",
	 "e_ss",
	 "e_sp",
	"e_csum",
	"e_ip",
	"e_cs",
	"e_lfarlc",
	"e_ovno",
	"e_res[4]",
	"e_oemid",
	"e_oeminfo",
	"e_res2[10]",
	"e_lfanew"
};

DWORD DOS_LENGTH[21]
{
	2,2,2,2,2,2,2,2,2,2,2,2,2,2,8,2,2,20,4
};


#标准PE头信息
const BYTE* _IMAGE_FILE_HEADER[7]
{
	"Machine",
	"NumberOfSections",
	"TimeDateStamp",
	"PointerToSymbolTable",
	"NumberOfSymbols",
	"SizeOfOptionalHeader",
	"Characteristics"
};

DWORD FILE_PE_LENGTH[7]
{
	2,2,4,4,4,2,2
};

//可选PE头信息
const BYTE* _IMAGE_OPTIONAL_HEADER[30]
{
	"Magic",
	"MajorLinkerVersion",
	"MinorLinkerVersion",
	"SizeOfCode",
	"SizeOfInitializedData",
	"SizeOfUninitializedData",
	"AddressOfEntryPoint",
	"BaseOfCode",
	"BaseOfData",
	"ImageBase",
	"SectionAlignment",
	"FileAlignment",
	"MajorOperatingSystemVersion",
	"MinorOperatingSystemVersion",
	"MajorImageVersion",
	"MinorImageVersion",
	"MajorSubsystemVersion",
	"MinorSubsystemVersion",
	"Win32VersionValue",
	"SizeOfImage",
	"SizeOfHeaders",
	"CheckSum",
	"Subsystem",
	"DllCharacteristics",
	"SizeOfStackReserve",
	"SizeOfStackCommit",
	"SizeOfHeapReserve",
	"SizeOfHeapCommit",
	"LoaderFlags",
	"NumberOfRvaAndSizes"
};
DWORD _OPTIONAL_HEADER_LENGTH[30]
{
	2,1,1,4,4,
	4,4,4,4,4,
	4,4,2,2,2,
	2,2,2,4,4,
	4,4,2,2,4,
	4,4,4,4,4
};
char* ReadFile(char* p)
{
	FILE* fp = fopen(p, "rb");
	if (fp == NULL)
	{
		printf("文件打开失败\n");
		return NULL;
	}
	fseek(fp, 0, SEEK_END);
	int len = ftell(fp);
	char* buf = (char*)malloc(len);
	if (buf == NULL)
	{
		printf("内存分配失败\n");
		return NULL;
	}
	fseek(fp, 0, SEEK_SET);
	fread(buf, 1, len, fp);
	fclose(fp);
	return buf;
}

bool Analyse_PE_Head(char* p)
{
	char* Buf = ReadFile(p);
	char* BufBackUp = Buf;
	int Turn = 0;
	if (Buf == NULL)
	{
		return false;
	}
	//DOS头
	WORD* Test = (WORD*)Buf;
	if ((*Test) != 0x5A4D)
	{
		return false;
	}
	printf("DOS头部:\n");
	int i = 0;
	while (i < 19)
	{
		printf("%s: ", _IMAGE_DOS_HEADER[i]);
		if (DOS_LENGTH[i] == 2)
		{
			WORD* Ptemp = (WORD*)Buf;
			Buf += 2;
			printf("%x\n", (*Ptemp));
		}
		else if (DOS_LENGTH[i] == 4)
		{
			DWORD* Ptemp = (DWORD*)Buf;
			Buf += 4;
			//记录PE头偏移
			Turn = (*Ptemp);
			printf("%x\n", (*Ptemp));
		}
		else
		{
			WORD* Ptemp = (WORD*)Buf;
			int j = 0;

			while (j < (DOS_LENGTH[i] / 2))
			{
				printf("%x", *Ptemp);
				Buf += 2;
				Ptemp++;
				j++;
			}
			printf("\n");
		}
		i++;
	}
	printf("\n-----------------------------------------------\n");

	//PE头跳转
	Buf = BufBackUp + Turn;
	//NT头开始
	int* temp = (int*)Buf;
	if ((*temp) != 0x4550)
	{
		return false;
	}
	printf("PE标识:%x\n", (*temp));
	Buf += 4;

	//标准PE头
	printf("标准PE头\n");
	i = 0;
	while (i < 7)
	{
		printf("%s: ", _IMAGE_FILE_HEADER[i]);
		if (FILE_PE_LENGTH[i] == 2)
		{
			WORD* Ptemp = (WORD*)Buf;
			Buf += 2;
			printf("%x\n", (*Ptemp));
		}
		else
		{
			DWORD* Ptemp = (DWORD*)Buf;
			Buf += 4;
			printf("%x\n", (*Ptemp));
		}
		i++;
	}
	printf("\n-----------------------------------------------\n");

	//可选PE头
	printf("可选PE头\n");
	i = 0;
	while (i < 30)
	{
		printf("%s: ", _IMAGE_OPTIONAL_HEADER[i]);
		if (_OPTIONAL_HEADER_LENGTH[i] == 2)
		{
			WORD* Ptemp = (WORD*)Buf;
			Buf += 2;
			printf("%x\n", (*Ptemp));
		}
		else if (_OPTIONAL_HEADER_LENGTH[i] == 1)
		{
			BYTE* Ptemp = (BYTE*)Buf;
			Buf++;
			printf("%x\n", (*Ptemp));
		}
		else
		{
			DWORD* Ptemp = (DWORD*)Buf;
			Buf += 4;
			printf("%x\n", (*Ptemp));
		}
		i++;
	}
	printf("\n-----------------------------------------------\n");
	return true;
}

#main.cpp

#include <stdio.h>
#include "Analyze_Of_PE_Header.h"

int main(void)
{
	char path[] = "C:\\Program Files (x86)\\NetSarang\\Xshell 7\\Xshell.exe";
	bool result = Analyse_PE_Head(path);
	if (result == NULL)
	{
		printf("解析失败\n");
	}

	return 0;
}

这是运行结果

总结

但是我还有一个思路就是根据不同的头部,建立不同的结构体,但是在对应结构体成员的查找上遇到了问题,没有想到实现的办法,所以采用了这种办法。

我是瑞思拜
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE_02-----PE解析
tell_me_404的博客
08-09 625
PE解析一、 PE概述磁盘文件与内存 的映射关系PE为什么要分节?DOC标准PE可选PE二、PE格式结构图(详细)三、打印PE部信息运行结果 一、 PE概述 磁盘文件与内存 的映射关系 PE为什么要分节? 1、节省硬盘空间.(这个不是决定的,由编译器决定) 2、一个应用程序多开 3、理解FileBuffer和ImageBuffer DOC 标准PE 可选PE 二、PE格式结构图(详细) 注:区块就是节表 三、打印PE部信息 打印PE部信息: PE包含:DOS+4字
PE文件结构详解(二)可执行文件
热门推荐
evil.eagle的专栏
09-23 4万+
PE文件结构详解(一)基本概念里,解释了一下PE文件的一些基本概念,从这篇开始,将正式讲解PE文件的详细结构。 了解一个文件的详细结构,最应该首先了解的就是这个文件的文件的含义,因为几乎所有的文件格式,重要的信息都包含在部,从部的信息,可以引导系统解析整个文件。
PE文件(一)PE
qq_63329753的博客
02-13 3647
PE文件结构(一)PE 12/100 发布文章 qq_63329753 未选择任何文件 new PE文件结构 PE(Portble Executable File Format,可移植的执行体文件格式) 文件是Windows操作系统下使用的可执行文件格式,使用该格式的目标是使链接生成的EXE文件能在不同的CPU工作指令下工作。 PE文件种类:(种类:主拓展名) 可执行系列:EXE,SCR; 驱动程序系列:SYS,VXD; 库系列:DLL,OCX,CPL,DRV; 对象文件系列:OBJ; PE
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5277
PEIMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE解析
qq_41129854的博客
03-16 600
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS...
修改PE免杀所有软件
09-28
PE中包含的信息包括但不限于程序入口点、节区表、导入表、导出表、资源表等。修改这些信息可以改变程序的行为,使其更难以被安全软件分析。以下是一些常见的修改PE的方法和相关知识点: 1. **隐藏导入**:恶意...
PE文件解析(C#)
06-28
在整个过程中,需要注意的是PE文件可能包含恶意代码,因此在解析时要避免执行任何可疑的代码片段,仅限于读取和分析文件结构。此外,PE文件可能存在非标准格式或者损坏,解析时需要有异常处理机制,确保程序的健壮性...
Exeinfo_PE_0.0.5.3查壳工具
01-23
Exeinfo_PE提供了丰富的功能,包括但不限于: 1. **壳检测**:该工具能够检测出多种常见的加壳技术,如UPX、ASPack、MEW、PeCompact等,这些壳通常用于压缩代码、混淆逻辑,或者作为防逆向措施。 2. **节区分析**...
易语言PE文件资源查看源码.zip易语言项目例子源码下载
03-23
1. PE文件结构:源码会涉及到PE文件、节表、导出和导入表、资源目录等关键结构,这些都是PE文件解析的基础。 2. 资源解析:Windows程序中的资源如图标(.ico)、位图(.bmp)、字符串等都存储在特定的区域,源码...
修复可执行文件
12-11
"修复可执行文件"这个主题涉及到的是如何处理这类问题,确保文件能够正确解析并运行。 "修复exe"是指针对exe文件的部进行修复,因为文件包含了关于文件类型、版本、入口点地址、资源信息等关键数据。如果这...
PeEdit PE文件修改工具
08-18
安全可以用已经验证。
PE解析-字段说明
qq_51600802的博客
10-27 2148
Windows平台:PE(Portable Executable)文件结构Linux平台:ELF(Executable and Linking Format)文件结构。
PE部的解析(总结于小甲鱼)
imHaoHao的博客
10-29 1222
上次讲到DOS现在讲下紧跟在DOS部后面的PEPE映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
滴水三期:day28.1-PE字段说明
Edimade的博客
05-02 940
一、PE字段>二、DOS>三、PE标记>四、标准PE>五、可选PE>六、可执行文件的读取到装入内存过程
PE解析(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
weixin_62513694的博客
03-16 331
PE解析,内附代码(没有节表部分,自己用C语言写的,如果有什么不对的地方还请指出)
PE格式系列_0x02:PE部信息(WinDbg查看)
可乐松子的博客
05-23 1524
0x02 PE部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbg、PE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbg是windows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
dnspy反汇编dll只得到pe
weixin_49975379的博客
08-04 2861
一个十年前的老dll,不知道是什么语言写的,大概率是c++或c#,放进dnspy只得到pe,这可怎么办啊呢?
pe结构分析-解析pe(一)
freshfox的博客
09-28 711
// peFileAna.cpp : 定义控制台应用程序的入口点。 // // peFileAna.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "file.h" #include "malloc.h" #define in_file_name "d:\\user32.dll" #define out_file...
windows PE结构可选PE
最新发布
06-04
PE(Portable Executable)文件的可选部(Optional Header)位于PE部(PE Header)之后,它包含了一些可选信息,例如程序运行时需要的基本信息、PE文件的属性、数据目录等等。可选部的结构如下: ``` typedef...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值