PE文件结构——NT Headers

已于 2023-05-18 22:43:25 修改
阅读量505 收藏 1
点赞数
分类专栏: PE文件结构 文章标签: c++
于 2023-05-18 22:40:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qxinhan/article/details/130750795
版权

目录

一、NT Headers的结构

1.Signature(DWORD)

2. FileHeader(IMAGE_FILE_HEADER)

3.OptionalHeader(IMAGE_OPTIONAL_HEADER32)

一、NT Headers的结构

NT Headers的结构被定义在"winnt.h"中,结构名为"_IMAGE_NT_HEADERS"。它内部有三个成员,具体请看下图:

 接下来我们将具体分析这三个成员:

1.Signature(DWORD)

它占据了四个字节,是一个固定的十六进制值为"0x50450000",按照ASCII码编码,值为"PE\0\0",这是一个标签,它的作用是告诉OS loader这是个PE文件。

2. FileHeader(IMAGE_FILE_HEADER)

这个我暂且叫他文件头,里面有一些和这个PE文件有关的信息。

 接下来我们来分析一下它的结构:

首先,我们先用PE-Bear来解析一下这个exe文件的File Header:

1.Machine

它占两个字节,镜像文件只能运行于指定处理器或者能够模拟该处理器的系统上。我们来看看微软的专用文档对这一部分的描述:

下面是相关的值与其对应的机器型号:

 详细内容请看这儿

 接下来我们用一个解析软件"PE-Bear"来解析一下eclipse.exe,来看看它这个Machine值是多少

 

 这个Meaning是AMD64(K8),这是一个由AMD公司研发的64位处理器。

2.NumberofSections

它是一个count,它占两个字节,代表在之后的区域表中有几个区域段。

3.TimeDataStamp

存的是这个文件创建的时间。

4.PointerToSymbolTable 和 NumberOfSymbols

 这个我目前也知道一个概念,不过它是已经被抛弃了,官方文档里面狠心地说了一句"...is deprecated",所以说这两个的value都是0。

5.SizeOfOptionalHeader

它存有可选择头的大小,它的大小是不同的。对于32位文件来说大小是224,对于64位文件来说大小是240。

6.Characteristics

用来标识说明这个PE文件的一些属性与特征,比如说这个文件是不是可执行的等等。这里每一个value都有一些特定的信息,具体想看的话可以看上面那个传送门。

3.OptionalHeader(IMAGE_OPTIONAL_HEADER32)

 前言:可选头有两个版本分别为32位版本(IMAGE_OPTIONAL_HEADER32)和64位版本(IMAGE_OPTIONAL_HEADER64)这两个结构分别在_IMAGE_NT_HEADERS和_IMAGE_NT-HEADER64结构中。可选择头是这个结构中最重要的一部分,当文件被执行时这里的属性会被加载到内存中并且执行。

可选择头有两个版本,这两个版本之间有一些区别:

1.32位的可选择头,它一共有31个成员而64位的可选择头有30个成员。多了一个DWORD BaseOfData,它存的是镜像被加载到内存中的数据节的RVA。

2.有五个成员,在32位的可选择头和64位的可选择头结构中的数据类型是不同的,这个就不一一列举了。

下面是可选择头的具体结构: 

//
// Optional header format.
//

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;
    BYTE        MajorLinkerVersion;
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;
    DWORD       BaseOfCode;
    ULONGLONG   ImageBase;
    DWORD       SectionAlignment;
    DWORD       FileAlignment;
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;
    DWORD       SizeOfHeaders;
    DWORD       CheckSum;
    WORD        Subsystem;
    WORD        DllCharacteristics;
    ULONGLONG   SizeOfStackReserve;
    ULONGLONG   SizeOfStackCommit;
    ULONGLONG   SizeOfHeapReserve;
    ULONGLONG   SizeOfHeapCommit;
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;

八个标准成员:

1.Magic:表示这是一个32-bit或者64-bit的可执行文件。对于Windows的PE Loader,它会忽视文件头中的Machine。

2.MajorLinkerVersion:链接器的主版本号。

3.MinorLinkerVersion:链接器的次版本号。

4.SizeOfCode:代码块的大小,代码是放在.text文件里的。

5.SizeOfInitializedData:初始化的数据的数据块大小。这些初始化的数据放在.data的文件中。

6.SizeOfUninitializedData:未初始化的数据的数据块的大小。这些未初始化的数据放在后缀为.dss的区块下。

7.AdressOfEntryPoint:镜像文件被加载到内存中时,它代表了一个入口点的RVA(Relative Virtual Address)。

8.BaseOfCode:代码基址,表示的是镜像文件被加载到内存中的代码节的RVA。

9.BaseOfData(32-bit):数据基址,表示镜像文件被加载到内存中的数据节的RVA。(偷偷加一个应该没人看见【滑稽】)

 

下面就是一些sections。说实话,看英文比中文更好理解。但是有一点我今天才弄懂,在英文文章中我们总能看见一个词"image",比如"image file",这个是个镜像文件。那么什么是镜像文件呢?当一个可执行文件run之前,它会由OS loader加载进内存中,分配虚拟内存空间 。这种行为类似于复制该文见到机器给它分配到的空间中去,所以用"image"来修饰这个文件,这就显得很形象了。

 

 拓展内容:

1.ImageBase:镜像文件被加载进入内存时的第一个字节的首选地址,它必须是64k的倍数。它实际上是用来定为的,因为镜像文件存储的内存空间实际上是和实际空间不一样的,需要通过这个基址来给“头”和“节”进行重定位。

2.SectionAlignment:字节对齐,这里面存的值是用来使字节对齐的值(以字节计)。

3.FileAlignment:文件对齐,用来对齐文件的节中的原始数据因子(以字节计)。

注:这两个对齐我没怎么理解。

4.MajorOperatingSystemVersion,

 MinorOperatingSystemVersion, 

MajorImageVersion, MinorImageVersion, 

MajorSubsystemVersion, 

MinorSubsystemVersion:我来按照顺序翻译一下。主操作系统版本号,次操作系统版本号,镜像文件主版本号,镜像文件次版本号,子系统主版本号,主系统次版本号。

5.Win32VersionValue:这是一个保留值,必须为0.

6.SizeOfImage:镜像的大小(以字节计),它的大小是为SectionAlignment整数倍。因为可执行文件要被加载到内存中,而机器分配给它空间方式是连续的整块。实际上这样会使文件加载后所占内存空间比实际空间更大。

7.SizeOfHaeders:所有头的总大小(以字节计算),它的大小为FileAlignment的整数倍,向上取整(显然,上面那个也是)。

8.CheckSum:翻译过来是叫验效和。在加载时检测这个文件是否合法。

9.SubSystem:运行镜像所需要的子系统,对应的值可以去microslft的官网里面去看,传送门在上边。

10.DLLcharacteristic:定义一些属性,普通文件都有这个。比如说,0x0040代表着DLL能够被重定位,0x0100代表着这个PE文件被提供了一种内存保护机制——NX(Non-Executable)位是一种硬件支持的内存保护技术,可以防止缓冲区溢出等攻击。

11.SizeOfStackReserve,SizeOfStackCommit: 栈保留大小和初始的栈提交大小。这里的栈是CPU的栈。

12.SizeOfHeapReserve,SizeOfHeapCommit:堆保留大小和初始的堆提交大小。

13.LoaderFlags:保留区域,set为0。

14.NumberOfRvaAndSizes:是数据目录表的数组大小。

15.DataDirectory:数据目录表,一个结构体数组。

 看一下最后一个数据目录表,它的结构里面存的是表大小和表的虚拟地址。

这些是本次的学习笔记,等完全学完后再完整地整理一下优化一下这些笔记(先立一个flag)其实还想写一下解析文件地C程序(已经写了一部分了),等有之后全写了(再立一个flag)。 

QQmian_new
关注
专栏目录
pe-bear-releases:PE-bear(仅内置)
05-22
PE轴承释放 PE-bear是用于PE文件的免费软件反向工具。 其目标是为恶意软件分析人员提供快速,灵活的“第一视图”,并稳定且能够处理格式错误的PE文件。 警告: PE-bear不是开源的-您只能在此处找到内部版本。 但是,PE-bear的PE解析器是开源的,可以在这里找到: PE-bear的签名:
PE文件详解之IMAGE_NT_HEADER结构
知其所以然
09-02 5469
PE HeaderPE相关结构NT映像头(IMAGE_NT_HEADER)的简称。里面包含了许多PE装载器用到的重要字段。      先看看该结构体: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTION
PE-bear:你的PE文件逆向分析利器
最新发布
gitblog_00470的博客
08-23 433
PE-bear:你的PE文件逆向分析利器 pe-bearPortable Executable reversing tool with a friendly GUI 项目地址:https://gitcode.com/gh_mirrors/pe/pe-bear 在安全研究领域,理解可执行文件的内部结构至关重要。今天,我们要推荐一个开源工具——PE-bear,它是面向PE(Portable Exec...
病毒分析系列2 | 使用PE工具进行初步静态分析
SpaceSec的博客
11-02 6008
接上篇。进行病毒分析时,在进行具体的病毒行为分析前,需要或许可疑文件的基本信息,此时可以使用pe工具进行分析和获取在该文章中所涉及的知识主要是pe文件格式的相关知识,使用文字进行原理说明会相对冗余。
商汤OpenMMLab YOLO系列工具箱;慕尼黑工大『计算机视觉深度学习进阶课』;伯克利『深度无监督学习课程』;前沿论文 | ShowMeAI资讯日报
热门推荐
ShowMeAI研究中心
10-08 1万+
OpenMMLab YOLO 系列工具箱、界面友好的PE文件逆向工具、LAVIS 一站式语言-视觉智能库、Obsidian 知识库的任务管理器、使用下一代Kaldi与ncnn的实时语音识别工具、慕尼黑工业大学 『计算机视觉深度学习进阶课』、伯克利『深度无监督学习课程』、 DALL·E 2工作原理通俗解析、包含船只的卫星图像数据集列表、前沿论文…点击获取全部资讯
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1947
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
4.PE文件之扩展PE头(IMAGE_OPTIONAL_HEADER)
kernelhack
10-26 5765
可选/扩展PE头IMAGE_OPTIONAL_HEADER,它有着比标准PE头(IMAGE_FILE_HEADER)更多的内容. IMAGE_OPTIONAL_HEADER 结构及成员含义如下: //大小: 32bit(0xE0) 64bit(0xF0) #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic;
PE文件格式剖析——解剖PE格式文件
10-25
#### 二、PE文件结构详解 ##### 1. DOS头 (DOS Header) 每个PE文件都以一个DOS兼容头开始,这个头的存在是为了保持与早期DOS系统的兼容性。当在非Windows环境中运行PE文件时,DOS头中的小程序将显示一条错误消息并...
PE文件结构祥解.pdf
12-09
### PE文件结构详解 #### 一、概述 随着Windows NT 3.1的推出,一种新的可执行文件格式——PE(Portable Executable)文件格式随之诞生。PE文件格式的规范虽然包含在MSDN的CD中(具体路径为SpecsandStrategy, ...
PE文件数据结构
02-09
在Windows操作系统下,可执行文件采用了一种由Microsoft设计的全新文件结构——PE结构(Portable Executable,即“可移植的执行体”)。这种结构广泛应用于Win32环境中的各种类型的执行体文件中,包括但不限于.EXE、...
PE文件结构祥解(配图中文版)
09-25
### PE文件结构详解 #### 一、概述 随着Windows NT 3.1的推出,一种新的可执行文件格式——PE(Portable Executable)文件格式随之诞生。PE文件格式是在MSDN文档中有详细记载的一种规范,但其描述相对复杂且不够...
小甲鱼PE结构详解课件.pdf
05-03
当DOS头部执行完毕后,会跳转到PE文件的真正头部——NT头部(IMAGE_NT_HEADERS)。NT头部是PE结构的核心,它包括了文件签名、文件头(IMAGE_FILE_HEADER)和可选头(IMAGE_OPTIONAL_HEADER)。文件头部分记录了基础...
PE-Bear 开源项目教程
gitblog_01036的博客
08-21 357
PE-Bear 开源项目教程 pe-bearPortable Executable reversing tool with a friendly GUI 项目地址:https://gitcode.com/gh_mirrors/pe/pe-bear 1. 项目的目录结构及介绍 PE-Bear 是一个用于分析和修改 PE (Portable Executable) 文件的工具。项目的目录结构如下: ...
chatgpt赋能python:Python中的Headers怎么设置
atest166的博客
05-29 1060
Headers是HTTP请求和响应中的元数据,用于传输额外的信息。User-Agent:客户端的浏览器信息Cookie:包含了客户端会话的信息Accept-language:客户端接受的语言在Python中,我们可以使用标准库或者第三方库requests来设置Headers。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT。
2.PE文件NT头(IMAGE_NT_HEADERS)
kernelhack
10-25 5017
IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..
探索PE文件的秘密:BearParser,您的解析利器!
gitblog_00073的博客
05-19 447
探索PE文件的秘密:BearParser,您的解析利器! bearparserPortable Executable parsing library (from PE-bear)项目地址:https://gitcode.com/gh_mirrors/be/bearparser BearParser是一个强大的可移植执行(PE文件解析库,由著名开发者hasherezade打造,它旨在为安全研究人...
PE结构】2.NT头、文件头、扩展头
SMOne
06-22 2986
一、前言二、PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址:0x0158H,和上一篇DOS头里提到的e_lfanew完全相符。NT结构:在图右侧可以看到,整个NT头包含一个4字节的Signature,以及两个结构体IMAGE_FILE_HEADER文件头)和IMAGE_OPTIONAL_...
PE头部IMAGE_NT_HEADERS
夜空中最亮的星
10-19 4553
PE头部是真正用来装载Win32程序的头部,PE头的定义为IMAGE_NT_HEAD
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值