上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。
windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
这里仍然是延续我的风格,以实例看 image 文件格式,这次以 mircrosoft visual studio 2010 的 VC++ 9.0 编译出来经典 windows 程序为例:
这个例子是:
| // helloworld.cpp : Defines the entry point for the application. #include "stdafx.h" #define MAX_LOADSTRING 100 // Global Variables: // Forward declarations of functions included in this code module: int APIENTRY _tWinMain(HINSTANCE hInstance, // TODO: Place code here. // Initialize global strings // Perform application initialization: hAccelTable = LoadAccelerators(hInstance, MAKEINTRESOURCE(IDC_HELLOWORLD)); // Main message loop: return (int) msg.wParam;
// wcex.cbSize = sizeof(WNDCLASSEX); wcex.style = CS_HREDRAW | CS_VREDRAW; return RegisterClassEx(&wcex); // hInst = hInstance; // Store instance handle in our global variable hWnd = CreateWindow(szWindowClass, szTitle, WS_OVERLAPPEDWINDOW, if (!hWnd) ShowWindow(hWnd, nCmdShow); return TRUE; // switch (message) // Message handler for about box. case WM_COMMAND: |
在窗口中间显示“hello, world”,使用的是 Win32 debug 版本编译,生成的 helloworld.exe 大小是 88,576 bytes
1. MS-DOS 文件头
在 image 文件的最开始处就是 DOS 文件头,DOS 文件头包含了 DOS stub 小程序。 在 WinNT.h 文件里定义了一个结构来描述 DOS 文件头。
| typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header |
这个结构名叫 IMAGE_DOS_HEADER 共 64 bytes,以 IMAGE_DOS_HEADER 结构描述的 DOS 文件头结构从 image 的 0x00000000 - 0x0000003F(64 bytes)
结构的 e_magic 域是 DOS 头文件签名,它的值是:0x5A4D 代表字符 MZ,它在 WinNT.h 里定义为:
| #define IMAGE_DOS_SIGNATURE 0x5A4D // MZ |
e_lfanew 域是一个 offset 值,它指出 NT 文件头的位置。
下面看看 helloworld.exe 的 DOS 文件头内容:
| Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 00000000 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 MZ..........??.. |
红色部分是 DOS 签名,蓝色部分是 PE header offset(NT 文件头)值,也就是 IMAGE_DOS_HEADER 里的 e_lfanew 值,表明 NT 文件头在 image 文件的0x000000F0 处。
1.1 DOS stub 程序
在 DOS 文件头下面紧跟着一小段 stub 程序,从 0x00000040 - 0x0000004D 共 14 bytes,这段 dos stub 程序是这样的:
| 00000040 0E push cs |
当 windows 的 PE 文件放在 DOS 上执行时,将会执行这一段 DOS stub 程序,作用是打印信息:This program cannot be run in DOS mode.... 然后调用 int 21 来终止执行返回到 DOS
看看它是怎样运行的:
| 00000014 00 00 // ip |
这个 DOS 执行环境中,CS 和 IP 被初始化为 0,e_lfarlc 是 DOS 环境的 relocate 表,它的值是 0x40 ,那么信息字符串的位置是:0x0040 + 0x000e = 0x4e,在 image 文件的 0x0000004e 正好这字符串的位置。
2. NT 文件头
NT 文件头是 PE 文件头的核心部分,由 IMAGE_DOS_HEADER 结构的 e_lfanew 域指出它的位置。
同样 NT 文件头部分由一个结构 IMAGE_NT_HEADER 来描述,在 WinNT.h 里定义如下:
| typedef struct _IMAGE_NT_HEADERS64 { typedef struct _IMAGE_NT_HEADERS { |
可见这个结构分为 32 和 64 位版本,IMAGE_NT_HEADER 结构分为三大部分:
- PE 文件签名:Signature
- IMAGE_FILE_HEADER 文件头:FileHeader
- IMAGE_OPTINAL_HEADER(32/64) 可选头:OptionalHeader
IMAGE_NT_HEADERS32 和 IMAGE_NT_HEADERS64 的匹别在于 IMAGE_OPTIONAL_HEADER 结构,分别为:IMAGE_OPTIONAL_HEADERS32 和IMAGE_OPTIONAL_HEADERS64
在 Win32 下 IMAGE_NT_HEADERS32 是 248 bytes,在 Win64 下 IMAGE_NT_HEADERS64 是 264 bytes,因此 helloworld.exe 的 NT 文件头从 0x000000F0 - 0x000001E7 共 248 bytes
2.1 PE 签名
在 WinNT.h 文件里定义了 PE 文件的签名,它是:
| #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 |
这个签名值是 32 位,值为:0x00004550 即:PE 的 ASCII 码,下面看看 helloworld.exe 中的 PE 签名:
2.2 IMAGE_FILE_HEADER 文件头结构
PE 签名接着是 IMAGE_FILE_HEADER 结构,它在 WinNT.h 中的定义为:
| typedef struct _IMAGE_FILE_HEADER { |
这个 IMAGE_FILE_HEADER 对 PE 文件大致的描述,这个结构共 20 bytes,它的域描述如下:
|
域
|
size
|
值
|
描述
|
|
Machine
|
WORD
|
IMAGE_FILE_MACHINE_xxx
|
表示目标平台 processor 类型,例:
IMAGE_FILE_MACHINE_I386
|
|
NumberOfSections
|
WORD
|
节数量
|
表示映象中有多少个 section
|
|
TimeDataStamp
|
DWORD
|
从1970年1月1日0:00 以来的总秒数
|
表示文件创建的时间
|
|
PointerToSymbolTable
|
DWORD
|
COFF 符号表偏移量
|
在 image 文件中很少见,总是为 0
|
|
NumberOfSymbols
|
DWORD
|
COFF 符号表的个数
|
如果存在的话,表示符号表的个数
|
|
SizeOfOptionalHeader
|
WORD
|
IMAGE_OPTIONAL_HEADER 结构大小
|
该域表示
IMAGE_NT_HEADER 中的
IMAGE_OPTIONAL_HEADER 结构的大小
|
|
Characteristics
|
WORD
|
IMAGE_FILE_xxx
|
表示文件属性,例如:
IMAGE_FILE_DLL 属性
|
WinNT.h 中定义了一些常量值用来描述 Machine,以 IMAGE_FILE_MACHINE_XXX 开头,下面是一些典型的常量值:
| #define IMAGE_FILE_MACHINE_UNKNOWN 0 |
WinNT.h 中还针对 Characteristics 域定义了一些常量值,以 IMAGE_FILE_XXX 开头,代表目标 image 文件的类型,下面是一些常见的值:
| #define IMAGE_FILE_RELOCS_STRIPPED 0x0001 // Relocation info stripped from file. |
NumberOfSections 表示 image 有多个 section,另一个重要的域是:SizeOfOptionalHeader 它指出接下来 IMAGE_OPTIONAL_HEADER 的大小,它有两个 size:Win32 的 0xDC 和 Win64 的 0xF0
下面是 helloworld.exe 的 IMAGE_FILE_HEADER 结构,从 0x000000F4 - 0x00000107 共 20 bytes:
将这些值分解为:
| 000000F4 4C 01 // Machine |
- Machine 是 0x014C,它的值是 IMAGE_FILE_MACHINE_I386,说明这个 image 文件的目标平台是 i386,即:Win32 平台
- NumberOfSections 是 0x07,说明 image 文件内含有 7 个 sections
- SizeOfOptionalHeader 是 0xE0,说明接下来的 IMAGE_OPTIONAL_HEADERS32 将是 0xE0(224 bytes)
它的 Characteristics 是 0x102 = IMAGE_FILE_EXECUTABLE_IMAGE | IMAGE_FILE_32BIT_MACHINE,说明这个 image 是 32 位可执行的映像。
2.3 IMAGE_OPTIONAL_HEADER32 结构
在 IMAGE_FILE_HEADER 结构里已经指明了 image 是 32 位,并且 IMAGE_OPTIONAL_HEADER 的大小是 224 bytes,那么这个结构就是IMAGE_OPTIONAL_HEADER32 结构。
可以根据 IMAGE_FILE_HEAER 结构的 Machine 来判断 image 是 Win32 还是 Win64 平台的。但是 Microsoft 官方推荐及认可的方法是从 IMAGE_OPTIONAL_HEADER 里的 magic 的值来判断目标平台 。
在 WinNT.h 里 IMAGE_OPTIONAL_HEADER32 的定义如下:
| typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; // DWORD ImageBase; |
64 位的 IMAGE_OPTIONAL_HEADER64 里没有 BaseOfData 域,其它的与 IMAGE_OPTIONAL_HEADER32 结构的域是一样的,只是一些域扩展为 64 位值,它们包括:
- ImageBase
- SizeOfStackReserve
- SizeOfStackCommit
- SizeOfHeapRerserve
- SizeOfHeapCommit
这些域在 64 位结构里被定义为 ULONGLONG 类型。
从 IMAGE_OPTIONAL_HEADER32 的定义可以看出,这个结构分为 基本域 部分和 附加域 部分,它的基本域含义如下:
| Offset | Size | Field | Description |
| 0 | 2 | Magic | The unsigned integer that identifies the state of the image file. The most common number is 0x10B, which identifies it as a normal executable file. 0x107 identifies it as a ROM image, and 0x20B identifies it as a PE32+ executable. |
| 2 | 1 | MajorLinkerVersion | The linker major version number. |
| 3 | 1 | MinorLinkerVersion | The linker minor version number. |
| 4 | 4 | SizeOfCode | The size of the code (text) section, or the sum of all code sections if there are multiple sections. |
| 8 | 4 | SizeOfInitializedData | The size of the initialized data section, or the sum of all such sections if there are multiple data sections. |
| 12 | 4 | SizeOfUninitializedData | The size of the uninitialized data section (BSS), or the sum of all such sections if there are multiple BSS sections. |
| 16 | 4 | AddressOfEntryPoint | The address of the entry point relative to the image base when the executable file is loaded into memory. For program images, this is the starting address. For device drivers, this is the address of the initialization function. An entry point is optional for DLLs. When no entry point is present, this field must be zero. |
| 20 | 4 | BaseOfCode | The address that is relative to the image base of the beginning-of-code section when it is loaded into memory. |
Magic 域是一个幻数值,在 WinNT.h 里定义了一些常量值:
| #define IMAGE_NT_OPTIONAL_HDR32_MAGIC 0x10b |
- 值 0x10b 说明这个 image 是 32 位的,PE 文件格式是 PE32
- 值 0x20b 说明这个 image 是 64 位的,PE 文件格式是 PE32+
PE32+ 代表的扩展的 PE 文件格式,扩展为 64 位。在 PE 文件规范中并没有 PE64 这种文件格式,Microsoft 官方的判断 image 文件是 32 位还是 64 位的方法就是通过Magic 的值来确定。
在这些基本的域里可以获得 linker 的版本,text 节,data 节以及 bss 节的大小,
下面看一看 helloworld.exe 的 IMAGE_OPTIONAL_HEADER32 结构的基本域,从 0x00000108 - 0x0000011F
| 00000108 0B 01 // Magic |
Magic 是 0x010B 表明这个 image 文件是 32 位的 PE32 格式,这里看出 linker 的版本是 10.00
.text 节的 size 是 0x00003C00 bytes,.data 节的 size 是 0x00012000 bytes,还有一个重要的信息,代码的 RVA 入口在 0x0001120D,它是基于 ImageBase 的RVA 值。代码的基址在 0x00001000,这个是 RVA(Relative Virtual Address)值。
下面再来看一看 IMAGE_OPTIONAL_HEADER32 结构的附加域:
| Offset | Size | Field | Description |
| 24 | 4 | BaseOfData | The address that is relative to the image base of the beginning-of-data section when it is loaded into memory. |
| 28/24 | 4/8 | ImageBase | The preferred address of the first byte of image when loaded into memory; must be a multiple of 64 K. The default for DLLs is 0x10000000. The default for Windows CE EXEs is 0x00010000. The default for Windows NT, Windows 2000, Windows XP, Windows 95, Windows 98, and Windows Me is 0x00400000. |
| 32/32 | 4 | SectionAlignment | The alignment (in bytes) of sections when they are loaded into memory. It must be greater than or equal to FileAlignment. The default is the page size for the architecture. |
| 36/36 | 4 | FileAlignment | The alignment factor (in bytes) that is used to align the raw data of sections in the image file. The value should be a power of 2 between 512 and 64 K, inclusive. The default is 512. If the SectionAlignment is less than the architecture’s page size, then FileAlignment must match SectionAlignment. |
| 40/40 | 2 | MajorOperatingSystemVersion | The major version number of the required operating system. |
| 42/42 | 2 | MinorOperatingSystemVersion | The minor version number of the required operating system. |
| 44/44 | 2 | MajorImageVersion | The major version number of the image. |
| 46/46 | 2 | MinorImageVersion | The minor version number of the image. |
| 48/48 | 2 | MajorSubsystemVersion | The major version number of the subsystem. |
| 50/50 | 2 | MinorSubsystemVersion | The minor version number of the subsystem. |
| 52/52 | 4 | Win32VersionValue | Reserved, must be zero. |
| 56/56 | 4 | SizeOfImage | The size (in bytes) of the image, including all headers, as the image is loaded in memory. It must be a multiple of SectionAlignment. |
| 60/60 | 4 | SizeOfHeaders | The combined size of an MS?DOS stub, PE header, and section headers rounded up to a multiple of FileAlignment. |
| 64/64 | 4 | CheckSum | The image file checksum. The algorithm for computing the checksum is incorporated into IMAGHELP.DLL. The following are checked for validation at load time: all drivers, any DLL loaded at boot time, and any DLL that is loaded into a critical Windows process. |
| 68/68 | 2 | Subsystem | The subsystem that is required to run this image. For more information, see “Windows Subsystem” later in this specification. |
| 70/70 | 2 | DllCharacteristics | For more information, see “DLL Characteristics” later in this specification. |
| 72/72 | 4/8 | SizeOfStackReserve | The size of the stack to reserve. Only SizeOfStackCommit is committed; the rest is made available one page at a time until the reserve size is reached. |
| 76/80 | 4/8 | SizeOfStackCommit | The size of the stack to commit. |
| 80/88 | 4/8 | SizeOfHeapReserve | The size of the local heap space to reserve. Only SizeOfHeapCommit is committed; the rest is made available one page at a time until the reserve size is reached. |
| 84/96 | 4/8 | SizeOfHeapCommit | The size of the local heap space to commit. |
| 88/104 | 4 | LoaderFlags | Reserved, must be zero. |
| 92/108 | 4 | NumberOfRvaAndSizes | The number of data-directory entries in the remainder of the optional header. Each describes a location and size. |
上面表格中的 offset 值两个,前面的是 IMAGE_OPTIONAL_HEADER32 的 offset 值,后面的是 IMAGE_OPTIONAL_HEADER64,这是因为在 64 位版本中一些域被扩展为 64 位值,而 BaseOfData 域在 64 位版中是不存在的。
下面是 helloworld.exe 的 IMAGE_OPTIONAL_HEADER32 剩余部分,从 0x00000120 - 0x000001E7
| 00000120 00 10 00 00 // BaseOfData 00000168 00 00 00 00 // DataDirectory[0] |
helloworld.exe 的 ImageBase 是 0x00400000,那么 helloworld.exe 映象的入口在:ImageBase + AddressOfEntryPoint = 0x00400000 + 0x0001120D =0x0041120D,这个地址是 _wWinMainCRTStartup() 的入口。
上面的 SectionAlinment 域值为 0x1000 是表示映象被加载到 virtual address 以是 0x1000(4K byte)为单位的倍数,也就是加载在 virtual address 的 4K 边界上。FileAlinment 域的值为 0x200 表示执行映象从 0x200 为边界开始加载到 virtual address 上。
2.3.1 Directory 表格
在 IMAGE_OPTIONAL_HEADER32 未端是一组 IMAGE_DATA_DIRECTORY 结构的数组,在 WinNT.h 里定义为:
| // typedef struct _IMAGE_DATA_DIRECTORY { #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16 |
IMAGE_NUMBEROF_DIRECTORY_ENTRIES 的值为 16,因此有 16 个 Directory,Directory 结构中的 VirtualAddress 是一个 RVA 值。
这 16 个 Driectory 指引出 16 不同格式的 table,这 16 个 table 分别是:
|
表项
|
表格
|
|
0
|
export table
|
|
1
|
import table
|
|
2
|
resource table
|
|
3
|
exception table
|
|
4
|
certificate table
|
|
5
|
base relocation table
|
|
6
|
debug
|
|
7
|
architecute
|
|
8
|
global pointer
|
|
9
|
TLS table
|
|
10
|
load configuration table
|
|
11
|
bound import
|
|
12
|
import address table
|
|
13
|
delay import descriptor
|
|
14
|
CLR runtime header
|
|
15
|
reserved, must bo zero
|
在 WinNT.h 有对这些 table 的结构的全部定义。
在我们的实例 helloworld.exe 中使用了 5 个 Driectory,也就是使用了 5 个 Data table,它们是:
- import table
- resource table
- base relocation table
- debug table
- import address table
|
域
|
import table
|
resource table
|
base relocation bale
|
debug table
|
import address table
|
|
VirtualAddress
|
0x00018000
|
0x00019000
|
0x00028000
|
0x00015720
|
0x00018230
|
|
size
|
0x50
|
0xE71C
|
0x340
|
0x1C
|
0x1E0
|
上面表格显示了 Directory 指示的 Data table 在 virtual address 上的位置
3. section 表
现在来看一看 helloworld.exe 的 section 表,从 0x000001E8 - 0x000002FF,共 280 bytes
这个节表结构在 WinNT.h 中定义为
| // #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { #define IMAGE_SIZEOF_SECTION_HEADER 40 |
每个 section 表的大小为 40 bytes,section 表的作用是指出 image 映象 section 所在
在 helloworld.exe 映象的 IMAGE_FILE_HEADER 结构的 NumberOfSections 域里已经指出 helloworld.exe 映象中包含有 7 个 sections,因此整个 section 表的大小为:280 bytes
helloworld.exe 的 section 表如下:
这 7 个 section 分别是:
- .textbss 节
- .text 节
- .rdata 节
- .data 节
- .idata 节
- .rsrc 节
- .reloc 节
|
域
|
.textbss 节
|
.text 节
|
.rdata 节
|
.data 节
|
.idata 节
|
.rsrc 节
|
.reloc 节
|
| VirtualSize |
0x00010000
|
0x00003BDB
|
0x00001CD1
|
0x00000764
|
0x00000AAE
|
0x0000E71C
|
0x00000564
|
| VirtualAddress |
0x00001000
|
0x00011000
|
0x00015000
|
0x00017000
|
0x00018000
|
0x00019000
|
0x00028000
|
| SizeOfRawData |
0
|
0x00003C00
|
0x00001E00
|
0x00000200
|
0x00000C00
|
0x0000E800
|
0x00000600
|
| PointerToRawData |
0
|
0x00000400
|
0x00004000
|
0x00005E00
|
0x00006000
|
0x00006C00
|
0x00015400
|
| PointerToRelocations |
0
|
0
|
0
|
0
|
0
|
0
|
0
|
| PointerToLinenumbers |
0
|
0
|
0
|
0
|
0
|
0
|
0
|
| NumberOfRelocations |
0
|
0
|
0
|
0
|
0
|
0
|
0
|
| NumberOfLinenumbers |
0
|
0
|
0
|
0
|
0
|
0
|
0
|
| Characteristics |
0xE00000A0
|
0x60000020
|
0x40000040
|
0xC0000040
|
0xC0000040
|
0x40000040
|
0x42000040
|
IMAGE_SECTION_HEADER 结构里的 name 指出 section 的名字,这个 section 名 8 个节字长。
VirtualAddress 是一个基于 ImageBase 的 RVA 值,它指出 section 的所在,VirtualSize 指出 section 的大小,SizeOfRawData 是在 image 文件里占有的空间,它是 FileAlignment 的倍数,即:0x200 的倍数,也就是说 0x200 的边界。PointerToRawData 是 section 在 image 文件的位置,同样也是 FileAligment 即:0x200 边界上。
2089
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
