PE格式系列_0x01:PE格式-Introduction

已于 2022-05-25 02:12:00 修改
阅读量344 收藏
点赞数
分类专栏: # PE文件格式 文章标签: windows 安全
于 2022-05-22 12:46:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44531336/article/details/124909158
版权

文章目录

可执行文件的格式是操作系统执行机制的一种反应,研究可执行文件的数据格式和运行机制,是研究逆向和脱壳的基础;windows中可执行文件的格式被称为PE格式

下面会将我学习PE格式的一些笔记进行整理(网上有很多类似的文章),汇总成几篇文章,方便自己以后查看;第一篇就先简单对PE有一个直观的印象吧

1.学习目的

为什么要学习PE文件格式?学习前要想一下学习的目的,不要盲目的瞎学习;因为PE文件格式细节很多,没有目的的学习过几个月基本就会忘记了

说一下我的目的,为了学习下面的内容,我才会不定期温习PE文件的格式

  • 学习anti debug时,会涉及PE里面的各种标志位

  • 学习hook时,有专门的hook输入表的方法,输入表中IAT是什么?

  • 学习写壳和脱壳时,会涉及到IAT、导出表等几乎PE文件的所有细节(后面会文章总结这里)

  • 逆向时,使用各种工具很容易看到PE文件细节的各种展示,不会PE文件格式咋看?

  • 学习ELF格式时,对比学习PE格式,效果会更好

一句话,学就完了;要带有目的的学PE文件的格式

2.整体结构

PE(protable executable file)文件是Windows中可执行文件的格式,且仅用于Windows操作系统

  • 详细描述:PE格式的文件描述可以看WinNT.hImage FormatEnd Image format之间的内容

  • 不同版本:PE也叫PE32,是32位可执行文件;PE+或PE32+是64位可执行文件;严格来说,除了OBJ文件之外的所有文件都是可执行文件

先看一下PE文件的框架图,有一个直观的印象

在这里插入图片描述

简单理解PE就分成2块:

  • 引导部分:DOS首部、NT首部和Section Table都是引导部分;PE文件的各种格式细节都在这个部分,学习PE文件格式也主要是学习这部分
  • 实体部分:这部分主要是Section,有效的代码和数据都在这个部分

3.存在形式

学习PE文件经常会遇到2种形式:

  • 磁盘中的文件(File):存在磁盘中的exe、dll等文件,PE文件的成员中被FileRaw修饰的基本都是描述磁盘文件的信息
  • 内存中的镜像(Image):PE加载器负责将磁盘文件(哪一部分)载入到内存,内存中的文件被成为模块或镜像

在这里插入图片描述

上图是PE文件的2种形式的示意图,摘取自《加密与解密》;可以看到section部分在Image中膨胀了,这是由于File和Image的对齐大小不同导致的

扩展:模块的基址相关扩内容

常见的几个地址一定要区分好,PE格式里经常使用

  • 起始地址:镜像的起始地址被称为模块句柄(hModule),可以通过这个句柄访问内存中其他的数据结构,即基地址(ImageBase

    • VA:基地址是内存虚拟空间的虚拟地址(Virtrual Address,VA),可以理解成是绝对地址

    • RVA:PE文件中其他地址可以简单理解成是相对虚拟地址(RVA),主要是为了支持DLL不一定能加载到默认地址处产生的重定位操作

    有如下对应关系:虚拟地址(VA) = 基地址(ImageBase)+ 相对虚拟地址(RVA)

  • GetModuleHandle函数

    Windows NT中镜像的基地址(ImageBase)作为镜像的实例句柄(Hinstance);可通过GetModuleHandle()函数这个句柄(也就是PE文件加载在内存中的基地址)

    //GetModuleHandle:获取一个进程的加载基址(传入NULL,获取进程自己的基址;传入其他模块名字,可得到对应模块加载基址)
HMODULE GetModuleHandle(LPCTSTR lpModuleName);
//其他方法:CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,ProcessID)一系列操作 或者 EnumProcessModules 等获取进程基址

  • 默认加载基地址:基地址由PE文件自身进行设定;VC++默认的exe加载基地址是0x400000(不支持ASLR时),dll的默认基地址是10000000h;Windows自己的exe和dll有些会有自己的加载基地址

4.工具查看

工欲善其事必先利其器,学PE格式得有几个工具吧,推荐使用Stud_PE和CFF Explorer,其中CFF是一个综合工具,很强大

info 1.PE header信息

Stud_PE查看

在这里插入图片描述

显示了最常用的一些基本信息:

  • 头部信息:程序的入口点(EntryPoint,脱壳时重点找的位置),基址(ImageBase,使用IDA和OD都要用的地址),区块的个数(Number of sections,脱壳和写壳才关心),文件对齐(File Alignment,写壳才关心)、内存对齐(Section Alignment,写壳才关心)等
  • 数据目录表:导入表,导出表等,下面是导入表的信息,可以看到里面有程序使用的所有DLL,且每个DLL使用的导出函数都有一个对应的表格
    在这里插入图片描述

CFF Explorer查看

在这里插入图片描述

info 2.section table信息

在这里插入图片描述

这部分在脱壳中用的最多,因为一般的壳都会额外增加一个或多个区块来存放壳的代码和数据;后续有一部分笔记会写一个简单的壳,会重点研究这里

5.结束

后面会用几篇文章介绍PE文件更详细的信息,会先用WinDbg,后用专用工具进行介绍

6.参考

  • 1.《加密与解密》第11章 PE文件格式

  • 2.《逆向工程核心原理》第13章 PE文件格式

磨刀砍柴Debug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Stud_PE
08-07
一个PE编辑器,可以对文件的PE结构进行查看与修改
PE格式解析-区段表及导入表结构详解
热门推荐
走在成长的路上
12-21 1万+
PE格式区段表与导入表的结构详解
逆向---注入方式给应用程序添加菜单
haodawei123的博客
03-07 1382
原理:通过修改注入表的方式将我们自己的dll中的菜单及响应添加到应用中去,实现我们想要的功能。 1、注入dll编写 这里是通过 Stud_PE工具将dll注入到目标程序中去的 1.1 dll中添加导出函数 Stud_PE添加到目标程序是需要添加导出函数,因此这里添加一个导出函数,没有实际功能。 jtfz.cpp void test() { AfxMessageBox(“加载成功!”); } 在de...
软件安全第二次实验
萍水间人的小天地
03-26 444
stud_PE软件 从这张图片中我们得到如下信息 入口点的RVA: 1000, 入口点的VA = imageBase + RVA imageBase = 400000 入口点的RAW 也就是文件偏移???(这个好像我解释不清楚) 文件中的对齐粒度: 200 内存中的对齐粒度 1000 映像大小? 区段数目, 也就是节的数目 导入表 也就是IDT的RVA = 2014...
XN297的驱动源码.zip_-baijiahao_0x01到0x08_clay9cb_如何发送0x08_驱动源码
07-14
1、 简单的发送和接收0x01-0x08这几个 数据,收到取反LED灯,比官方的例程更简单易懂 2、 板子上的RF的天线参数没有经过验证和阻抗测试,只是能收发数据用,做产品时自行到检测机构测试。 3、 发送和接收模式切换,...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
通过检查PE头中的特定字段,如 Magic Number (0x4550 for PE32, 0x6450 for PE32+),可以确认文件是否为PE格式。 接下来,我们可能需要遍历节表,检查是否存在预期的节区,比如`.text`节区通常存放可执行代码,`....
holbertonschool-web_react-0x02-react_intro-task_4:使用gh-pages分支和create-react-app将应用程序部署到GitHub Pages
02-17
0x02。 React简介― GitHub Pages :open_file_folder: holbertonschool-web_react-0x02-react_intro-task_4 描述 任务7.部署到Github页面外观如何? 看看 GitHub存储库:holbertonschool-web_react 目录:0x02-...
0x::fire:单指令火焰图分析:fire:
04-01
0x :fire: 单指令火焰图分析 :fire: 通过火焰图发现代码中的瓶颈和热路径。可视化堆栈跟踪0x可以在运行Node的任何平台(macOs,Linux,Windows,Android ...)上使用单个命令为Node进程配置文件并生成交互式的火焰图...
0x4447_product_answering_machine::telephone:基于Amazon Connect的自动答录机
03-15
但是我们确实想在0x4447上测试云必须提供的限制,所以无论如何我们还是这样做了,只是为了看看堆栈将在哪里中断。 因此,享受阅读。概述AWS Lex的Lex是支持Amazon Alexa的AWS服务,Amazon Alexa是一种机器学习模型...
stud_PE
05-27
学习PE的绝好工具!!!
Stud_PE_v2.6.0.5绿色汉化版
08-19
Stud_PE_v2.6.0.5绿色汉化版,超强的PE工具,pe工具三剑客之一
分析工具(StudPEPEview,apateDNS等)
08-09
一些自己收集的分析工具,有StudPE,ResourceHacker,PEview,depends,Wireshark,apateDNS,Regshot等。
Stud_PE(PE查看和修改工具) v2.1.0.0 中文绿色版
05-24
很强大的PE工具,可以查看和修改 EXE、DLL等PE结构文件的PE结构。 PEid标识数据库存,插件等。 出色的文件比较功能。 可视化修改资源查看器。 可视化资源查看器,可修改、替换、导出文件;添加函数、修改区段、查看程序进程等等;Rva转换Raw
PE综合工具(Stud_PE)v2.6.1.0英文安装版
07-31
Stud_PE是一款功能强大的PE反编译工具,主要功能可帮助用户来进行PE文件的PE头信息的查看及导入表等信息的修改,需要的朋友赶快来下载吧
CFF Explorer 查看/修改PE文件资源
挖到尽头
11-07 5945
CFF Explorer 查看/修改PE文件资源 本文摘录于:https://www.jb51.net/softjc/514548.html这里只是做学习备份之用,绝无抄袭之意,如果作者觉得有所不妥请联系本人,一定妥当处理!同时这里望阅读者查看原文章! CFF Explorer是一款优秀的PE资源工具,使用CFF Explorer可以方便地查看和编辑PE(EXE/DLL)资源,类似PE资源工具...
PE格式系列_0x04:输入表查看(WinDbg+PEview+Stud_PE+Dependency+CFF)
可乐松子的博客
05-30 964
目的:使用一个具体例子查询输入表的真实模样;notepad.exe加载到内存时,查询输入表的INT,用这个INT中的函数名对应的真实地址填充notepad.exe内存中IAT的过程;PE文件装在完后,通过IAT就可以找到函数在内存中真正的地址 文章目录1.WinDbg查看输入表1.输入表起始地址2.IMAGE_IMPORT_DESCRIPTOR3.INT分析(得函数名)4.IAT分析(填充地址)5.总结2.常用PE工具查看输入表PEviewStud_PEDependency3.参考 1.WinDbg查看.
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
Stud_PE PE分析工具
01-30
PEview功能强大,可以分析upack壳的pe头。懂的人都明白不用多说
01-01 00:00:12.222 2686 2726 D bt_hci : btu_hcif_connection_comp_evt: Connection failed: status=4, handle=0, link_type=1, enc_mode=0 01-01 00:00:12.223 2686 2726 D bt_btm : btm_acl_resubmit_page 01-01 00:00:12.223 2686 2726 D bt_btm : BTM_BLI_PAGE_DONE_EVT 01-01 00:00:12.223 2686 2726 I bt_l2cap: L2CAP - LCID: 0x0040 st: CLOSED evt: LOWER_LAYER_CONNECT_CFM_NEG 01-01 00:00:12.223 2686 2726 I bt_l2cap: L2CAP - Calling ConnectCfm_Cb(), CID: 0x0040 Status: 4 01-01 00:00:12.223 2686 2726 D bt_l2cap: l2cu_release_ccb: cid 0x0040 in_use: 1 01-01 00:00:12.223 2686 2726 D bt_l2cap: l2cu_dequeue_ccb CID: 0x0040 01-01 00:00:12.223 2686 2726 W bt_sdp : SDP - Rcvd conn cnf with error: 0x4 CID 0x40上述log有什么问题
最新发布
06-01
"SDP - Rcvd conn cnf with error: 0x4 CID 0x40" 表示SDP连接请求被拒绝,错误代码为0x04。综合这些信息,可以看出连接失败的原因是连接超时或SDP服务器不响应连接请求。要解决这个问题,可以尝试重新启动设备、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值