PE文件格式(二)

置顶 已于 2022-09-05 22:11:02 修改
阅读量2.3k 收藏 3
点赞数 2
分类专栏: 逆向工程 文章标签: windows 网络安全 系统安全
于 2021-10-20 22:16:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45933944/article/details/120849610
版权

逆向工程之PE文件(二)

三 . RVA To RAW

PE文件从磁盘到内存的映射:
查找RVA所在节区
使用简单的公式计算文件偏移:

RAW - PointerToRawData = RVA - ImageBase
RAW = RVA - ImageBase + PointerToRawData

example:ImageBase为0x10000000,节区为.text,文件中起始地址为0x00000400,内存中的起始地址为0x01001000,RVA = 5000,RAW = 5000 - 1000 + 400 = 4400。

四 . IAT

IAT(地址导入表):IAT保存的内容与Windows操作系统的核心进程,内存,DLL结构等有关。IAT是一种表格,记录程序正在使用那些库中的那些函数。(很重要,但是书上这里还没开始学习)

五 . DLL

1.DLL的基本概念和相关知识

在我们的电脑里都许多的文件,有一部分就是后缀为dll的文件;DLL文件是动态链接库文件;
对于DLL的描述如下:

  • 不要把库包含到程序中,单独组成DLL文件,需要时调用即可。
  • 内存映射技术使加载后的DLL代码、资源在多个进程中实现共享。
  • 更新库时只要替换相关DLL文件即可,简便易行。

加载DLL的方式实际有两种:一种是“显式链接”(Explicit Linking ),程序使用DLL时加载,使用完毕后释放内存;另一种是“隐式链接”( Implicit Linking ),程序开始时即一同加载DLL,程序终止时再释放占用的内存。IAT提供的机制即与隐式链接有关。下面使用OllyDbg打开notepad.exe来查看IAT。
在这里插入图片描述
这里调用CreateFileW()函数,这个函数在kernel.dll中;DLL文件的Imagebase一般在100000000

实际操作中无法保证DLL一定会被加载到PE头内指定的ImageBase处。但是EXE文件(生成进程的主体)却能准确加载到自身的ImageBase中,因为它拥有自己的虚拟空间。

加载DLL的方式:

显式链接:程序使用DLL时进行加载,使用完毕之后释放内存。
隐式链接:程序开始一桶加载DLL,程序终止释放占用的内存。

2. IMAGE_IMPORT_DESCRIPTOR

IMAGE_IMPORT_DESCRIPTOR结构体中记录着PE文件要导入哪些库文件。

Import:导入,向库提供服务(函数)。   
Export:导出,从库向其他PE文件提供服务(函数)。

这是该结构体的代码:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
   
    union {
   
        DWORD
最低0.47元/天 解锁文章
Zst4rs
关注
专栏目录
PE文件格式详解
音视频图形编程学习乐园
09-01 1708
本文描述了Windows系统的PE文件格式
11.PE文件之导出表(IMAGE_EXPORT_DIRECTORY)
kernelhack
10-29 5601
目录 导出表定位以及解析(手动) 代码定位导出表并打印其数据 通过函数名查导出函数地址 通过导出函数序号查函数地址 移动导出表 PE中的导出表通常存在于动态链接库文件里.有些EXE也会存在导出表.导出表的主要作用是将PE中存在的函数引出到外部,以便其他人可以使用这些函数,实现代码的重用.导出表的存在可以让程序的开发者很容易清楚PE中到底有多少可以使用的函数. Windows装载器在进行PE装载时,将与进程相关的DLL加载到对应虚拟地址空间.会根据导入表中登记的与该动态链接库相关的由INT指
PE文件格式详解(附有原文和源代码,逆向工程的基础教程)
07-05
此文的英文原文为The Portable Executable File Format from Top to Bottom,我到了两篇不同出处的译文,题名分别为《PE文件格式详解》和《可移植的可执行文件格式全接触》。并且搜集到了文章中所提到的两个附件PEF2034B.ZIP和PEF2034C.ZIP。压缩为ZIP上传共享并作为备份。
pe文件结构
最新发布
2303_81165358的博客
07-29 1013
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式
PE对齐粒度
跃然实验室
06-10 1604
按照内存对齐粒度读取到内存,不足的用0填充。 文件对齐粒度 200 内存对齐粒度 1000 对齐后的大小 //以dwAlignment 对齐dwOperateNum 值,也就是让dwOperateNum为dwAlignment的整数倍 DWORD AlignmentNum(DWORD dwOperateNum, DWORD dwAlignment ) { ...
认识Import表-PE输入表说明
01-25 1453
认识Import表-PE输入表说明 有很多介绍PE文件的文章,但是我打算写一篇关于输入表的文章,因为它对于破解很有用。     我想解释它的最好的方法是举一个例子,你可以跟着我逐步深入,一步一步的思考,最后你将完全明白,我选择了一个我刚下载下来的小程序,它是用TASM编译的
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1667
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
PE文件格式(一)
周星星的博客
10-18 8216
PE文件Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
进制文件/PE文件对比工具非常好用
07-28
标题中的“进制文件/PE文件对比工具非常好用”表明我们讨论的是一款用于比较进制文件,特别是PE(Portable Executable)格式文件的工具。PE文件Windows操作系统上执行程序的标准格式,包括DLL动态链接库和EXE...
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件文件系统中,与存贮在磁盘上的其它文件一样,都是进制数据,对于操作系统来讲,可以...
PE文件格式剖析——解剖PE格式文件
10-25
### PE文件格式剖析 PE(Portable Executable)文件格式是一种被广泛应用于Windows环境下的执行文件格式,由微软公司制定并推广。PE文件格式不仅适用于Windows操作系统,还支持其他基于Windows的应用程序,例如动态...
PE文件格式简析
Asteri5m
09-16 638
#mermaid-svg-IKxrtQXeqJCXjOiJ .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .label text{fill:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .node rect,#mermaid-svg-IKxrtQXeqJ
PE文件PE映像尺寸详解
e1135281874的专栏
12-25 2836
pe映像就是pe文件加载到内存中的总尺寸,大部分情况下(也可以认为始终就是这样,因为没有资料说必须是这样,但经过试验发现总是为一固定值。为了此文的严谨性,此处用了“大部分情况下”)这个尺寸是以4096字节对其的,这取决于windows的内存机制,内存页的大小总是4096字节。这种情况在磁盘文件中也有所表现,我们可以在磁盘中新建一个txt文件,在里面写入一个字符“a” 并保存。这时我们查看一下此文件
IMAGE_IMPORT_DESCRIPTOR结构
Ghjhfssfgk的博客
01-28 1019
IMAGE_IMPORT_DESCRIPTOR结构 typedef struct _IMAGE_IMPORT_DESCRIPTOR { DWORD OriginalFirstThunk; DWORD TimeDateStamp; DWORD ForwarderChain; DWORD Name; DWORD FirstThunk; } IMAGE_IMPORT...
PE文件详解(六)
Masimaro的专栏
03-21 3067
这篇文章转载自小甲鱼的PE文件详解系列原文传送门 之前简单提了一下节表和数据目录表,那么他们有什么区别? 其实这些东西都是人为规定的,一个数据在文件中或者在内存中的位置基本是固定的,通过数据目录表进行索引和通过节表进行索引都是可以到的,也可以这么说,同一个数据在节表和数据目录表中都有一份索引值,那么这两个表有什么区别?一般将具有相同属性的值放到同一个节区中,这也就是说同一个节区的值只是保护属性
ELF&PE 文件结构分析
Always On The Way
11-01 2422
ELF&PE 文件结构分析 说简单点,ELF 对应于UNIX 下的文件,而PE 则是Windows 的可执行文件,分析ELF 和 PE文件结构,是逆向工程,或者是做调试,甚至是开发所应具备的基本能力。在进行逆向工程的开端,我们拿到ELF 文件,或者是PE 文件,首先要做的就是分析文件头,了解信息,进而逆向文件。不说废话,开始分析: ELF和PE 文件都是基于Unix 的 COFF(...
PE导出表,C语言打印导出表信息【滴水逆向三期49笔记+作业】
WdIg-2023的博客
03-22 930
我们前面在学习PE文件结构的时候,在可选PE头里跳过了最后一项,为一个有16个元素结构体数组,我们称它为数据目录。 今天我们来学习数据目录的第一个结构:导出表。
PE-导入表
megaparsec
12-19 2022
导入表 在数据目录中一共有四种类型的数据与导入表数据有关。这四种数据依次为: 1.导入表 2.导入函数地址表 3.绑定导入表 4.延迟加载导入表 2.1 导入表 当程序调用了动态链接库的相关函数,在进行编译和链接的时候,编译程序和链接 程序就会将调用的相关信息写入最终生成的PE文件中,以告诉操作系统这些函数的执行 指令字节码从哪里能够获取。这些信息就是导入表所要描述的内容。 2.2 导入函数 程序开发者在基于汇编语言的源程序中,通过invoke指令调用用户自定义的函数,或者从其他动态链接库中导入的函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值