PE文件格式

最新推荐文章于 2024-03-12 16:47:46 发布
最新推荐文章于 2024-03-12 16:47:46 发布
阅读量416 收藏 1
点赞数
分类专栏: 二进制安全 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49777720/article/details/123517172
版权

文章目录

请添加图片描述

PE的基本概念

PE文件将可执行程序分为不同的块,区块中包含代码和数据,各个区块按页边界对齐。区块没有大小限制,是一个连续的结构。每个块都有他自己在内存中的一套属性,例如这个块是否包含代码,是否只读或可读/写等。

基地址(ImageBase)

PE文件通过Windows加载器加载入内存。

模块(Module):内存中的版本。

模块句柄(hModule):映射文件的起始地址(这个地址也可以称为是基地址ImageBase),可以通过模块句柄访问其他的数据结构。

内存中的模块代表进程将这个可执行文件所需的代码、数据、资源、输入表、输出表及其他有用的数据结构所使用的内存都放到一个连续的内存块中,程序员只需要知道装载程序文件映像到内存后的及地址即可。

EXE文件的默认基地址是400000h、DLL文件的默认基地址是10000000h。可以在文件生成时改变。

GetModuleHandle函数

函数功能:获取一个可执行文件或DLL文件被加载到进程地址空间的地址

HMODULE GetModuleHandle(LPCTSTR lpModuleName);

参数为dll文件的名字,返回dll文件的地址空间的地址。

如果传入参数为NULL则返回调用该函数的文件的基地址。

虚拟地址(VA)

在Windows系统中,PE文件被系统加载映射到内存中,每个程序都有自己的虚拟空间,这个虚拟空间的内存地址称为虚拟地址(Virtual Address VA)。

相对虚拟地址(RVA)

虚拟地址(VA)=基地址+相对虚拟地址(RVA)

文件偏移地址

PE存储在磁盘中时,某个数据相对于文件头的偏移量称为文件偏移地址(File Offset)或物理地址(RAW Offset)。

MS-DOS头部

PE文件从DOS开始执行。
请添加图片描述
其中e_magic是MZ,是MS—DOS创始人之一Mark Zbikowski名字的缩写。

e_lfanew 是PE文件头偏移量,它采用的是Little—Endian类。

PE文件头

PE文件头(PNTHeader)
PNTHeader=ImageBase+dosHeader->e_lfanew

IMAGE_NT_HEADER
请添加图片描述
Signature字段

Signature字段是0x00004550,ASCII是“PE00”。

IMAGE_FILE_HEADER结构
请添加图片描述

  1. Machine:可执行文件的目标CPU类型
    请添加图片描述
  2. NumberOfSections:区块的数目
  3. TimeDateStamp:文件创建时间(GMT秒数)
  4. PointerToSymbolTable:COFF符号表的文件偏移位置。(可能有可能没有,没有则为0)
  5. NumberOfSymbols:如果有COFF符号表,它代表其中的符号数目。
  6. SizeOfOptionalHeader:表示数据的大小(32位文件>=00E0h,64位文件>=00F0h)
  7. Characteristics:文件属性。
    请添加图片描述
    IMAGE_OPTIONAL_HEADER结构

虽然IMAGE_OPTIONAL_HEADER是可选头,但IMAGE_FILE_HEADER结构不够定义PE文件属性,所以IMAGE_OPTIONAL_HEADER是不可或缺的。
请添加图片描述
请添加图片描述
可选映像头定义了很多数据,他与IMAGE_FILE_HEADER连起来就是一个完整的"PE文件头结构"。

采用LordPE工具可以查看PE结构。

数据目录表
请添加图片描述

区块

在PE文件头与原始数据之间存在一个区块表。区块表周昂包含每个块在映像中的信息,分别指向不同的区块实体。

区块表
请添加图片描述

在IMAGE_NT_HEADERS后面是区块表,他是一个IMAGE_SECTION_HEADER结构数组。每个IMAGE_SECTION_HEADER结构包含所关联的区块的信息,例如位置、长度、属性,该数组的数目由IMAGE_NT_HEADERS.FileHeader.NumberOfSections指出。

常见区块与区块合并

区块中数据逻辑通常是关联的。PE文件一般有两个区块,一个是代码块,一个是数据块。以下是常见区块
请添加图片描述
请添加图片描述
连接器具有合并区块的特性,如果两个区块有相似或一致的属性,那么就能合并成一个区块。合并区块的好处是节省空间。减少内存页的使用。

区块的对齐值

区块在内存中、磁盘里都需要对齐,FileAlignment定义了磁盘区块的对齐值,SectionAlignment定义了内存中区块的对齐值

文件偏移与虚拟地址转换

文件偏移地址(File Offset)=相对虚拟地址(RVA)-k

输入表

可执行文件使用来自其他DLL的代码或数据的动作称为输入。当PE文件被载入时,Windows加载器的工作时定位所有被输入的函数和数据,并让正在载入的文件可以使用那些地址。

输入函数的调用

输入函数(Import Functions):输入函数是被程序调用但其执行代码不在程序中的函数。

输入表的结构

在PE文件头的可选映像头中,数据目录表的第二个成员指向输入表。输入表以IMAGE_IMPORT_DESCRIPTOR(IID)数组开始。

IID结构
请添加图片描述
请添加图片描述
请添加图片描述
** 输入地址表**

输入表实例分析

输出表

DLL创建时,就创建了一组能被EXE,DLL调用的函数,当DLL被另一个EXE或DLL文件使用时,他就被输出了。

输出表结构

IMAGE_EXPORT_DIRECTORY(IED)
请添加图片描述
输出地址表(EAT)

输出表实例分析

基地址重定位

当PE文件将默认值作为基地址载入,不需要基地址重定位。但当PE文件被载入到虚拟内存的另一个地址中,那么就要进行重定位。

基地址重定位的概念

由于DLL文件会被其他文件引用,所以DLL文件需要重定位。

基地址重定位表的结构

基地址重定位表实例分析

资源

Windows程序的各种界面称为资源,包括加速键、位图、光标、对话框、图标、菜单、串表、工具栏和版本信息等。

资源结构

资源用类似磁盘目录结构的方式保存,目录包含三层。第一层为根目录,每个根目录下的条目总是在它自己权限下的一个目录。
请添加图片描述

  1. 资源目录结构
    IMAGE_DIRECTORY_ENTRY_RESOURCE条目中包含资源的RVA和大小。

IMAGE_RESOURCE_DIRECTORY结构
请添加图片描述
2. 资源目录入口结构

  1. 资源数据入口

资源结构实例分析

wliafe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件结构格式图pdf
04-30
1.PE文件结构       首先说一下什么是PE格式吧,虽然从网上搜一下会有很多定义,就我的理解来说,PE是Microsoft为了让程序在Windows上可移植而做的一种文件格式规定。就拿我们每个人都不陌生的exe程序来说吧,它就是一个PE文件,在我们的印象中,只要是Windows操作系统,都能执行exe程序,这就是Microsoft做的让程序在Windows平台上实现移植的功能,这个移植能力的实现是因为规定了exe程序的格式,Windows在执行exe程序的时候,PE文件加载器会按照约定加载exe程序,所以程序就正常地运行起来了。我这么来说是不是对PE文件不那么抽象了,比如像EXE,DLL,SYS这种格式的文件就是PE格式文件,这些文件都是我们平时见到过或者使用过的。如果大家了解图片格式,比如BMP图片,那这个PE文件格式就更好理解了,都是按照一定的规范生成的,在BMP图片中文件头部信息记录了这个文件的大小、创建日期、宽度和高度等等信息,PE文件也是这样,只不过比BMP文件格式更复杂...
编程:内存问题
pingdiguo_2的博客
05-01 107
1、栈:就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。 2、堆:就是那些由new分配的内存块,他们的释放编译器不去管,由我们的应用程序去控制,一般一个new就要对应一个delete。如果程序员没有释放掉,那么在程序结束后,操作系统会自动回收。 3、自由存储区:就是那些由malloc等分配的内存块,他和堆是十分相似的,不过它是用free...
跟着王哥学逆向——PE文件详解篇(第一篇)
最新发布
qq_52642385的博客
03-12 1693
这是《跟着王哥学逆向》PE文件详解篇第一篇,该篇章主要对PE文件内部结构进行仔细剖析,同时记录下来PE文件各个字节所代表的含义,方便自己查看。此篇章对DOS头、PE文件头、区块表等按照顺序介绍,有很强的系统性,计划下一篇章对导入表、导出表、资源表、重定位表进行详解。该系列学习主要参考小甲鱼讲的PE系列视频,真的很顶。
重定位表介绍
只为改变自己
05-04 1588
PE重定位表介绍
PE文件格式详解
音视频图形编程学习乐园
09-01 1382
本文描述了Windows系统的PE文件格式
PE文件格式(一)
周星星的博客
10-18 7985
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件格式分析及修改.doc
02-21
PE文件格式分析及修改
PE文件解析(5):重定位表详解
ylh的博客
11-02 1394
1、重定位表的作用 重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。 重定位表通过IMAGE_BASE_RELOCATION的结构体。 重要字段通过重定位表的大小可以定位可以确定这个表中有多少个数据。通过 SizeOfBlock - 0x8 可以得到DWORD型偏移的总大小,偏移数据占据2个字节,因此再除以2可以得到偏移数据的个数。注意:当我们得到某个偏移数据后,他只是个RVA,还需要加上VirtualAddress才是它真正的地址。 运行可得:我们的重定位表不止
PE-重定位表
qq_51600802的博客
10-27 902
按照上述思路,可写代码打印重定位表的信息(不打印具体项,但按照上面公式打印具体项的数量)但这里注意一个问题,就是遍历这个重定位表,是根据这一块的 VirtualAddress 和 SizeOfBlock 结束后,下一块 VirtualAddress 和 SizeOfBlock 是否全0 来判断重定位表是否结束的。1、每个程序都有一个独立的4G内存空间,当你双击一个程序时,操作系统就为你开辟一个虚拟的4g内存空间,然后就开始贴图,将各个PE文件贴到内存空间,当贴完之后,eip指向程序入口点就开始跑了。
PE文件格式全解读
凌阳的博客
06-08 4705
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
重定位表详解
For Geek
05-10 3800
重定位表对于EXE文件是没有必要的,因为EXE程序是第一个被载入内存的模块。而DLL却是必须需要重定位信息的,因为DLL不一定加载到它默认的ImageBase上。重定位表作为一个单独的区块放到区块表中,其名字一般为**.relc**。 PE文件通过将所有可能的修改的数值存放到一个数组里,以一种统一的方式进行修正。 每个重定位信息以一个IMAGE_BASE_RELOCATION开始,采用类似页分割的...
PE文件学习笔记(四):重定位表(Relocation Table)解析
Apollon_krj的博客
08-18 1万+
1、重定位表的作用重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。为什么要进行内存地址的修正?我们举个例子来说:test.exe可执行程序需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。 那么操作系统的
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5468
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
重定位表结构解析
ChuMeng1999的博客
10-24 770
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。 本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。 实验目的 1)了解重定位的原理; 2)了解PE文件的重定位表结构
重定位表
qq_41232519的博客
09-06 238
文章目录一、 重定位表二、重定位表结构 一、 重定位表 当2个模块加载到内存中,都是用同一个地址,这时候就会产生问题,其中的一个会加载到另一个地址,里面的一些函数就不能用了(如全局变量),这个时候就需要修正这些地址![在这里插入图片描述](https://img-blog.csdnimg.cn/20200906104146939.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9n
winhex打开pe文件格式
01-28
WinHex是一款功能强大的十六进制编辑器和数据恢复工具,它支持打开并分析各种文件格式,包括PE文件。 当我们使用WinHex打开PE文件时,它可以以十六进制视图显示文件的二进制数据,使用户能够直接查看文件的内容和结构。同时,WinHex还提供了许多其他功能,如数据分析、编辑和恢复,以帮助用户进一步分析和处理PE文件。 在使用WinHex打开PE文件后,用户可以通过查看文件头部信息来了解文件的特性和结构,包括文件的签名、区段表、导入表、导出表等关键信息。此外,用户还可以利用WinHex的搜索功能来查找特定的字符串或数据,以便进行深入分析。 除此之外,WinHex还提供了对PE文件进行编辑和修复的能力,用户可以根据需要修改文件中的数据或修复损坏的部分。这些功能使得WinHex成为了一个强大的工具,可以帮助用户深入了解并操作PE文件。 总之,通过WinHex打开PE文件可以让用户对文件进行深入分析、编辑和修复,帮助他们更好地理解和处理PE文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值