PE文件格式

已于 2023-04-05 11:42:45 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: re知识点积累 文章标签: ctf re PE
于 2023-03-30 18:54:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61154173/article/details/129858631
版权

目录

介绍

PE文件格式

种类​编辑

基本结构

VA&RVA

PE头

DOS头

NT头:文件头

NT头:文件头

NT头:可选头

目录

介绍

PE文件格式

种类​编辑

基本结构

VA&RVA

PE头

DOS头

NT头:文件头

NT头:文件头

NT头:可选头

节区头

介绍

PE文件是Windows操作系统下使用的可执行文件。PE文件是指32位的可执行文件,也称为PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式。

PE文件格式

种类

严格的说,OBJ(对象)文件之外的所有文件都是可执行的,DLL,SYS文件等虽然不能直接在shell中运行,但是可以使用其他方法(调试器,服务等)执行。

基本结构

从DOS头(DOS header)到节区头(Section header)是PE头部分,其他的节区合称PE体。文件使用偏移(offset),内存中使用VA(虚拟地址)来表示位置。各节区头定义各节区在文件或内存中的大小,位置,属性。

VA&RVA

VA指的是进程虚拟内存的绝对地址,RVA是相对地址,他们满足关系
RVA+ImageBase=VA.

PE头

DOS头

为了充分考虑PE文件对DOS文件的兼容性,在PE头前面添加了IMAGE_DOS_HEADER结构体,结构如下:

其结构体大小64字节,其中需要知道2个重要成员:

e_magic:DOS签名

e_lfanew:指示NT头的偏移,即真正的PE文件头(不同文件拥有可变值)

 其中e_lfanew的偏移为+3C,如下演示:

可以看到DOS签名和e_lfanew为100h,那查找一下,正好是PE文件头。

NT头:文件头

IMAGE_NT_HEADERS其中第一个成员为签名结构体,值为50450000h(“PE”00),另外两个成员是文件头与可选头。

IMAGE_NT_HEADERS结构体大小为F8

NT头:文件头

如下演示:
其中第一个,第二个,第六个,第七个比较重要,记住。

NT头:可选头

IMAGE_OPTIONAL_HEADER结构

typedef struct _IMAGE_OPTIONAL_HEADER {
+18h    WORD    Magic;                                  //标志字,ROM映像(0107h),普通可执行文件(010Fh)
+1Ah    BYTE    MajorLinkerVersion;            //链接程序的主版本号
+1Bh    BYTE    MinorLinkerVersion;            //链接程序的次版本号
+1Ch    DWORD   SizeOfCode;            //所有含代码的节的总大小
+20h    DWORD   SizeOfInitializedData;     //所有含已初始化数据的节的总大小
+24h    DWORD   SizeOfUninitializedData;   //所有含未初始化数据的节的大小
+28h    DWORD   AddressOfEntryPoint;       //程序执行入口RVA    
+2Ch    DWORD   BaseOfCode;                    //代码的区块的起始RVA
+30h    DWORD   BaseOfData;          //数据的区块的起始RVA
+34h    DWORD   ImageBase;          //程序的首选装载地址
+38h    DWORD   SectionAlignment;          //内存中的区块的对齐大小
+3Ch    DWORD   FileAlignment;         //文件中的区块的对齐大小
+40h    WORD    MajorOperatingSystemVersion;
+42h    WORD    MinorOperatingSystemVersion;
+44h    WORD    MajorImageVersion;
+46h    WORD    MinorImageVersion;
+48h    WORD    MajorSubsystemVersion;
+4Ah    WORD    MinorSubsystemVersion;
+4Ch    DWORD   Win32VersionValue;
+50h    DWORD   SizeOfImage;    //映像装入内存后的总尺寸
+54h    DWORD   SizeOfHeaders;    //所有头+区块表的尺寸大小
+58h    DWORD   CheckSum;
+5Ch    WORD    Subsystem;             //可执行文件期望的子系统
+5Eh    WORD    DllCharacteristics;
+60h    DWORD   SizeOfStackReserve;
+64h    DWORD   SizeOfStackCommit;
+68h    DWORD   SizeOfHeapReserve;
+6Ch    DWORD   SizeOfHeapCommit;
+70h    DWORD   LoaderFlags;
+74h    DWORD   NumberOfRvaAndSizes;       //下边数据目录的项数,这个字段自windows NT发布以来一直是16
+78h    IMAGE_DATA_DIRECTORY DataDirectory  //数据目录表[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

在 IMAGE_OPTIONAL_HEADER32结构体中需要关注下列成员,这些值是文件运行必须的,错误将导致文件不能正常运行。

#1.Magic

在IMAGE_OPTIONAL_HEADER32结构体时,Magic码为10B,IMAGE_OPTIONAL_HEADER64结构体时,Magic码为20B。

#2.AddressOfEntryPoint

持有EP的RVA值,该值指出程序最先执行的代码起始地址

#3.ImageBsae

进程虚拟内存范围0-FFFFFFFF(32位系统)。EXE,DLL文件被装载到用户内存为0-7FFFFFFF,SYS文件被载入内核内存的80000000-FFFFFFFF,一般而言,使用VC++/VB/Delphi创建exe,其基址为00400000,DLL文件的基地址10000000,。

#4.SectionAlignment,FileAlignment

FileAlignment指定了节区在磁盘文件中的最小单位,SectionAlignment指定了节区在内存中的最小单位。磁盘文件或内存的节区大小必定为FileAlignment或SectionAlignment值的整数倍

#5.SizeOfImage

加载PE文件到内存时,指定了PE IMAGE在虚拟内存中所占空间大小

#6.SizeOfHeaders

指出整个PE头的大小。该值也必须是FileAlignment整数倍。第一节区所在位置与SizeOfHeaders距文件开始偏移的量相同

#7.Subsystem

用来区分系统驱动文件与普通可执行文件

#8.NumberOfRvaAndSizes

用来指定DataDirectory数组的个数

#9.DataDirectory

它是由IMAGE_DATA_DIRECTORY结构体组成的数据,数组的每项都有被定义的值,这个结构分为2个部分:
VirtualAddress Dword ?;  数据起始RVA

isize Dword ?; 数据块的长度

DataDirectory结构体数组:

DataDirectory[0] = EXPORT Directory           //导出表
DataDirectory[1] = IMPORT Directory            //导入表
DataDirectory[2] = RESOURCE Directory      //资源
DataDirectory[3] = EXCEPTION Directory     //异常(具体资料不详)
DataDirectory[4] = SECURITY Directory        //异常(具体资料不详)
DataDirectory[5] = BASERELOC Directory    //重定位表
DataDirectory[6] = DEBUG Directory           //调试信息
DataDirectory[7] = COPYRIGHT Directory   //版权信息
DataDirectory[8] = GLOBALPTR Directory   //具体资料不详
DataDirectory[9] = TLS Directory          //Thread Local Storage
DataDirectory[A] = LOAD_CONFIG Directory  //具体资料不详
DataDirectory[B] = BOUND_IMPORT Directory //具体资料不详
DataDirectory[C] = IAT Directory                 //导入函数地址表
DataDirectory[D] = DELAY_IMPORT Directory //具体资料不详
DataDirectory[E] = COM_DESCRIPTOR Directory  //具体资料不详
DataDirectory[F] = Reserved Directory          //未使用

节区头

节区头中定义了各节区属性。把PE文件创建成多个节区结构的好处是,这样可以保证程序的安全性。

IMAGE_SECTION_HEADER

#define IMAGE_SIZEOF_SHORT_NAME              8
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];   // \0结尾的节的名称
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;        
    DWORD   VirtualAddress;          //节区的RVA地址
    DWORD   SizeOfRawData;           //在文件中对齐后的尺寸
    DWORD   PointerToRawData;        //在文件中的偏移量
    DWORD   PointerToRelocations;     //在“.obj”文件中使用,指向重定位表的指针
    DWORD   PointerToLinenumbers;     //行号表的偏移(调试用)
    WORD    NumberOfRelocations;     //重定位表的个数(“.obj”文件)
    WORD    NumberOfLinenumbers;     //行号表中行号的数量
    DWORD   Characteristics;      //节的属性,如可读可写可操作
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

其中重要的成员如下:

如下进行演示:

内怀童心外表成熟
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
Windows系統下如何区分一个PE文件是否是32位程序还是64位程序?
ATree的博客
03-28 4029
        首先,PE文件结构我们是背过的,但是,在这里深深的和老师说一声:抱歉。因为我真的是忘记了,PE文件的字段实在是有一些多,长时间不用这些基本的知识,久而久之,就容易忘记了,于是,写一篇博客给自己增加记忆,另外就是帮助下别的小伙伴们,我在百度上搜了一下这个问题,竟然许多回答都不是很完善,没有给出直接的答案,反而需要我们用户去积极的理解作者表达的是什么意思,我们用户搜索时最想看到的答案就...
exe或dll等PE格式文件32位64位判断检测 PE32or64
10-22
Windows在文件属性上一直没有显示exe、dll等PE格式文件32位还是64位。这在很多情况下很有用,比如0xc000007b错误,很多时候就是因为32位、64位dll弄错引起的。本资源总结了10种检测方法,包括自己编写的部分代码、工具及dumpbin,可以对文件进行批量检测。
pe格式从入门到图形化显示(一)-DOS头
最新发布
Mrack的博客
04-05 442
通过分析和解析Windows PE格式,并使用qt进行图形化显示Windows PE使用了一种特定的可执行文件格式,称为PE格式(Portable Executable)。PE格式是Windows操作系统中使用的标准可执行文件格式,用于存储程序、库文件和驱动程序。它支持32位和64位的应用程序,并提供了动态链接、导入/导出表、资源管理和调试信息等功能。PE格式包含了四个主要的部分:头部、节区表、节区和数据目录。头部包含了文件的基本信息,如文件类型、入口点和节区偏移等。
PE文件格式(一)
周星星的博客
10-18 8037
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的节的总大小所有含已初始化数据的节的总大小所有含未初始化数据的节的大小程序执行入口RVA。
PE文件格式详解
音视频图形编程学习乐园
09-01 1503
本文描述了Windows系统的PE文件格式
PE文件格式全解读
凌阳的博客
06-08 4811
PE文件包括DOS部分、PE文件头和节表和节数据。从DOS头(DOS header)到节区头(Sectionheader)是PE头部分,其下的节区合称PE体。节数据包括代码(.text)、数据(.data)、资源(.rsrc)节,分别保存。1.DOS部分:IMAGE_DOS_HEADER结构体的大小为40字节,需要注意的2个重要成员:0x0-0x01e_magic: DOS签名,表文件开始标识0x4d5a=”MZ”0x3c-0x3fe_lfanew:PE头部分的偏移0x000000b0.DOS存根位于DOS
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
PE3.0-32位原版封装Win10PE镜像
11-30
官网下载超慢的,还是**网盘,这个是用wepe32位工具正常封装的Windows 10 PE,完全没有任何病毒,也没有修改,里面壁纸是自带的,包含Max Dos,没有密码。 官方解释: 微PE工具箱生成ISO镜像后也不会产生过多的文件。根目录有WEPE文件夹EFI文件夹和BOOTMGR文件。 WEPE文件夹中每个文件对应的作用如下: 程序部分 WEPE.TXT - 微PE工具箱说明文档。 WALLPAPER.JPG - 若存在则为自定义PE桌面壁纸文件。 WEPE.INI - 外置程序的配置文件,可以对PE桌面、开始菜单等进行配置。 Res目录 - 若存在,则为放置硬盘安装后保存的引导工具。 引导部分 WEPE64.WIM - WINPE的镜像文件32位的是WEPE32.WIM。 B64 - BCD文件32位的是B32。 WEPE64 - 原名 BOOTMGR,32位的是WEPE32。 WEPE.SDI - 原名 BOOT.SDI WEIPE - GRUB4DOS的引导文件GRLDR PELOAD - 用来启动WEIPE MAXDOS.IMG - MAXDOS的镜像文件 WEPE.INI - GRUB4DOS菜单 MESSAGE - GRUB4DOS背景文件 官网:http://www.wepe.com.cn
PEiD检测 不是有效的PE文件
哼哼唧唧
12-09 4687
在做逆向分析题目的时候用了好几次PEiD检测是否加壳,都显示不是有效的PE文件,在此记录一下原因。,如果显示不是有效的PE文件,说明你的可执行文件为64位,不能用PEiD检测。下面使用Exeinfo PE查看,Exeinfo相当于PEiD的升级版。下载后想使用中文,从右侧按钮的设置中,选择语言为中文即可。直接把64位可执行文件拖入即可查看信息,这里显示。,即没有加壳,就可以直接用IDA进行调试分析啦~附Exeinfo PE下载地址。
Windows:32位PE文件结构
无名J0kзr的博客
02-19 1208
文章目录什么是PE文件PE结构图PE文件结构简介1. DOS头1.1 MZ头1.2 DOS残留2. PE头2.1 PE标识2.2 文件头2.3 可选头3. 节表4. 节表数据结构体关系图结构体关系详解1. DOS头2. PE头2.1 PE标识2.2 文件头2.3 可选头3. 节表 什么是PE文件 PE(Portable Executable)即可移植的执行体,使用了PE文件结构的可执行文件被称为PE文件,Win下包括EXE、DLL、SYS、OCX等 PE结构图 PE文件结构简介 1. DOS头 1.1 M
PE文件结构的基础概念,用32位汇编写一个程序读取PE文件
weixin_43575859的博客
03-11 855
PE文件文件头部分,节表部分,还有节区部分组成。其中文件头包括PE文件头还有DOS文件头,节表主要是用来说明每个节的RVA地址(RVA地址就是文件被装载到内存后数据相对于文件起始位置的偏移量)还有节的尺寸的,当然还有一些其他的信息。而节区就是将属性相同的文件数据放在了一起,比如可执行的放一起,只读的放一起等等。 这是PE文件头的大概样子: DOS文件头 DOS头部分由MZ格式...
第十二课 欺骗PEID加OD载入时的提示
weixin_30632089的博客
08-28 243
第十二课欺骗PEID加OD载入时的提示 今天要讲的内容非常有意思,对喜欢免杀的朋友是一个新的思路,当然对自己编写程序防止别人调试也是一个不错的方法。今天要讲的就是欺骗PEID和OD载入时提示:错误的或者未知格式的32位可执行文件。 (冒失只能欺骗低版本的OD,使用性真心不大了!) 一:欺骗PEID(显示为无效的PE文...
PE文件格式详细解析(一)
weixin_47754894的博客
11-02 5573
PE文件格式详细解析 本篇文章将会详解Windows操作平台下PE文件格式,同时以具体的示例辅佐大家更好理解PE文件格式。本文章主要使用到以下两个工具:WinHex:用于将PE文件以16进制和ASCII码显示;PE tools解析和修改PE文件的工具。 1.PE文件格式 PE(Portable Executable,可移植的可执行文件),是Windows操作系统下可执行文件的总称。 PE文件往往指32位系统下的可执行文件,亦称PE32。64位的可执行文件称为PE+或PE32+,为PE文件的扩展格式。 PE
判断PE文件(可执行程序exe、动态链接库dll)是32位,还是64位?
maoyeahcom的博客
08-20 2567
方法有很多,本文只介绍三种方法: ================================================================================ 方法一: 最简单粗暴的方法: 直接用记事本或者notepad++(文本编辑软件都可)打开exe文件(dll文件), 会有很多乱码,接下来只需要在第二段中找到PE两个字母,在其后的不远出会出现d? 或者L。 若是L,则证明是32位; 若是d,则证明该程序是64位。 32位(x86): 64位(x64): ====
PE文件中的RAW是什么
07-09
PE文件中的RAW指的是可执行文件中的原始数据。PE(Portable Executable)是Windows操作系统中常见的可执行文件格式。在PE文件中,原始数据被分为多个部分,包括代码段、数据段、资源段等。RAW数据表示这些部分在文件中的原始字节数据,未经任何处理或解析。 每个部分的RAW数据表示该部分在文件中的实际内容,以字节序列的形式存储。例如,代码段的RAW数据包含可执行的机器指令,数据段的RAW数据包含变量和常量的值。 通过解析和处理RAW数据,操作系统和应用程序可以正确加载和执行PE文件中的代码和数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值