《Windows PE》3.1 基本概念

原创 于 2024-09-06 08:05:10 发布 · 1.6k 阅读 · 23 ·
CC 4.0 BY-SA版权
文章标签:

#windows #PE #汇编 #c语言

在正式讲解PE文件格式之前,我们有必要先熟悉和PE相关的一些基本概念,以便于更好的理解和掌握PE文件格式。

本节必须掌握的知识点:

        地址

        指针

        数据目录项

        

        对齐方式

        字符串编码格式

3.1.1 地址

       ■PE文件中涉及到四类地址

       ●VA虚拟内存地址

VA(Virtual Address)是指虚拟内存地址,它是在操作系统中使用的一种抽象地址空间。虚拟内存是一种内存管理技术,它允许程序使用连续的、逻辑上连续的内存地址来访问内存,而不考虑实际的物理内存布局。

在虚拟内存系统中,每个进程拥有自己的独立的虚拟地址空间,进程中的程序代码、数据和堆栈都使用虚拟内存地址来进行访问。这些虚拟内存地址被映射到物理内存中的实际存储位置。

虚拟内存地址空间通常是由一定的位数来表示,例如32位或64位。在32位系统中,虚拟内存地址空间的范围是从0x00000000到0xFFFFFFFF(0到4GB)。在64位系统中,虚拟内存地址空间的范围更大,可以达到2的64次方(即18,446,744,073,709,551,616)个地址。

虚拟内存地址和物理内存地址之间的映射是通过操作系统的内存管理单元(Memory Management Unit,MMU)来实现的。MMU通过地址映射表将虚拟内存地址转换为物理内存地址,以便正确地访问和管理内存。

虚拟内存的使用带来了许多优势,包括更大的地址空间、内存隔离、内存保护和灵活的内存分配等。它使得操作系统能够更有效地管理内存资源,并为每个进程提供独立的地址空间,提高了系统的稳定性和安全性。

我们在程序源代码中写的地址都是虚拟地址,具有R3权限的普通应用程序源代码只需要写32位或64位偏移地址。

1.32位Windows系统给定默认的段选择子,通过段选择子在段描述符表中找到对应的段描述符。将32位(4GB虚拟空间内的)偏移地址加上段描述符中的32位段基址(通常为0段)得到32位线性地址,我们在OD调试器中看到的虚拟地址就是线性地址。线性地址再由MMU内存管理器通过地址映射表将虚拟内存地址转换为物理内存地址。

2.在64位Windows程序中,段寄存器的使用已经大大减少,甚至可以说几乎没有。这是因为在64位寻址模式下,采用了平坦模型(Flat Model),寻址空间足够大,整个虚拟地址空间被视为一片连续的地址范围,不再需要段选择。32位保护模式下分段的寻址方式在64位寻址模式下已经被废弃。在64位Windows程序中,虚拟内存地址直接映射到物理内存,程序可以直接使用虚拟地址来访问内存,无需进行段选择。64位寻址模式使用了分页机制,通过分页机制将虚拟地址映射到物理地址,实现了地址的转换和内存的管理。因此64位程序直接写64为偏移地址就可以了。

将32位或64位程序源代码编译为二进制可执行文件(PE文件)后,PE文件内与此对应的地址同样也是虚拟地址。只不过PE文件中的虚拟地址将VA地址分为两部分,由基址和相对虚拟内存地址构成。即:

VA(虚拟内存地址)=进程的基址+RVA(相对虚拟内存地址)

       ●RVA相对虚拟内存地址

RVA(Relative Virtual Address)是指相对虚拟内存地址,它用于描述在可执行文件(如EXE、DLL)的内部,某个特定的数据或代码的地址相对于该文件的基地址(Image Base)的偏移量。

在Windows操作系统中,可执行文件包含了各种节(Section),每个节都有自己的起始地址和大小。RVA是相对于所属节起始地址的偏移量,它是一个相对值,而不是绝对的内存地址。

当可执行文件加载到内存中时,操作系统会将文件的基地址(Image Base)分配给该文件。此时,RVA可以通过加上文件的基地址得到绝对的虚拟内存地址(线性地址),从而定位到文件中的特定数据或代码。

RVA的使用有助于可执行文件的可移植性和重定位。通过使用RVA,程序在不同的内存位置加载时,可以根据基地址的变化自动调整地址的偏移量,而不需要对文件进行修改。

【注意】RVA与虚拟内存地址之间的转换需要了解可执行文件的内部结构以及操作系统的加载过程。在Windows操作系统中,可以使用相关的API函数(如ImageRvaToVa)来进行RVA和虚拟内存地址的转换。

总结起来,RVA是指相对虚拟内存地址,在可执行文件内部描述某个数据或代码相对于文件基地址的偏移量。通过RVA,程序可以在加载时自动调整地址,实现可移植性和重定位。

●FOA文件偏移地址

FOA(File Offset Address)是指文件偏移地址,它用于描述可执行文件(如EXE、DLL)中某个特定数据或代码在文件中的位置偏移量。

在可执行文件中,各个节(Section)包含了不同的数据和代码。FOA是相对于文件起始位置的偏移量,用于表示某个数据或代码在文件中的位置。

当可执行文件被加载到内存时,操作系统将文件的内容映射到内存中。此时,FOA可以与文件的起始位置相加,得到数据或代码在内存中的绝对虚拟内存地址。

FOA的使用有助于在文件中定位特定的数据或代码。通过FOA,程序可以根据文件起始位置和偏移量来准确定位所需的内容。

需要注意的是,FOA与虚拟内存地址之间的转换需要了解可执行文件的内部结构以及操作系统的加载过程。在Windows操作系统中,可以使用相关的API函数(如SetFilePointer)来进行FOA和虚拟内存地址的转换。

总结起来,FOA是指文件偏移地址,在可执行文件中描述某个数据或代码相对于文件起始位置的偏移量。通过FOA,程序可以准确地定位文件中的内容。

实验八:使用调试器观察32位和64位记事本程序的VA虚拟地址

       ●32位记事本程序

第一步:将notepad32.exe拖入DTDebug调试器,按Ctrl+F9进入程序的入口地址。如图3-1所示,notepad32.exe的入口地址为0x0100739D。这个入口地址是一个VA虚拟内存地址(线性地址),即代码段执行的起始地址。入口地址由两部分组成,其中基址为0x01000000,偏移地址为0x739D(RVA地址)。

第二步:查看进程的内存映射窗口,加载notepad32.exe映像文件的起始地址为为0x01000000,这个地址即PE头的开始地址。</

最低0.47元/天 解锁文章
博客
《Windows PE》18.3 壳破解
10-31 1106
看完了上一节,读者应该会有些感慨,破解是如此的简单。如果你是收费商业软件的一方,肯定会觉得应该需要做点什么。在本章的第一节,我们介绍了很多种不同的验证方式,可以根据具体情况,选择一种合适的验证方法。但是,不论采用什么样的验证方式,验证本身也是需要防护的。我们可以使用加密壳对验证代码进行加密保护。因此,加密壳又被称之为保护的保护。本节我们将介绍register.exe使用UPX壳加密,然后再破解的方法。脱壳后破解带壳破解。
博客
《Windows PE》17.3 FSG壳
10-30 889
回顾第十六章PE病毒的16.2.2病毒分析案例一中,我们分析的病毒样本Lab01-03.exe使用了FSG壳。本节我们就来详细分析FSG壳。静态分析手工脱壳。
博客
《Windows PE》16.4.2 病毒查杀
10-29 1046
当单步执行到从入口地址开始的0x61地址处(第一条PUSH指令的下一条指令地址01013061H)时,从context上下文中取出栈顶stCT.Esp的值(000DFF80H),然后调用ReadProcessMemory函数读取该地址处存储的原程序入口地址。接下来我们还是以Win32.Capric.exe的“X病毒”为例,首先使用手工的方法清理病毒,然后再写一个针对该病毒的专杀工具。由上一小节对病毒源代码的分析我们得知,如果需要彻底修复被感染的目标文件,我们需要将被病毒修改的部分逐一进行修复。
博客
《Windows PE》15.1 资源捆绑
10-28 988
在下载应用程序时,我们会发现一些特殊的EXE应用程序。当我们运行EXE程序时会同时下载或生成若干个其他应用程序,并自动运行。这个过程通常会以一种静默的方式悄悄地进行。我们将这一技术称之为EXE捆绑。之所以这样做,好的方面是简化程序下载安装的过程。坏的方面是一些流氓软件可以借此牟利,侵犯用户的选择权。本章介绍两种常用的EXE捆绑的实现方法。本章学习知识概要:资源捆绑补丁捆绑。
博客
《Windows PE》14.1最后一节插入补丁程序
10-27 947
如果我们希望添加不同功能的补丁,只需要替换补丁DLL就可以了。00010430 03 F3 8B 76 78 03 F3 8B 7E 20 03 FB 8B 4E 14 56 .髬vx.髬~ .麐N.V。00010420 00 00 00 8B 40 0C 8B 70 1C AD 8B 58 08 8B 73 3C ...婡.媝.瓔X.媠
博客
《Windows PE》12.4 万能补丁
10-25 993
本节我们将介绍基于嵌入式补丁的万能补丁技术。万能补丁原理示例程序。
博客
《Windows PE》11.2.1 PE变形技术
10-24 2135
恶意软件使用PE变形技术来修改PE文件的结构和代码,以产生不同的变种,从而使每个实例看起来不同,难以被传统的基于特征的病毒检测技术所识别。■●代码混淆:恶意软件使用各种技术,如指令替换、指令重排、无用代码插入等,来修改PE文件的代码,使其难以分析和识别。这样可以改变程序的控制流,增加分析的复杂性。【注】我们将在PE加密壳一章详细讲解代码混淆。●API重命名:恶意软件可能会修改PE文件中调用的系统API函数的名称,使其与正常的API名称不同。
博客
《Windows PE》9.2 动态加载技术-获取kernel32.dll基址
10-23 1657
上一节中我们介绍了如何动态调用DLL的方法。首先调用LoadLibrary函数动态加载DLL,然后调用GetProcAddress通过函数名获取DLL内的函数地址。但是LoadLibrary和GetProcAddress函数的调用仍然依赖于PE文件内的导入表和函数地址表的存在。在操作系统加载PE文件到内存时获取这两个函数的地址。本节我们将介绍一种完全不依赖于导入表和函数地址表的方法,实现对DLL动态链接库中函数的调用。简单来说,需要经过以下三步:步骤1获取kernel32.dll的基地址。
博客
《Windows PE》7.4 资源表应用
10-22 1007
本节我们将通过两个示例程序,演示对PE文件内图标资源的置换与提取。更改图标提取图标资源。
博客
《Windows PE》7.3 遍历资源表
10-21 419
文件偏移:00003AB8 (代码页=0804, 长度2字节)文件偏移:00003AC0 (代码页=0804, 长度2字节)2.示例程序对于非资源内容(例如应用程序清单)归类于自定义资源类型。文件偏移:00007DD0 (代码页=0409, 长度381字节)●模块五:RvaToFileOffset.c(略)●模块七:GetResourceInfo.c。●模块六:Getpeinfo.c(略)●模块四:pemain.c(略)●模块1:resource.h。●模块2:peinfo.rc。●模块三:info.h。
博客
《Windows PE》7.2 资源表
10-20 1142
在资源表中,IMAGE_RESOURCE_DIRECTORY_ENTRY 的 OffsetToData 字段指向一个 IMAGE_RESOURCE_DATA_ENTRY 结构,该结构描述了资源数据的位置和相关属性。PE 对话框资源的起始位置 01 00 FF FF 00 00 00 00 00 00 00 00 是对话框资源的标识符,用于识别和定位对话框资源在 PE 文件中的位置。资源的每一级目录都会有一个资源目录头,它标识 了该类资源的属性、创建日期和版本等信息,其中也包含了随后的目录项的数量描述信息。
博客
《Windows PE》7.1 资源分类
10-18 872
自定义资源是指在程序中使用的非标准资源,这些资源可以是任何类型的数据或文件,用于存储和使用程序所需的特定信息或内容。在资源脚本文件(.rc 文件)中,可以使用自定义的资源类型来定义和描述这些资源。其在资源 文件中的定义语法如下:资源 ID 类型 ID [DISCARDABLE]BEGIN数据定义……END以下是一个示例:上述代码中,IDR_CUSTOM1 是自定义资源的唯一标识符(ID),CUSTOM 是自定义资源类型指示符,custom.dat 是自定义资源文件的名称。
博客
《Windows PE》6.4.2 远程注入DLL
10-17 538
测试步骤:当PEHeader.exe运行时,运行remoteThread.exe,点击文件菜单”插入到PEHeader.exe”,就可以将DLL远程注入到进程PEHeader.exe中了。对比无DLL注入的方法,使用DLL注入的方法不需要对代码和数据进行重定位(由操作系统自动完成),省去了很多不必要的麻烦,因此也是我们常用的方法。写一个窗口程序,将一个dll通过远程注入的方法,注入到第三章的示例程序PEHeader.exe中,支持32位和64位PE。1.打开本地进程(调用OpenProcess函数)。
博客
《Windows PE》6.4.1 无 DLL远程注入
10-16 913
一旦你的ThreadFunc中有错误,远程线程会立即崩溃。这样,远程进程中的ThreadFunc就会执行不存在的内存数据(至少没有在它自己的内存空间中)。如果我们能够熟练的掌握汇编语言,当然也可以直接使用汇编语言编写一个无DLL注入的程序,毕竟使用汇编语言可以非常方便的直接对代码和数据进行重定位,这是C语言无法做到的。如果这个有争议的CALL是编译器添加的(因为一些不该打开的编译开关比如/GZ打开了),它要么在ThreadFunc的开头要么在ThreadFunc接近结尾的地方。
博客
《Windows PE》6.3 无导入表和重定位表PE文件
10-15 496
本节我们将演示一个无导入表、无重定位表,并且只有一个.text节区的汇编代码程序。汇编代码重定位。
博客
6.2 遍历重定位表
10-14 418
本节我们将编写一个遍历重定位表的示例程序,打印重定位表。遍历重定位表。
博客
《Windows PE》6.1 重定位表
10-12 1375
重定位表(relocation table)是在可执行文件或动态链接库(DLL)中用于指示系统在加载时对代码和数据进行重新定位的数据结构。在可执行文件或 DLL 中,代码和数据通常是使用相对地址进行引用的。当将可执行文件或 DLL 加载到内存中时,如果加载地址与文件中的基地址不匹配,就需要对代码和数据进行重新定位,以确保引用的地址正确。重定位表重定位表的结构与解析重定位表的修改。
博客
《Windows PE》5.3 导出表应用
10-11 1090
本节我们将通过三个实验来说明导出表的应用。实验一修改导出表中的函数地址。实验二直接替换导出函数的代码。实验三导出私有函数修改导出函数地址替换导出函数代码导出私有函数。
博客
《Windows PE》5.2 遍历导出表
10-10 1382
这段代码使用了 EnumProcessModules 函数遍历进程中的模块,并使用 GetModuleInformation 函数获取模块的基址。32位和64位PE文件导出表描述符是相同的,遍历导出表的区别只有两点,32位基址和64位基址,以及NT32位NT头和64位NT头的区别。实验34:方法一,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。实验35:方法二,使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。使用常规方法实现,将程序读到内存指定位置,进行磁盘与内存的转换。
博客
《Windows PE》5.1 导出表
10-09 1350
该值也是一个指针,与AddressOfNames是一一对应关系,所不同的是,AddressOfNames指向的是字符串的指针数组,而AddressOfNameOrdinals则指向了该函数在AddressOfFunctions中的索引值。●导出函数序号表(Export Function Ordinal Table)是PE文件中导出表的一部分,用于映射导出函数的序号和地址。DLL中的第一个导出函数并不是从0开始的,某导出函数的编号等于从AddressOfFunctions开始的顺序号加上这个值。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值