PE文件格式

最新推荐文章于 2024-07-29 16:32:12 发布
最新推荐文章于 2024-07-29 16:32:12 发布
阅读量538 收藏 21
点赞数 22
文章标签: ctf reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62102520/article/details/138357887
版权
本文详细介绍了PE文件格式,包括DOS头、DOS存根、NT头(文件头和可选头)、节区头(如.text、.data、.rdata和.idata,特别是导入表)等内容,展示了helloworld.exe文件的实例,重点讲解了如何定位和理解PE文件中的关键信息和动态链接库。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件格式

  1. 例如像.exe .elf .all .sys为后缀的文件都是PE文件,下面以hello world.exe文件作为分析样本。
  2. 下面是PE文件的整体结构:

PE头:

  1. 学习PE文件格式主要学习的时PE文件的PE头,如何加载到内存,从何处开始运行、运行中需要的动态来链接库DLL有哪些、需要多大的堆/栈内存等,都以结构体的形式储存在PE头中。
  2. PE头包含一下几个部分:DOS头,DOS存根,NT头,.text(代码)(节区头),.data(数据)(节区头),.rsrc(资源节)(节区头)。

DOS头

  1. 在这里插入图片描述

  2. DOS头结构体如下:

  3. DOS头最重要的成员有两个:第一个e_magic : 前两个字节指明了DOS签名4D5A(MZ),第二个:e_lfanew,指明了NT头在文件内的偏移。

DOS存根

  2. DOS存根部分是上个时代遗留下来的产物,在windos平台下不会执行这段命令,但是在DOS环境下运行时会执行,显示出”This program cannot be run in DOS mode“,DOS存根为的就是在DOS环境下显示一些有用的信息二存在。
  3. 在DOS下查看,前13个字节会被翻译成汇编代码,调用了21号中断的09号功能,来显示后面字符串的内容:

NT头

  1. 根据DOS头最后的4个字节找到PE头在文件中的偏移:
  2. NT头结果提如下:=
  3. 首位的4个字节为签名:50 4F 00 00 -> “PE
  4. 其次是一个文件头(IMAGE_FILE_HEADER)和可选头(IMAGE_OPTIONAL_HEADER),下面来分别查看这两个结构体
NT头:文件头
  2. 去掉前面4个字节的标识后,后面的20个字节就是NT头的文件头:
  3. 第一个Machine指明了运行平台,每个CPU都拥有唯一的Machine码。
  4. 第二个NumberOfSections指明了文件中存在的节区的数目
  5. 倒数第二个SIzeOfOptionalHeader指明了后续可选头的大小为00F0(注意这个是小端序)
NT头:可选头
  1. 在这里插入图片描述
  2. 可选头的结构体如下:
  3. 其中包含的星系非常丰富,要完全认权可以自行查看微软的开发文档,则合理只介绍几个重要的结构
  4. ImageBase指出文件被加载到内存时优先装入的基地址。
  5. AddressOfEntryPoint有EP的RVA(文件被加载到内存中的相对前面ImageBase的偏移),指明了最先执行的代码的起始地址,有EIP = ImageBase+AddressOfEntryPoint,EIP寄存器指向要执行的代码。
  6. SizeOfHeader指出了整个PE头的大小。
  7. 最后一项DataDirectory,其由时IMAGE_DATA_DIRECTORY构成的数组,IMAGE_DATA_DIRECTORY结构体如下:在这里插入图片描述
  8. 第一项是RVA(加载到内存中是的偏移地址),Size(当前表的大小)。
  9. 节表的内容如下:
    10.在最后一项DataDirectory中主要重点关注,第一项导出目录(导出表) 和 第二项导入目录(导入表)
  10. 从上面可见,该hello.exe程序没有导出表,但是又一个导入表,其RVA为 : 00008000(但是这只是导入表的RVA,不是其在文件中的偏移,后面会进行转换)

节区头

  1. 节区头的结构体:
  2. Name指明了节的名字。
  3. VirtualAddress指明了节的偏移RVA(相对于ImageBase)
  4. PointerToRawData节在文件中的偏移
  5. Charactercis节的属性,是可读、可写。
.text(代码)(节区头)


2. 说明 .text节区 的RVA是 00001000,FOA是 00000400 ,之间相差了00000C00。

.data(数据)(节区头)


2. 说明 .data节区 的RVA是00003000,FOA是00002200. 之间相差了00000E00。

.rdata
  2. 说明**.rdata节区的RVA是00004000**,FOA是00002400,之间相差00001C00。
.idata,导入表

  1. 说明**.idata节区的RVA是00008000**,FOA是00003000,之间相差00005000
  2. .idata中包含导入函数的信息,即程序运行时需要调用的外部函数(或API)的信息。查看RVA:00008000刚好和前面查看的导入表RVA相同,说明.idata段的开头就是导入表的所在位置,但是现在只知道RVA(其加载到内存中后的偏移地址),并不知道其FOA(在文件中的偏移)。
  3. 但是由于.idata的RVA刚好和导入表的RVA相同,所以直接使用.idata的FOA(PointerToRawData),作为导入表的在文件中的偏移00003000,去查得导入表,其一共导入了两个库(一个占20字节,最后20字节全为0):
  4. 根据导入表的结构体:
  5. 其中那么字段指明了导入的动态链接库DLL的名字的RVA000086E8,安静其转化为FOA即可定位到该库的具体位置:000086E8-00005000(前面在idata中计算出的RVA与FOA的差值)=36E8,定位到下面这张图的位置,库的名字叫KERNEL32.dll,KERNEL32.dll是Windows操作系统中一个非常核心的32位动态链接库(DLL)文件,它对系统运行至关重要。:
  6. 查看第二个动态链接库:00008760-00005000=0003760,定位到下面这张图,msvcrt.dll在这里插入图片描述

最后给出一个PE文件的16进制编辑器中的截图,找到其中每一个头的信息,和导入表等:

  1. 原图如下:在这里插入图片描述
  2. 标识各个部分后如下:

PE文件格式详解
音视频图形编程学习乐园
09-01 2008
本文描述了Windows系统的PE文件格式
PE文件格式详解(上)
08-04 1061
Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications),但是它非常之晦涩。    然而这一的文档并未提供足够的信息,所以开发者们无法很好地弄懂PE格式。本文旨在解决这一问题,它会对整个的
详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE
09-23
**Windows PE文件格式详解** Windows PE(Portable Executable)文件格式是Microsoft Windows操作系统中的可执行文件格式,用于存储编译后的程序代码、数据和元数据。PE文件是Windows平台的核心组成部分,包括.exe...
VC源码:PE文件格式判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
本压缩包包含的资源是关于使用VC++(Visual C++)编写的源码,用于判断一个文件是否符合PE文件格式。这个功能在软件开发、系统分析以及安全领域有着广泛的应用。 首先,我们需要了解PE文件的基本结构。PE文件由多个...
PE文件格式分析及修改.doc
02-21
PE 文件格式分析及修改 PE 文件格式是 Win32 环境自身所带的执行文件格式,它的特性继承自 Unix 的 Coff 文件格式PE 文件在文件系统中,与存贮在磁盘上的其它文件一样,都是二进制数据,对于操作系统来讲,可以...
The_PE_file_format.zip_PE_Format_pe_pe文件_pe文件格式
09-14
PE文件格式,全称为Portable Executable,是Windows操作系统中用于执行程序的标准文件格式。它包含了代码、数据、元数据以及程序运行所需的其他信息。在Windows系统中,无论是.exe可执行文件、.dll动态链接库还是....
PE文件格式(一)
周星星的博客
10-18 8774
PE文件是Windows操作系统下使用的可执行文件文件格式PE文件是指32位的可执行文件,也叫PE32。64位的可执行文件称为PE+或者PE32+,是PE文件的一种扩展形式(不是PE64)。对应的结构体名字:IMAGE_OPTIONAL_HEADER32 STRUCT由于可选头字段数目多达32个,这里没有对全部字段的定义进行列举,只列举了几个相对重要的一些字段(12个)。所有含代码的的总大小所有含已初始化数据的的总大小所有含未初始化数据的的大小程序执行入口RVA。
深入剖析PE文件
lwglucky的专栏
03-15 5850
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
pe文件结构
最新发布
2303_81165358的博客
07-29 1432
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式
PE文件格式深入解析
"PE文件格式详解" PE文件格式是Windows操作系统中的可执行文件(Executable)和动态链接库(DLL)的主要格式。它是由Microsoft开发的一种结构,用于在32位和64位环境下运行。PE格式最初是为Windows OS/2设计的,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值