再读PE结构(二)

最新推荐文章于 2024-12-19 17:47:52 发布
原创 最新推荐文章于 2024-12-19 17:47:52 发布 · 438 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#image #descriptor #import #exception #struct #security

传上第二部分

三、数据目录表
1 数据目录表是干什么的?
  用以快速定位PE结构中的其他的结构:输出表、输入表等。数据目录表的大小一般为16(IMAGE_NUMBEROF_DIRECTORY_ENTRIES)个,它的大小由文件头结构中的SizeOfOptionalHeader指定。其结构定义为:
typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;    //偏移量
    DWORD   Size;        //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

2 数据结构表的成员
 0x0) IMAGE_DIRECTORY_ENTRY_EXPORT            // Export Directory
 0x1) IMAGE_DIRECTORY_ENTRY_IMPORT            // Import Directory
 0x2) IMAGE_DIRECTORY_ENTRY_RESOURCE          // Resource Directory
 0x3) IMAGE_DIRECTORY_ENTRY_EXCEPTION         // Exception Directory
 0x4) IMAGE_DIRECTORY_ENTRY_SECURITY          // Security Directory
 0x5) IMAGE_DIRECTORY_ENTRY_BASERELOC         // Base Relocation Table
 0x6) IMAGE_DIRECTORY_ENTRY_DEBUG             // Debug Directory
 0x7) IMAGE_DIRECTORY_ENTRY_ARCHITECTURE      // Architecture Specific Data
 0x8) IMAGE_DIRECTORY_ENTRY_GLOBALPTR         // RVA of GP
 0x9) IMAGE_DIRECTORY_ENTRY_TLS               // TLS Directory
 0xA) IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG       // Load Configuration Directory
 0xB) IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT      // Bound Import Directory in headers
 0xC) IMAGE_DIRECTORY_ENTRY_IAT               // Import Address Table
 0xD) IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT      // Delay Load Import Descriptors
 0xE) IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR    // COM Runtime descriptor
 0xF) Reserved

四、输出表
  输出表大多在DLL文件中定义,它存放一组导出的可被其他程序调用的函数。其结构定义为:
typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;        //DLL文件名
    DWORD   Base;        //
    DWORD   NumberOfFunctions;    //输出地址表中的条目数
    DWORD   NumberOfNames;    //输出函数名表中的条目数
    DWORD   AddressOfFunctions;     //输出地址表的RVA
    DWORD   AddressOfNames;         //输出函数名表的RVA
    DWORD   AddressOfNameOrdinals;  //输出序数表的RVA
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
  得到输出函数地址的过程:
  当一个可执行文件输入一个符号(函数名)时,系统先使用名字来查询想得到的符号的输出序数,再通过序数值来获取地址。

五、输入表
  输入表存放的是该文件所导入的函数的相关信息。由数据目录表中的IMAGE_DIRECTORY_ENTRY_IMPORT成员指向,并以全0表示结束。其结构定义为:
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;        // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;     // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
                                        //指向输入名称表INT
    };
    DWORD   TimeDateStamp;              //
    DWORD   ForwarderChain;             // 转向,为-1时没有转向。
    DWORD   Name;            //输入的DLL名
    DWORD   FirstThunk;                 // RVA to IAT (if bound this IAT has actual addresses)
                                        //指向输入地址表IAT
} IMAGE_IMPORT_DESCRIPTOR;
   OriginalFirstThunk, FirstThunk都是指向IMAGE_THUNK_DATA结构的数组。IAT中的IMAGE_THUNK_DATA结构扮演着双重角色,如果其值的高位被置位了,则作为一个序数值处理;如果其值高位未被置位,则它将指向IMAGE_IMPORT_BY_NAME的RVA。
IMAGE_THUNK_DATA结构:
typedef struct _IMAGE_THUNK_DATA32 {
    union {
        PBYTE  ForwarderString;
        PDWORD Function;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME  AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;
 
记的比较粗略,如果要详细研究,翻阅前辈们的文章。
PE结构之导入表
weixin_43751677的博客
10-11 682
如果某个导入表的时间戳==-1 ,请查看。
PE文件结构
最新发布
UE星空
12-24 1503
PE文件是Windows下可执行文件的总称,英文全称PortableExecutable可移植的可执行文件,常见的有exe、dll、sys、com、ocx对于了解(木马、免杀、病毒、外挂、内核),了解PE文件结构是非常有必要且非常重要的!代码段:可读可执行不可写数据段:可读可写不可执行资源段:可读不可执行不可写导入表(.idata):简称IAT表ImportAddressTable。
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2764
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件结构详解(非常详细)
zhaotianff的专栏
08-31 2293
1 //大小为: 0x40(64)字节3// MZ标记 0x5a4d// 最后(部分)页中的字节数// 文件中的全部和部分页数// 重定位表中的指针数// 头部尺寸以段落为单位// 所需的最小附加段// 所需的最大附加段// 初始的SS值(相对偏移量)// 初始的SP值// 补码校验值// 初始的IP值// 初始的SS值// 重定位表的字节偏移量// 覆盖号// 保留字// OEM标识符(相对m_oeminfo)// OEM信息// 保留字。
PE文件结构:节表
WolvenSec的博客
12-19 1247
PE(Portable Executable)文件结构中,是 PE 文件的重要组成部分之一,位于 PE 头之后。节表记录了各节的虚拟地址、大小、节在 PE 文件中的实际大小和节属性等内容,用于定义程序在内存中的逻辑布局,操作系统加载 PE 文件时,根据节表将不同节的数据映射到正确的内存区域;定义了各节的属性,如是否可执行、可读、可写等,操作系统会根据这些属性对相应内存区域进行保护。在调试过程中,节表可以用来定位代码和数据在文件和内存中的位置,辅助调试器解析程序结构
windows PE结构解析
lj94093的专栏
01-12 2408
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行
PE结构&整体叙述
寻梦&之璐
01-31 7516
PE文件中的对齐 数据在内存中的对齐 由于Windows操作系统对内存属性结构的设置以页为单位,所以通常情况下,节在内存中的对齐单位必须至少是一个页的大小。对32位的Windows XP操作系统来说,这个值是4KB(1000h);而对于64位操作系统来说,这个值就是8KB(2000h)。 数据在文件中的对齐 为了提高磁盘利用率,通常情况下,定义的节在文件中的对齐单位要远小于内存对齐单位;通常会以一个物理扇区的大小作为对齐粒度的值,即512字节,十六进制是200h 处于节约资源考虑,操作系统允许节在内存和文件
windows PE文件结构及其加载机制
FlowShell的专栏
11-01 2667
1. 概述 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,
PE结构详解
曲终人散
06-04 3450
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、
逆向工程之PE文件结构
luguifang2011的专栏
04-17 1569
一、 典型的PE文件格式 1 .1 PE文件布局如下: 文件开头是一个DOS stub程序它非常简单,用于在DOS里运行应用程序,主要是向后兼容,对于逆向而言最重要的部分是一个指向PE头部的偏移量,从文件头开始向后偏移0x3c处就是这个偏移量(DOS头共64个字节最后4个字节为PE头偏移量),指示了从文件开头偏移多少是pe头(下图中0x0100为PE头开始的地方)。 ...
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1563
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
PE结构】1.PE文件结构、DOS头
SMOne
06-22 1528
一、前言PE整体结构三、DOS头四、NT头    4.1.文件头    4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表一、前言PE(PortableExecutable)文件,也就是Windows操作系统上的可执行文件,不仅仅是扩展名为EXE的文件,还包括DLL、SYS、COM、OCX等多种文件。Windows操作系统树大招风,运行在上面的各种应用程序(PE文件)自然成了很多...
PE结构学习(4)_节的操作
xf555er的博客
08-07 1628
对文件的节表进行扩大,为了方便操作,只需对最后一个节进行扩大OK了此处演示扩大1000(16进制)个字节的操作扩大节扩出来的空白区还需要考虑节的权限问题,若扩大出来的节没有执行代码的权限,那么还要修改整个节的权限属性,节的权限属性由节表结构体的最后一个成员Characteristics决定因为新增的节可以自己设置权限,所以相比扩大节而言还是方便挺多的新增节有一个前提条件,最后一个节后面至少要有40个字节的空白区若前提条件不满足, 那只能合并节,即将多个节合并成一个节,多余的空间就可以用于新增节。...
Sality.q病毒变种之EXE感染方式分析
04-10 1352
/* Sality.q病毒变种之EXE感染方式分析 * 文件名:vcmgcd32.dll * MD5:ae22ca9f11ade8e362254b452cc07f78 * 壳:未加 * By Vincent.peng on 2008.04.08 */调试方法:在Fun为10003FF0的CreateThread断下,然后转EIP到10003FF0处。一、感染过程分析:1 保存文件属性、时间。2 设
强悍的PegeFile.pif(下载者+ARP欺骗)分析
08-09 1079
中毒后的现象: 1)下载N多木马, 2)ARP欺骗了,局域网内的其他电脑上网时,都会先访问hxxp://www.369678.cn/ppp.html,下载病毒。 隐藏的有点诡异, 产生的文件: 1) 每个磁盘分区下都有这两个文件:     autorun.inf     PegeFile.pif 2) 其他文件 c:/windows/    TIMHost.exe    NVDispDrv.ex
com/lsass.exe smss.exe(磁碟机病毒) 感染方式之我分析 -- 2008第一博
01-08 992
    为XXX研究所提供技术支持时截获的样本,com/lsass.exe smss.exe,病毒中文名为磁碟机病毒,貌似很强,此等病毒岂能错过,分析之,不感独乐,遂将感染方式贴上:感染文件类型:(文件全名后三位)1 .htm, tml, .js2 .exe3 .rar, .zipweb文件感染函数:1 按行读取web文件内容2 如果没有找到匹配的:document.write(""); 则在文件
Windows自动启动归纳:
04-30 847
Windows自动启动归纳:一、Run键值实现 1. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce    HKEY_LOCAL_MACHINE/SOFTWARE/Micro
sysload3.exe 感染型病毒分析
04-06 831
sysload3.exe分析结果:一、基本信息MD5:e1c174d72cca73ade18c72772d840794 、病毒特征 感染型病毒,可通过局域网、软盘、U盘传播。该样本主要感染文件类型为.exe,且文件大小介于10K 和 10M 的文件。三、病毒现象 1 创建自启动项: HKEY_CURRENT_USER/Software/Microsoft/W
一段加密的Javascript风险代码
10-19 826
一段加密的Javascript风险代码,利用IE及其插件漏洞传播病毒:var vDA1 = new window["/x44/x61/x74/x65"]()//datevDA1["/x73/x65/x74/x54/x69/x6d/x65"](vDA1["/x67/x65/x74/x54/x69/x6d/x65"]() + 24*60*60*1000)//setTime getTimevar eOT
基于PE文件格式分析的软件工具及源码实现
附带源代码的意义在于允许其他学习者阅读其实现逻辑,理解如何使用C/C++语言配合Windows API或纯进制操作技术来逐字节解析PE结构。例如,使用fopen、fread等标准I/O函数读取文件原始字节,再通过强制类型转换将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值