PE文件结构初探

最新推荐文章于 2024-12-24 22:58:20 发布
最新推荐文章于 2024-12-24 22:58:20 发布
阅读量155 收藏
点赞数
文章标签: python 操作系统 linux c++ 内存管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40026795/article/details/107150286
版权

PE概念:

        PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,然而不管什么后缀都可以是可执行文件,只要满足正确的PE结构。

PE文件的结构:

1、DOS头: 

        DOS MZ 头:

                偏移0位置为MZ标志

                偏移位置3Ch(e_lfanew)为PE头地址偏移     

     typedef struct _IMAGE_DOS_HEADER {     // DOS .EXE header
        WORD   e_magic;                     // 幻数MZ
        WORD   e_cblp;                      // Bytes on last page of file
        WORD   e_cp;                        // Pages in file
        WORD   e_crlc;                      // Relocations
        WORD   e_cparhdr;                   // Size of header in paragraphs
        WORD   e_minalloc;                  // Minimum extra paragraphs needed
        WORD   e_maxalloc;                  // Maximum extra paragraphs needed
        WORD   e_ss;                        // 初始化堆栈段
        WORD   e_sp;                        // 初始化栈顶指针
        WORD   e_csum;                      // Checksum
        WORD   e_ip;                        // DOS代码入口IP
        WORD   e_cs;                        // DOS代码入口CS
        WORD   e_lfarlc;                    // File address of relocation table
        WORD   e_ovno;                      // Overlay number
        WORD   e_res[4];                    // Reserved words
        WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
        WORD   e_oeminfo;                   // OEM information; e_oemid specific
        WORD   e_res2[10];                  // Reserved words
        LONG   e_lfanew;                    // 指向PE文件头
      } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

        DOS stub头,实质是有效的exe文件,用于在不支持PE的系统上显示错误

2、PE头:

        PE文件头:

     typedef struct _IMAGE_NT_HEADERS {
        DWORD Signature;                           //标志幻数P E 0x00 0x00
        IMAGE_FILE_HEADER FileHeader;              //映像文件头
        IMAGE_OPTIONAL_HEADER32 OptionalHeader;    //可选映像头
    } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

        映像文件头:包含文件基本信息

    typedef struct _IMAGE_FILE_HEADER {    
        WORD    Machine;                         //运行平台
        WORD    NumberOfSections;                //文件节数
        DWORD   TimeDateStamp;                   //文件创建日期和时间
        DWORD   PointerToSymbolTable;            //指向符号表
        DWORD   NumberOfSymbols;                 //符号表中符号数量
        WORD    SizeOfOptionalHeader;            //可选映像头长度
        WORD    Characteristics;                 //文件属性(exe,dll等)
    } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

        可选映像头

    typedef struct _IMAGE_OPTIONAL_HEADER {
        //标准域
        WORD    Magic;                       //幻数0x010B
        BYTE    MajorLinkerVersion;
        BYTE    MinorLinkerVersion;
        DWORD   SizeOfCode;
        DWORD   SizeOfInitializedData;
        DWORD   SizeOfUninitializedData;
        DWORD   AddressOfEntryPoint;        //文件执行的入口地址
        DWORD   BaseOfCode;
        DWORD   BaseOfData;
        //NT附加域    
        DWORD   ImageBase;                  //文件优先装入地址(初始VA)
        DWORD   SectionAlignment;             //内存中节的对齐粒度
        DWORD   FileAlignment;                //文件中节的对齐粒度
        WORD    MajorOperatingSystemVersion;
        WORD    MinorOperatingSystemVersion;
        WORD    MajorImageVersion;
        WORD    MinorImageVersion;
        WORD    MajorSubsystemVersion;
        WORD    MinorSubsystemVersion;
        DWORD   Win32VersionValue;
        DWORD   SizeOfImage;                //内存中整个PE映像尺寸
        DWORD   SizeOfHeaders;                //节数据到文件开始的偏移
        DWORD   CheckSum;
        WORD    Subsystem;
        WORD    DllCharacteristics;
        DWORD   SizeOfStackReserve;
        DWORD   SizeOfStackCommit;
        DWORD   SizeOfHeapReserve;
        DWORD   SizeOfHeapCommit;
        DWORD   LoaderFlags;
        DWORD   NumberOfRvaAndSizes;
        
        IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
        //数据目录,可以查找需要的表
    } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

        DataDirectory选项字段            Tips:DataDirectory结构包含VirtualAddress和Size

    #define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // 导出表
    #define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // 导入表
    #define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // 资源表
    #define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
    #define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
    #define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
    #define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
    //      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
    #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
    #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
    #define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
    #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
    #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   
    #define IMAGE_DIRECTORY_ENTRY_IAT            12   // 导入函数表
    #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
    #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

3、节表

    包含节的信息,有几个节就有几个成员      Tips:类似目录

    typedef struct _IMAGE_SECTION_HEADER {    
        BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];        //节名
        union {
                DWORD   PhysicalAddress;
                DWORD   VirtualSize;        //节的大小
        } Misc;
        DWORD   VirtualAddress;            //本节的RVA
        DWORD   SizeOfRawData;            //节在磁盘中的大小
        DWORD   PointerToRawData;            //节在磁盘中相对于文件起始的偏移
        DWORD   PointerToRelocations;
        DWORD   PointerToLinenumbers;
        WORD    NumberOfRelocations;
        WORD    NumberOfLinenumbers;
        DWORD   Characteristics;
    } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

4、节

    划分成块的PE文件真正内容,每一节是拥有共同属性的内容,载入到内存时会采用页对齐,即产生了节缝隙,可用于插入恶意代码。

    一般有以下几种节:

        代码节
        已初始化的数据节
        未初始化的数据节
        资源节
        引入函数节
        引出函数节

5、RVA与VA

    文件在磁盘上时,距离文件起始的距离为物理偏移(Offset)

    文件在装入到虚拟地址中时,由于采用按页对齐,所以地址的对应不与Offset一致

    在虚拟地址空间中,距离文件起始的距离为相对虚拟地址(RVA)

    在虚拟地址空间中,虚拟地址(VA)能起到访问绝对地址的作用(VA-起始VA=RVA)

    当程序指定的起始VA被其他程序占用时,操作系统会对VA进行重定向。

Catch_1t_AlunX
关注
[网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
热门推荐
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计会连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
PE文件结构
最新发布
路虽远,行则将至
12-24 1241
PE文件是Windows下可执行文件的总称,英文全称PortableExecutable可移植的可执行文件,常见的有exe、dll、sys、com、ocx对于了解(木马、免杀、病毒、外挂、内核),了解PE文件结构是非常有必要且非常重要的!代码段:可读可执行不可写数据段:可读可写不可执行资源段:可读不可执行不可写导入表(.idata):简称IAT表ImportAddressTable。
pe文件结构
2303_81165358的博客
07-29 1421
PE文件的全称是Portable Executable,意为可移植的可执行文件,是微软Windows操作系统上广泛使用的程序文件格式(包括间接被执行的文件,如DLL)。PE文件被称为“可移植的”是因为在所有平台(如x86、Alpha、MIPS等)上实现的Windows NT及其后续版本(如Windows 95、Windows 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10等)都使用相同的可执行文件格式。
PE文件格式之win32应用程序初探[定义].pdf
10-11
总之,PE文件格式是Win32应用程序的核心,理解它的结构和工作原理对于软件开发、逆向工程和系统调试至关重要。通过学习和实践,我们可以更好地掌控程序的生命周期,解决运行时的问题,甚至创造新的应用程序。
Win32_PE病毒原理初探:从入门到理解
"这是一本关于Win32_PE病毒初级入门的教程,旨在引导初学者了解病毒的原理和编写技术,内容涵盖PE文件结构、汇编语言、FASM编译器、API函数获取、病毒实现以及多态和变形技术。" 在计算机安全领域,了解病毒的工作...
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
PE文件结构与ELF文件结构
04-19
PE文件结构和ELF文件结构的具体描述,PE是windows操作系统的,ELF是linux操作系统
PE文件结构及其加载机制(一)
weixin_34082695的博客
09-01 222
一、PE文件结构 PEPortable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文件格式的文件。 所有Win32执行体(除了VxD和16位...
PE文件结构详解
leolewin的博客
08-23 2957
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
Winsock TCP编程实现文件传输初探
FTP(文件传输协议)是网络上进行文件传输时使用最广泛的协议之一,它允许用户传输文件到远程计算机,或从远程计算机下载文件。通过C++语言结合Winsock API实现FTP服务器和客户端的基本功能,对于初学Windows网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值