使用Windbg认识Windows PE结构

最新推荐文章于 2023-04-13 16:27:32 发布
原创 最新推荐文章于 2023-04-13 16:27:32 发布 · 381 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了Notepad++的内存布局,包括模块名称、地址范围、文件类型、机器类型、时间日期戳、入口点地址、代码大小、初始化数据大小、资源目录地址等关键信息。通过分析可了解其加载过程及依赖的外部库。

0:000> lm

start    end        module name
00590000 005c0000   notepad    (deferred)             
0f2f0000 0f2f8000   DAVHLPR    (deferred)             
3f380000 3f389000   VERSION    (deferred)             
6cea0000 6cef1000   WINSPOOL   (deferred)             
73900000 73b0f000   COMCTL32   (deferred)             
744e0000 744ea000   CRYPTBASE   (deferred)             
744f0000 7450e000   SspiCli    (deferred)             
74510000 7465e000   GDI32      (deferred)             
74660000 746b8000   bcryptPrimitives   (deferred)

0:000> !dh -f notepad

File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
     14C machine (i386)
       4 number of sections
559EA6FF time date stamp Fri Jul 10 00:53:19 2015

       0 file pointer to symbol table
       0 number of symbols
      E0 size of optional header
     102 characteristics
            Executable
            32 bit word machine

OPTIONAL HEADER VALUES
     10B magic #
    9.00 linker version
    A800 size of code
   22400 size of initialized data
       0 size of uninitialized data
    31C9 address of entry point
    1000 base of code
         ----- new -----
**00400000 image base**
    1000 section alignment
     200 file alignment
       2 subsystem (Windows GUI)
    6.01 operating system version
    6.01 image version
    6.01 subsystem version
   30000 size of image
     400 size of headers
   385B1 checksum
00040000 size of stack reserve
00011000 size of stack commit
00100000 size of heap reserve
00001000 size of heap commit
    8140  DLL characteristics
            Dynamic base
            NX compatible
            Terminal server aware
       0 [       0] address [size] of Export Directory
    A0A0 [     12C] address [size] of Import Directory
    F000 [   1F168] address [size] of Resource Directory
       0 [       0] address [size] of Exception Directory
       0 [       0] address [size] of Security Directory
   2F000 [     E38] address [size] of Base Relocation Directory
    B69C [      38] address [size] of Debug Directory
       0 [       0] address [size] of Description Directory
       0 [       0] address [size] of Special Directory
       0 [       0] address [size] of Thread Storage Directory
    6D78 [      40] address [size] of Load Configuration Directory
     270 [     128] address [size] of Bound Import Directory
    1000 [     404] address [size] of Import Address Table Directory
       0 [       0] address [size] of Delay Import Directory
       0 [       0] address [size] of COR20 Header Directory
       0 [       0] address [size] of Reserved Directory

0:000> dt -n (_IMAGE_DOS_HEADER)00400000

ntdll!_IMAGE_DOS_HEADER
   +0x000 e_magic          : 0x5a4d
   +0x002 e_cblp           : 0x90
   +0x004 e_cp             : 3
   +0x006 e_crlc           : 0
   +0x008 e_cparhdr        : 4
   +0x00a e_minalloc       : 0
   +0x00c e_maxalloc       : 0xffff
   +0x00e e_ss             : 0
   +0x010 e_sp             : 0xb8
   +0x012 e_csum           : 0
   +0x014 e_ip             : 0
   +0x016 e_cs             : 0
   +0x018 e_lfarlc         : 0x40
   +0x01a e_ovno           : 0
   +0x01c e_res            : [4] 0
   +0x024 e_oemid          : 0
   +0x026 e_oeminfo        : 0
   +0x028 e_res2           : [10] 0
   +0x03c e_lfanew         : 0n216

0:000> dt -n (_IMAGE_NT_HEADERS)00400000+0n216

ntdll!_IMAGE_NT_HEADERS
   +0x000 Signature        : 0x4550
   +0x004 FileHeader       : _IMAGE_FILE_HEADER
   +0x018 OptionalHeader   : _IMAGE_OPTIONAL_HEADER
0:000> dx -r1 (*((ntdll!_IMAGE_FILE_HEADER *)0x4000dc))
(*((ntdll!_IMAGE_FILE_HEADER *)0x4000dc))                 [Type: _IMAGE_FILE_HEADER]
    [+0x000] Machine          : 0x14c [Type: unsigned short]
    [+0x002] NumberOfSections : 0x4 [Type: unsigned short]
    [+0x004] TimeDateStamp    : 0x559ea6ff [Type: unsigned long]
    [+0x008] PointerToSymbolTable : 0x0 [Type: unsigned long]
    [+0x00c] NumberOfSymbols  : 0x0 [Type: unsigned long]
    [+0x010] SizeOfOptionalHeader : 0xe0 [Type: unsigned short]
    [+0x012] Characteristics  : 0x102 [Type: unsigned short]

*0:000> dx -r1 (*((ntdll!_IMAGE_OPTIONAL_HEADER )0x4000f0))

(*((ntdll!_IMAGE_OPTIONAL_HEADER *)0x4000f0))                 [Type: _IMAGE_OPTIONAL_HEADER]
    [+0x000] Magic            : 0x10b [Type: unsigned short]
    [+0x002] MajorLinkerVersion : 0x9 [Type: unsigned char]
    [+0x003] MinorLinkerVersion : 0x0 [Type: unsigned char]
    [+0x004] SizeOfCode       : 0xa800 [Type: unsigned long]
    [+0x008] SizeOfInitializedData : 0x22400 [Type: unsigned long]
    [+0x00c] SizeOfUninitializedData : 0x0 [Type: unsigned long]
    [+0x010] AddressOfEntryPoint : 0x31c9 [Type: unsigned long]
    [+0x014] BaseOfCode       : 0x1000 [Type: unsigned long]
    [+0x018] BaseOfData       : 0xc000 [Type: unsigned long]
    [+0x01c] ImageBase        : 0x400000 [Type: unsigned long]
    [+0x020] SectionAlignment : 0x1000 [Type: unsigned long]
    [+0x024] FileAlignment    : 0x200 [Type: unsigned long]
    [+0x028] MajorOperatingSystemVersion : 0x6 [Type: unsigned short]
    [+0x02a] MinorOperatingSystemVersion : 0x1 [Type: unsigned short]
    [+0x02c] MajorImageVersion : 0x6 [Type: unsigned short]
    [+0x02e] MinorImageVersion : 0x1 [Type: unsigned short]
    [+0x030] MajorSubsystemVersion : 0x6 [Type: unsigned short]
    [+0x032] MinorSubsystemVersion : 0x1 [Type: unsigned short]
    [+0x034] Win32VersionValue : 0x0 [Type: unsigned long]
    [+0x038] SizeOfImage      : 0x30000 [Type: unsigned long]
    [+0x03c] SizeOfHeaders    : 0x400 [Type: unsigned long]
    [+0x040] CheckSum         : 0x385b1 [Type: unsigned long]
    [+0x044] Subsystem        : 0x2 [Type: unsigned short]
    [+0x046] DllCharacteristics : 0x8140 [Type: unsigned short]
    [+0x048] SizeOfStackReserve : 0x40000 [Type: unsigned long]
    [+0x04c] SizeOfStackCommit : 0x11000 [Type: unsigned long]
    [+0x050] SizeOfHeapReserve : 0x100000 [Type: unsigned long]
    [+0x054] SizeOfHeapCommit : 0x1000 [Type: unsigned long]
    [+0x058] LoaderFlags      : 0x0 [Type: unsigned long]
    [+0x05c] NumberOfRvaAndSizes : 0x10 [Type: unsigned long]
    [+0x060] DataDirectory    [Type: _IMAGE_DATA_DIRECTORY [16]]

0:000> dx -r2 (((ntdll!_IMAGE_DATA_DIRECTORY ()[16])0x400150))

(*((ntdll!_IMAGE_DATA_DIRECTORY (*)[16])0x400150))                 [Type: _IMAGE_DATA_DIRECTORY [16]]
    [0]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [1]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xa0a0 [Type: unsigned long]
        [+0x004] Size             : 0x12c [Type: unsigned long]
    [2]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xf000 [Type: unsigned long]
        [+0x004] Size             : 0x1f168 [Type: unsigned long]
    [3]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [4]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [5]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x2f000 [Type: unsigned long]
        [+0x004] Size             : 0xe38 [Type: unsigned long]
    [6]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0xb69c [Type: unsigned long]
        [+0x004] Size             : 0x38 [Type: unsigned long]
    [7]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [8]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [9]              [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [10]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x6d78 [Type: unsigned long]
        [+0x004] Size             : 0x40 [Type: unsigned long]
    [11]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x270 [Type: unsigned long]
        [+0x004] Size             : 0x128 [Type: unsigned long]
    [12]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x1000 [Type: unsigned long]
        [+0x004] Size             : 0x404 [Type: unsigned long]
    [13]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [14]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
    [15]             [Type: _IMAGE_DATA_DIRECTORY]
        [+0x000] VirtualAddress   : 0x0 [Type: unsigned long]
        [+0x004] Size             : 0x0 [Type: unsigned long]
C++软件调试与异常排查从入门到精通专栏介绍与文章汇总
dvlinker的技术专栏
06-29 22万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4796
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
使用windbg查看PE结构
TMS_LI的专栏
07-15 4982
使用windbg查看PE结构 实验环境: WIN7 32bit  编译器: Microsoft (R) Macro Assembler Version 6.14.8444 Microsoft (R) 32-bit C/C++ Optimizing Compiler Version 15.00.30729.01 for 80x86 查看模块PE结构大体情况: 查看模块P
WinDbg查看notepad的PE结构
hahaha233330的博客
06-02 351
打开notepad,再打开windbg,File → Attach to a Process,选择notepad.exe,连接进程。 输入命令 !dh -f notepad 查看进程号。 输入命令 !db 进程号 l400 查看notepad的PE结构
PE格式系列_0x02:PE头部信息(WinDbg查看)
可乐松子的博客
05-23 1996
0x02 PE头部信息(WinDbg查看) 使用像CFF、Stud_PE等专用工具可以直接查看PE文件的格式,那还有必要学习PE的格式吗?前面学习目的就是答案 单纯的看PE格式介绍没什么意思,下面结合分析notepad软件来学习PE格式 工具:调试器是WinDbgPE查看工具是Stud_PEPEview(任何一款PE工具都可以) 提示:WinDbgwindows下调试的神器,如果有时间的话,建议学习一个使用 1.notepad基本信息 先使用WinDbg简单了解一下C:\Windows\SysWO
2.windbg-PE完整分析
hgy413的专栏
04-03 3092
1.PE结构常用的结构体 0:001> dt ntdll!*IMAGE* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_IMA
深入理解PE结构:解析与打印实例教程
- 调试技巧:学习如何使用调试工具(如OllyDbg、WinDbg)来观察PE结构。 此外,标题中的“实例”、“解析打印”则表明了程序可能具备以下特性: - 交互性:程序可能允许用户输入文件路径或命令行参数来指定要解析...
使用WinDbg —— .NET篇 (一)
ecjtu_luowei的专栏
02-27 6179
一、前言 WinDBG作为Microsoft的御用工具,其强大之处使我这等小辈难以望其项背,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、dump文件调试、远程调试等。其灵活性和可扩展性能极大满足调试要求。所以对于WinDBG,读者非常有必要花费一些业余时间来学习研究。 本文主要是通过调试C#编写的NET程序来对WinDBG作一个片面的介绍,由于笔者真正开始使用Wind
易语言pe反汇编源码-易语言
06-13
学习这个源码,你需要具备一定的汇编语言基础,理解基本的计算机体系结构,并且对PE文件有一定的认识。通过实践和研究,你可以提升自己的逆向工程技能,这对于软件开发、安全分析以及故障排查等领域都是非常有价值的...
PE文件结构简析-windbg
06-15
PE文件结构简析,pe头文件是学习windows的一个重要过程,关于pe可以使用windbg调试器。
Windbgwindows api调用的逆向分析
weixin_34082177的博客
01-13 275
用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,b...
windbg API 跟踪
weixin_33713503的博客
07-01 220
!logexts.loge !logexts.logc e * !logexts.logo e v !logexts.logb p     !logexts.loge    enables logging   !logexts.logc e   displays all API categories   !logexts.logo e v     debugger...
WinDBG详解进程初始化dll是如何加载的
一线码农的专栏
11-09 831
INT 是 Windows 需要加载的函数名列表。IAT 是存放 GetProcAddress 返回函数地址的列表。
难译 | windbg 乐趣之道(上)
dotNET跨平台
02-28 310
前言 Yarden Shafir 分享了两篇非常通俗易懂的,关于 windbg 新引入的调试数据模型的文章。链接如下:part1:https://medium.com/@yardenshafir2/windbg-the-fun-way-part-1-2e4978791f9bpart2:https://medium.com/@yardenshafir2/windbg-the-fun-way-part...
Windows监听程序访问了哪些资源
youyudexiaowangzi的专栏
12-21 5204
Winternals公司的SysInternals提供了很多方便工具,后来被微软收购,微软提供了该系列的工具 https://docs.microsoft.com/en-us/sysinternals/ 监听进程访问的资源用ProcessMonitor就可以了,但是数据太多了,后来发现ProcessExplorer用起来更方便 勾选Show Low Pane,就会在底部显示一个进程信息的窗格,里面默认是按type排序的,type里面有section、file、reg、event等信息,这里以fil
使用windbg查看进程导入表
momodeconger的博客
04-13 493
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
学习WinDbg - (1)查看内核数据结构
darkbasic的专栏
05-03 7279
学习WinDbg - (1)查看内核数据结构darkbasic 2007.05.03首先进入本地内核调试,菜单“File” -- “Kernel Debug..”,选“Local”项,确定。然后要设定好符号文件,WinDbg就是通过符号文件才能显出内核数据结构。对于查看内核数据结构,我们只要设定好ntoskrnl.exe的符号文件就可以了。  //设定符号文件路径到本地及微软服务器:lkd
.NET中的幕后英雄:MSCOREE.DLL
热门推荐
张羿的优快云专栏
08-19 2万+
现在做.NET Framework的开发的朋友应该是越来越多了,但是可能并非人人都对MSCOREE.DLL非常了解。而事实上,毫不夸张地说,MSCOREE.DLL是.NET Framework中最为核心的DLL之一,没有这个DLL,托管程序根本无法开始执行起来,但是由于这个DLL藏在System32目录下,根本无人问津,可以说是有点委屈了这位.NET Framework中的幕后英雄。本文主要讨论M
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值