再说PE文件

本文深入解析PE文件格式中关键结构体的作用与关联,包括IMAGE_OPTIONAL_HEADER、IMAGE_DATA_DIRECTORY等,详细介绍了如何通过这些结构体查找DLL依赖及函数导入导出表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

                                   对于PE文件的一点理解
       首先我们来认识几个结构体 第一个我们的IMAGE_OPTINAL_HEADER
 

typedef struct _IMAGE_OPTIONAL_HEADER {
 WORD Magic;
 BYTE MajorLinkerVersion;
 BYTE MinorLinkerVersion;
 DWORD SizeOfCode;
 DWORD SizeOfInitializedData;
 DWORD SizeOfUninitializedData;
 DWORD AddressOfEntryPoint;
 DWORD BaseOfCode;
 DWORD BaseOfData;
 DWORD ImageBase;
 DWORD SectionAlignment;
 DWORD FileAlignment;
 WORD MajorOperatingSystemVersion;
 WORD MinorOperatingSystemVersion;
 WORD MajorImageVersion;
 WORD MinorImageVersion;
 WORD MajorSubsystemVersion;
 WORD MinorSubsystemVersion;
 DWORD Win32VersionValue;
 DWORD SizeOfImage;
 DWORD SizeOfHeaders;
 DWORD CheckSum;
 WORD Subsystem;
 WORD DllCharacteristics;
 DWORD SizeOfStackReserve;
 DWORD SizeOfStackCommit;
 DWORD SizeOfHeapReserve;
 DWORD SizeOfHeapCommit;
 DWORD LoaderFlags;
 DWORD NumberOfRvaAndSizes;
 IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//
这个是指向一个结构体 而这个结构体

 
} IMAGE_OPTIONAL_HEADER, 
*PIMAGE_OPTIONAL_HEADER;

IMAGE_OPTIONAL_HEADER 的最后一个成员变量是指向一个结构体

 
下来我来说一下这个结构体的作用,我们的每一个PE文件都有自己的函数和DLL文件吧,
因此这个结构体就是一个指向 一个dll文件和这个文件里面所有的函数,当然我这里说的有点模糊,那这个结构体的原型到底是什么那?我下来说一下

typedef struct _IMAGE_DATA_DIRECTORY {
 DWORD VirtualAddress;//
这个是一个虚拟相对地址,一般都是相对0X00400000 的一个地址;

 DWORD Size;

 
} IMAGE_DATA_DIRECTORY, 
*PIMAGE_DATA_DIRECTORY;

而这个结构体的第一个成员变量VirtualAddress 他是一个相对虚拟地址,那什么又是相对虚拟地址那;我来解释一下就是一个地址偏移量对于一个.exe文件XP系统下他们是相对0x00400000的便宜量;因此我们可以通过我们VirtualAddress 找到我们的所需要的信息,好了,这个结构体他里面包含了一些关于 什么像导出表啊 或者导入表啊 还有我们资源表啊等等 这个必须通过我们的IMAGE_OPTIONAL_HEADER 的最后一个成员变量来找, DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES] ,这是一个大小为16的一结构体数组,这个数组的第一个元素DataDirectory0】,一个关于导出表的信息,DataDirectory1】,是一个关于导入表的一个信息;好了,至于其他的我现在还不是很懂,不过我后来会说的,我们有了这个就可以找见我们的IMAGE_IMPORT_ DESCRIPTOR

 
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    };
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date/time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)
 
    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;                                           // 指向一个库名而且是相对的,也就是说是一个RVA
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
那么这个又是什么那 下来我来说一下 他那是一些关于导出表的一下信息,第一个成员变量是一个个联合体 这个联合体的第一个Characteristics 这个我还不是很知道,我就不说了,我来说一下第二个成员变量OriginalFirstThunk是指向一个叫做IMAGE_THUNK_DATA的结构体,待会我再说这个结构体的作用,至于DWORD   TimeDateStamp; 和DWORD   ForwarderChain; 我还是不是很懂,那个Name也是一个相对虚拟地址(RVA),至于那个FirstThunk 他和OriginalFirstThunk很相似 也是一个指向 IMAGE_THUNK_DATA的结构体的 ,不过两个有点区别,那区别是什么那,当一个程序再为运行前,他们来那个是指向同一块地址的,一旦当程序运行了,OriginalFirstThunk指向的地址不变,而FirstThunk却变了,他那指向了这个结构体的内存的地端地址,也就是下一个IMAGE_THUNK_DATA,哦,我忘说了,他也是一个数组;好我来解释一下,因为我们的一个程序要用到一些函数,而这些函数却包含在同一个DLL文件里面,因此我们的程序是不是要找到所有与它有关的函数地址,如果是一个的话,那肯定不行吗,因此微软就提供了 这个结构体数组,唉,我说的有点乱。
好了我们再来说下一个 结构体吧 IMAGE_THUNK_DATA
typedef struct _IMAGE_THUNK_DATA32 {
    union {
        PBYTE ForwarderString;
        PDWORD Function;                                  //这个应该是函数的地址吧,而且是相对的;
        DWORD Ordinal;
        PIMAGE_IMPORT_BY_NAME AddressOfData;
    } u1;
} IMAGE_THUNK_DATA32;
这个结构体他那 本身是一个联合体 ,我说一下我所知道的数据成员的含义;PDWORD Function; 这个是一个指向函数地址的,而AddressOfData是指向一个IMAGE_IMPORT_BY_NAME的结构体;
typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
这个结构体的第一个成员变量Hint是函数的序号;而Name[1];这是一个相对虚拟地址,指向这个函数的名字;好了,我们有了这些知识我们就可以查看一下 我们的程序里面都用了哪些成员函数,当然我们也可以修改哪些成员函数;我在上面说的有点乱,好了,那我来举个例子吧:
 
 
资源下载链接为: https://pan.quark.cn/s/1bfadf00ae14 “STC单片机电压测量”是一个以STC系列单片机为基础的电压检测应用案例,它涵盖了硬件电路设计、软件编程以及数据处理等核心知识点。STC单片机凭借其低功耗、高性价比和丰富的I/O接口,在电子工程领域得到了广泛应用。 STC是Specialized Technology Corporation的缩写,该公司的单片机基于8051内核,具备内部振荡器、高速运算能力、ISP(在系统编程)和IAP(在应用编程)功能,非常适合用于各种嵌入式控制系统。 在源代码方面,“浅雪”风格的代码通常简洁易懂,非常适合初学者学习。其中,“main.c”文件是程序的入口,包含了电压测量的核心逻辑;“STARTUP.A51”是启动代码,负责初始化单片机的硬件环境;“电压测量_uvopt.bak”和“电压测量_uvproj.bak”可能是Keil编译器的配置文件备份,用于设置编译选项和项目配置。 对于3S锂电池电压测量,3S锂电池由三节锂离子电池串联而成,标称电压为11.1V。测量时需要考虑电池的串联特性,通过分压电路将高电压转换为单片机可接受的范围,并实时监控,防止过充或过放,以确保电池的安全和寿命。 在电压测量电路设计中,“电压测量.lnp”文件可能包含电路布局信息,而“.hex”文件是编译后的机器码,用于烧录到单片机中。电路中通常会使用ADC(模拟数字转换器)将模拟电压信号转换为数字信号供单片机处理。 在软件编程方面,“StringData.h”文件可能包含程序中使用的字符串常量和数据结构定义。处理电压数据时,可能涉及浮点数运算,需要了解STC单片机对浮点数的支持情况,以及如何高效地存储和显示电压值。 用户界面方面,“电压测量.uvgui.kidd”可能是用户界面的配置文件,用于显示测量结果。在嵌入式系统中,用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值