再说PE文件

最新推荐文章于 2024-07-01 18:13:53 发布

zhaowei1334

最新推荐文章于 2024-07-01 18:13:53 发布

阅读量366

点赞数 1

CC 4.0 BY-SA版权

文章标签： image descriptor import struct header dll

本文链接：https://blog.youkuaiyun.com/zhaowei1334/article/details/6496681

本文深入解析PE文件格式中关键结构体的作用与关联，包括IMAGE_OPTIONAL_HEADER、IMAGE_DATA_DIRECTORY等，详细介绍了如何通过这些结构体查找DLL依赖及函数导入导出表。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

对于PE文件的一点理解

首先我们来认识几个结构体第一个我们的IMAGE_OPTINAL_HEADER

typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;
DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//这个是指向一个结构体而这个结构体

} IMAGE_OPTIONAL_HEADER, 

*PIMAGE_OPTIONAL_HEADER;

IMAGE_OPTIONAL_HEADER 的最后一个成员变量是指向一个结构体

下来我来说一下这个结构体的作用，我们的每一个PE文件都有自己的函数和DLL文件吧，

因此这个结构体就是一个指向一个dll文件和这个文件里面所有的函数，当然我这里说的有点模糊，那这个结构体的原型到底是什么那？我下来说一下

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;//这个是一个虚拟相对地址,一般都是相对0X00400000 的一个地址；
DWORD Size;

} IMAGE_DATA_DIRECTORY, 

*PIMAGE_DATA_DIRECTORY;

而这个结构体的第一个成员变量VirtualAddress 他是一个相对虚拟地址，那什么又是相对虚拟地址那；我来解释一下就是一个地址偏移量对于一个.exe文件在XP系统下他们是相对0x00400000的便宜量；因此我们可以通过我们VirtualAddress 找到我们的所需要的信息，好了，这个结构体他里面包含了一些关于什么像导出表啊或者导入表啊还有我们资源表啊等等这个必须通过我们的IMAGE_OPTIONAL_HEADER 的最后一个成员变量来找， DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES] ，这是一个大小为16的一结构体数组，这个数组的第一个元素DataDirectory【0】，一个关于导出表的信息，DataDirectory【1】，是一个关于导入表的一个信息；好了，至于其他的我现在还不是很懂，不过我后来会说的，我们有了这个就可以找见我们的IMAGE_IMPORT_ DESCRIPTOR

typedef struct _IMAGE_IMPORT_DESCRIPTOR {

union {

DWORD Characteristics; // 0 for terminating null import descriptor

DWORD OriginalFirstThunk; // RVA to original unbound IAT (PIMAGE_THUNK_DATA)

};

DWORD TimeDateStamp; // 0 if not bound,

// -1 if bound, and real date/time stamp

// in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)

// O.W. date/time stamp of DLL bound to (Old BIND)

DWORD ForwarderChain; // -1 if no forwarders

DWORD Name; // 指向一个库名而且是相对的，也就是说是一个RVA

DWORD FirstThunk; // RVA to IAT (if bound this IAT has actual addresses)

} IMAGE_IMPORT_DESCRIPTOR;

那么这个又是什么那下来我来说一下他那是一些关于导出表的一下信息，第一个成员变量是一个个联合体这个联合体的第一个Characteristics 这个我还不是很知道，我就不说了，我来说一下第二个成员变量OriginalFirstThunk是指向一个叫做IMAGE_THUNK_DATA的结构体，待会我再说这个结构体的作用，至于DWORD TimeDateStamp; 和DWORD ForwarderChain; 我还是不是很懂，那个Name也是一个相对虚拟地址（RVA），至于那个FirstThunk 他和OriginalFirstThunk很相似也是一个指向 IMAGE_THUNK_DATA的结构体的，不过两个有点区别，那区别是什么那，当一个程序再为运行前，他们来那个是指向同一块地址的，一旦当程序运行了，OriginalFirstThunk指向的地址不变，而FirstThunk却变了，他那指向了这个结构体的内存的地端地址，也就是下一个IMAGE_THUNK_DATA，哦，我忘说了，他也是一个数组；好我来解释一下，因为我们的一个程序要用到一些函数，而这些函数却包含在同一个DLL文件里面，因此我们的程序是不是要找到所有与它有关的函数地址，如果是一个的话，那肯定不行吗，因此微软就提供了这个结构体数组，唉，我说的有点乱。

好了我们再来说下一个结构体吧 IMAGE_THUNK_DATA

typedef struct _IMAGE_THUNK_DATA32 {

union {

PBYTE ForwarderString;

PDWORD Function; //这个应该是函数的地址吧，而且是相对的；

DWORD Ordinal;

PIMAGE_IMPORT_BY_NAME AddressOfData;

} u1;

} IMAGE_THUNK_DATA32;

这个结构体他那本身是一个联合体，我说一下我所知道的数据成员的含义；PDWORD Function; 这个是一个指向函数地址的，而AddressOfData是指向一个IMAGE_IMPORT_BY_NAME的结构体；

typedef struct _IMAGE_IMPORT_BY_NAME {

WORD Hint;