初始手工分析helloworld.exe的PE文件

已于 2023-12-28 10:27:50 修改
阅读量588 收藏 15
点赞数 9
分类专栏: 16汇编32汇编到高级汇编 文章标签: c# 开发语言
于 2023-12-28 10:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhyjhacker/article/details/135261297
版权

这里我们拥有到一个工具:winhex 15.8的版本,十六进制编辑器
我们看一下源代码 ,源代码中在代码段中只调用了两个函数,1:messagebox(),这里传四个参数,2:ExitProcess(),传一个参数
对源代码进行编辑,得到PE文件(helloworld.exe)

这里写自定义目录标题


图1
在这里插入图片描述

用winhex打开helloworld.exe,如图2,3,4,5 是整个文件(其中填充完全是0的没有截图,关键位置的截图了)
不要急,下面我们一步一步拆分图2,3,4,5部分

在这里插入图片描述

																					图2

在这里插入图片描述
图3
在这里插入图片描述
图4
在这里插入图片描述

																	图5

在这里插入图片描述
在这里先做一个总的说明:
查找PE资料,得到如图PE的结构,所有我们先看PE头部(从下面图2开始)
查结构体IMAGE_DOS_HEADER得到PE头的结构
下面我们从dos头开始

dos头

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

在PE的头部中只有两个字段是最重要的,其他的可以不用管,这两个分别是e_magic,e_lfanew,前者指明是DOS文件,后者指明PE的首地址,或者说PE标志

PE头
PE有由三个部分组成,又叫NT头

在这里插入图片描述

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;



004000B0    50 45 00 00      ASCII "PE"           ; PE signature (PE)


其中 DWORD Signature; 就是PE的头地址

IMAGE_FILE_HEADER FileHeader;为文件头结构体

IMAGE_OPTIONAL_HEADER32 OptionalHeader;为扩展头结构体

文件头结构体

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;   2H 
    WORD    NumberOfSections;  4H 
    DWORD   TimeDateStamp;    8H
    DWORD   PointerToSymbolTable;  12H
    DWORD   NumberOfSymbols;	10H
    WORD    SizeOfOptionalHeader;	12H 
    WORD    Characteristics;		14H  
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
004000B4    4C01        DW 014C              ; Machine = IMAGE_FILE_MACHINE_I386    
004000B6    0300        DW 0003              ;  NumberOfSections = 0x3			
004000B8    FD002465    DD 652400FD          ;  TimeDateStamp = 0x652400FD
004000BC    00000000    DD 00000000          ;  PointerToSymbolTable = 0x0
004000C0    00000000    DD 00000000          ;  NumberOfSymbols = 0x0
004000C4    E000        DW 00E0              ;  SizeOfOptionalHeader = E0 (224.)		
004000C6    0F01        DW 010F              ;  Characteristics = EXECUTABLE_IMAGE|32BIT_MACHINE|RELOCS_STRIPPED|LINE_NUMS_STRIPPED|LOCAL_SYMS_STRIPPED

扩展头结构体
扩展头结构体32位和64位的还不一样这里暂时介绍32位的结构体(64位的多16个字节并且还有点小小的区别)

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;			
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;		
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;  程序执行入口RVA地址 必须
    DWORD   BaseOfCode;   
    DWORD   BaseOfData;	
    DWORD   ImageBase;	内存中基址
    DWORD   SectionAlignment;   
    DWORD   FileAlignment;   	
    WORD    MajorOperatingSystemVersion; 
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion; 可运行的操作系统的主版本号  需要
    WORD    MinorImageVersion;     
    WORD    MajorSubsystemVersion; 
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;  
    DWORD   SizeOfImage;   ;装入内存中的总大小  需要
    DWORD   SizeOfHeaders;   所有头+区块表的尺寸的大小 需要
    DWORD   CheckSum;
    WORD    Subsystem;    需要  
    WORD    DllCharacteristics;  
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;堆
    DWORD   SizeOfHeapCommit;堆
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;   需要 64位必须要16个全要,32位的序号2个也上
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;  60H 

004000C8    0B01             DW 010B              ; MagicNumber = PE32 ROM映像文件:(0107h)
004000CA    05               DB 05                ;  MajorLinkerVersion = 0x5
004000CB    0C               DB 0C                ;  MinorLinkerVersion = C (12.)
004000CC    00020000         DD 00000200          ;  SizeOfCode = 200 (512.)  		
004000D0    00040000         DD 00000400          ;  SizeOfInitializedData = 400 (1024.)	12h
004000D4    00000000         DD 00000000          ;  SizeOfUninitializedData = 0x0 	10h
004000D8    00100000         DD 00001000          ;  AddressOfEntryPoint = 0x1000	14
004000DC    00100000         DD 00001000          ;  BaseOfCode = 0x1000
004000E0    00200000         DD 00002000          ;  BaseOfData = 0x2000
004000E4    00004000         DD 00400000          ; ImageBase = 0x400000
004000E8    00100000         DD 00001000          ;  SectionAlignment = 0x1000
004000EC    00020000         DD 00000200          ;  FileAlignment = 0x200
004000F0    0400             DW 0004              ;  MajorOSVersion = 0x4
004000F2    0000             DW 0000              ;  MinorOSVersion = 0x0
004000F4    0000             DW 0000              ;  MajorImageVersion = 0x0
004000F6    0000             DW 0000              ;  MinorImageVersion = 0x0
004000F8    0400             DW 0004              ;  MajorSubsystemVersion = 0x4
004000FA    0000             DW 0000              ;  MinorSubsystemVersion = 0x0
004000FC    00000000         DD 00000000          ;  Reserved
00400100    00400000         DD 00004000          ;  SizeOfImage = 4000 (16384.)
00400104    00040000         DD 00000400          ;  SizeOfHeaders = 400 (1024.)
00400108    00000000         DD 00000000          ;  CheckSum = 0x0
0040010C    0200             DW 0002              ;  Subsystem = IMAGE_SUBSYSTEM_WINDOWS_GUI
0040010E    0000             DW 0000              ;  DLLCharacteristics = 0x0
00400110    00001000         DD 00100000          ;  SizeOfStackReserve = 100000 (1048576.)
00400114    00100000         DD 00001000          ;  SizeOfStackCommit = 1000 (4096.)
00400118    00001000         DD 00100000          ;  SizeOfHeapReserve = 100000 (1048576.)
0040011C    00100000         DD 00001000          ;  SizeOfHeapCommit = 1000 (4096.)
00400120    00000000         DD 00000000          ;  LoaderFlags = 0x0
00400124    10000000         DD 00000010          ;  NumberOfRvaAndSizes = 10 (16.)(数据目录项,这里32位可可以等于2,但64位不可以)

以上就是PE节表之前的内容,DOS头+PE头的全部内容

下面看节表的内容

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

004001A8    2E 74 65 78 74 0>ASCII ".text"        ; SECTION    (可以改的)
004001B0    24000000         DD 00000024          ;  VirtualSize = 24 (36.);内存中大小(内存对齐前的长度)可以改的
004001B4    00100000         DD 00001000          ;  VirtualAddress = 0x1000;内存中偏移(必须要)
004001B8    00020000         DD 00000200          ;  SizeOfRawData = 200 (512.)文件中大小(文件对齐后的长度)这个不能改为0即可以
004001BC    00040000         DD 00000400          ;  PointerToRawData = 0x400;文件中大小(文件对齐后的长度)必须要
004001C0    00000000         DD 00000000          ;  PointerToRelocations = 0x0
004001C4    00000000         DD 00000000          ;  PointerToLineNumbers = 0x0
004001C8    0000             DW 0000              ;  NumberOfRelocations = 0x0
004001CA    0000             DW 0000              ;  NumberOfLineNumbers = 0x0
004001CC    20000060         DD 60000020          ;  Characteristics = CODE|EXECUTE|READ
004001D0    2E 72 64 61 74 6>ASCII ".rdata"       ; SECTION
004001D8    92000000         DD 00000092          ;  VirtualSize = 92 (146.)
004001DC    00200000         DD 00002000          ;  VirtualAddress = 0x2000
004001E0    00020000         DD 00000200          ;  SizeOfRawData = 200 (512.)
004001E4    00060000         DD 00000600          ;  PointerToRawData = 0x600
004001E8    00000000         DD 00000000          ;  PointerToRelocations = 0x0
004001EC    00000000         DD 00000000          ;  PointerToLineNumbers = 0x0
004001F0    0000             DW 0000              ;  NumberOfRelocations = 0x0
004001F2    0000             DW 0000              ;  NumberOfLineNumbers = 0x0
004001F4    40000040         DD 40000040          ;  Characteristics = INITIALIZED_DATA|READ
004001F8    2E 64 61 74 61 0>ASCII ".data"        ; SECTION
00400200    0B000000         DD 0000000B          ;  VirtualSize = B (11.)
00400204    00300000         DD 00003000          ;  VirtualAddress = 0x3000
00400208    00020000         DD 00000200          ;  SizeOfRawData = 200 (512.)
0040020C    00080000         DD 00000800          ;  PointerToRawData = 0x800
00400210    00000000         DD 00000000          ;  PointerToRelocations = 0x0
00400214    00000000         DD 00000000          ;  PointerToLineNumbers = 0x0
00400218    0000             DW 0000              ;  NumberOfRelocations = 0x0
0040021A    0000             DW 0000              ;  NumberOfLineNumbers = 0x0
0040021C    400000C0         DD C0000040          ;  Characteristics = INITIALIZED_DATA|READ|WRITE

暂时只介绍到这里不过现在只是粗略的介绍了一下还没仔细分析这里面的逻辑

[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
南京邮电大学恶意代码——实验:Pe病毒编写
weixin_42559271的博客
04-25 1933
前言 修改PE文件一般有两种思路。 第一种是通过编程语言来修改,这种方式的Visual Studio的Windows.h头文件里面有完全的PE相关管理结构的完整定义,通过编程来修改比较烦,但是优点是可以自动化进行,并且不需要去找相关的工具; 第二种方法是通过一些二进制工具来进行修改,这种方式是交互式的,能够直观的感受到整个过程,缺点是需要熟悉相关工具的UI使用方式,而且修改大量方式的时候市面上的这些工具一般都不提供编程接口; 因为本次实验仅仅是一个探索,所以就采用第二种方式。 需要的工具 本次实验用到的
HelloWorld.exe
06-04
堆栈图所需的文件
C语言hello world.exe
06-22
C语言hello world.exe
【学习笔记】《逆向工程核心原理》01-逆向分析Hello World程序
最新发布
qq_55349490的博客
03-11 1839
即使程序运行时只占用100内存,它被加载到内存时仍然会分到1000左右的内存,这些内存一部分被程序占用,其余部分为空余区域,全部被填充为NULL。在内存的某个区域新建一个长字符串,并把新字符串的首地址传递给MessageBoxWO函数,可以认为传递的是完全不同的字符串地址。认真观察一个程序的功能后,我们能够大致推测出它在运行时调用的Win32API,若能进一步查找到调用的Win32API,所以,如果你的运气足够好,使用更长的字符串覆盖原字符串时,即使原字符串后面的部分空间被侵占,程序仍然能正常运行。
手写PE文件(hello world)
qq_45835867的博客
02-17 2493
手写PE文件(hello world) 文章目录手写PE文件(hello world)工具winhex平台win10注意事项PE结构过程DOS头(共0x40个字节)DOS程序(无固定字节长度)PE标志(共4个字节)PE文件头(共0x14个字节)PE可选头(共0xE0个字节)段头(共0x28个字节)text段rdata段data段参考: 工具 winhex 平台 win10 注意事项 **1、**文件读取中以字节读取文件,但是存储是以各种类型来使用变量 **例如:**word型为两个字节,读取时时先读取低位后
helloworldii.exe
07-13
是之前编译的结果!
helloworld
06-06
这是一个简单的helloworld项目。这是一个简单的helloworld项目。这是一个简单的helloworld项目。
HelloWorld.c到HelloWorld.exe
2302_80657849的博客
03-28 1066
我们一种都在学习如何写代码,很少研究过我们写的代码,在我们运行时都产生了哪些变化,是如何产生这些变化的,代码又是如何正确的运行起来的。今天,我们就以windows11的操作系统,VS2022的编译环境,简单的介绍一下一个C语言程序是如何跑起来的。和大家简单的介绍一下,预处理+编译+汇编+连接+运行 ,介绍从HelloWorld.c到HelloWorld.exe的逻辑。
手写可执行程序
nichonas的专栏
05-11 677
【软件名称】: Hello World!【软件大小】: 2.5K【编写语言】: 机器码【使用工具】: VC++ 6.0【操作平台】: Winxp--------------------------------------------------------------------------------【详细过程】              最近,学习PE结构的知识。之后深有感触,随即便萌发了不依
cef在android中使用_Android程序中,内嵌ELF可执行文件-- Android开发C语言混合编程总结...
weixin_39628063的博客
12-19 904
前言都知道的,Android基于Linux系统,然后覆盖了一层由Java虚拟机为核心的壳系统。跟一般常见的Linux+Java系统不同的,是其中有对硬件驱动进行支持,以避开GPL开源协议限制的HAL硬件抽象层。大多数时候,我们使用JVM语言进行编程,比如传统的Java或者新贵Kotlin。碰到对速度比较敏感的项目,比如游戏,比如视频播放。我们就会用到Android的JNI技术,使用NDK的支持,利...
helloworld文件执行过程
weixin_44458954的博客
07-07 299
helloworld可执行文件的执行过程
2.2 调试 HelloWorld.exe 程序
bangren3304的博客
12-13 232
转载于:https://www.cnblogs.com/houhaibushihai/p/10114146.html
Windows 的 PE 文件结构简介
机器学习与神经网络
09-21 1434
Windows 的 PE 文件头结构包括三大部分:DOS 文件头、NT 文件头以及 Section 表(节表),在 DOS 文件头后面有一小段 DOS 程序,被称为 DOS stub 程序。 DOS stub 程序是运行在 DOS 下面的 16 位程序,目的是指出:当 wind
QT-windows开发环境的搭建和helloworld
10-27 453
转载地址:http://www.qter.org/forum.php?mod=viewthread&tid=5&extra=page%3D1 目录 一、Qt 及 Qt Creator的下载和安装 二、创建hello world程序 三、发布程序 四、Qt工具介绍 五、附录...
用Winhex软件解析PE文件
考拉研究僧的博客
11-12 6238
打开user32.dll3C H 处为PE头位置:0x F8 DOS头部分: 转到0x F8处PE文件标志(4H字节):0x 00 00 45 50映像文件头(14H字节):NumberOfSections : 0x 00 06 –> 6 SizeOfOptionalHeader:0x 00 E0 –> 224可选映像头: 部分 SizeOfCode(可执行代码长度): 0x 00 08
手工打造可执行程序
zfz1214的专栏
08-18 1319
原文链 接: http://bbs.pediy.com/showthread.php?t=122191   三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直到三年后的今天我终于完成了它。现在把它分享给大家,希望大家批评指正。     我们这里将不依赖任何编译器,仅仅
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值