PE格式学习 | 5m10v3のBlog

type

status

date

slug

summary

📝 PE文件

PE文件的概念

PE(Protable Executable File Format)可移植的执行体文件格式

可执行文件

可执行文件(executable file)指的是可以由操作系统进行加载的文件

可执行文件格式

Windows PE(Portable Executable)文件结构(.EXE,.DLL,.SYS)

PE文件的识别

这里我使用的是WinHex拖到WinHex里面

首先我们要注意到的是，在WinHex/010editor当中，数据是小端排序的

👉

小端排序：例如0x11223344，小端排序就是 44 33 22 11

PE文件的标志

开头的0x4D5A，其实就是我们的MZ头，而我们PE文件的标志就是

(base+0x3C处去四个字节)，例如上图就是0x00000060，它指向的就是PE头，我们在地址0x00000060处得到的四个字节 0x00004550就是我们的PE头，这就是我们PE文件的标志

PE文件结构

但是这个图一开始看，我们肯定脑子就非常的混乱，因此笔者选择一个比较简单的图进行学习

其实我们把这些看成一个一个的文件夹

例如在上图中有三个大的文件夹:PE文件头，Section，Debug Information

而PE文件头里面也包含Dos头部，IMAGE_NT_HEADERS ，Section Table…

我们可以用PEtools查看petools

我们可以选择”O”选项，然后会看到IMAGE_OPTIONAL_HEADER部分，这里我先了解到

👉

程序的入口点: ImageBase+EntryPoint

我们可以用x96dbg看一下，是不是一样

如果初始的话就是系统断点，我们需设置入口断点

设置完以后再运行就是断到入口点

HEADER-IMAGE_DOS_HEADER

IMAGE_DOS_HEADER结构是面对16位程序的，现在大部分程序都是32或者64位的。

32或64位的程序仅使用其中两个成员。

e_magic: 该成员为MZ标记(DOS系统开发人员中一个人的名字),用于判断是否为可执行文件，如果此值不是0x5a4d程序将不会正常启动。

e_lfanew: 该成员中存储的值为IMAGE_NT_HEADERS结构的偏移，加上文件头来定位IMAGE_NT_HEADERS结构。

IMAGE_DOS_HEADER结构之后的IMAGE_NT_HEADERS 结构之前的数据为垃圾值编译器填充称为DOS_SUB,可随意修改，不会影响程序正常运行。

修改后的DOS_SUB

还是可以正常运行

读取IMAGE_DOS_HEADER

Main.c

Tools.c

Tools.h

IMAGE_NT_HEADER

通过IMAGE_DOS_HEADER中成员 e_lfanew+文件起始地址可以定位IMAGE_NT_HEADER结构

IMAGE_NT_HEADER结构定义如下:

Signature:成员为PE文件标识,该值必须为0x00004550(’P’’E’’0’’0’)否则程序无法正常启动

FileHeader:成员指向了标准PE头IMAGE_FILE_HEADER

OptionalHeader:成员指向了扩展PE头IMAGE_OPTIONAL_HEADER

IMAGE_FILE_HEADER

标准PE头位于IMAGE_NT_HEADER中,紧挨着PE标记。(IMAGE_NT_HEADER+4)

IMAGE_FILE_HEADER大小为20字节。(0x14)

IMAGE_FILE_HEADER结构如下:

Machine:该成员用来指定PE文件运行的平台.定义如下:

NumberOfSections:该成员表示了PE文件中节的总数(虽然是2字节，但是节最大值不能超过96)

TimeDateStamp:该成员为时间戳,编译器创建此文件时的时间戳.32位存放的值是自1970年1月1日00:00时开始到创建时间为止的总秒数.该数值可以随意修改而不会影响程序运行。

SizeOfOptionalHeader:该成员制定了IMAGE_OPTIONAL_HEADER结构的大小即拓展PE头大小,32位PE文件扩展PE头大小默认为0xE0,64位PE文件扩展PE头大小默认为0xF0。

Characteristics:该成员为PE文件属性标志字段(是否可执行,是否为DLL等等)此值每一位都代表不同含义，如下图所示:

读取IMAGE_FILE_HEADER

IMAGE_OPTIONAL_HEADER

IMAGE_OPTIONAL_HEADER结构定义:

Magic:魔术字，表示了PE文件类型

常量符号	常量值	含义
IMAGE_NT_OPTIONAL_HDR32_MAGIC	0x10b	PE32
IMAGE_NT_OPTIONAL_HDR64_MAGIC	0x20b	PE64

AddressOfEntryPoint:表示了程序入口地址，该值是一个RVA，加上Imagebase为程序在内存中的入口地址（OEP）。如果在一个可执行文件中附加了一段自己的代码，并且想让这段代码首先被执行，需要修改这里的值指向自己的代码位置。对于普通程序来说它就是启动地址；对于设备驱动程序来说它是初始化函数的地址入口点对于DLL来说是可选的，如果不存在入口点，这个字段必须设置为0

ImageBase:指出PE文件的优先载入内存中的起始地址，如果这个地址已经被占用，操作系统会重新分配（DLL会出现这种情况），这时就需要重定位表提供的数据来修复，EXE首先加载不会出现这种情况，大部分EXEimagebase默认为0x400000。此值可随便修改，不能超出虚拟地址空间以及必须是64KB的整数倍，并修复重定位数据即可正常运行。

SectionAlignment:内存中节的对齐粒度，该字段指定了节被装入内存后的对齐单位.Win32的页面大小是4KB，所以Win32PE文件中节的内存对齐粒度般都为4KB大小，十六进制表示为10ooh.SectionAlignment必须大于或等于FileAlignment.当它小于系统页面大小时，必须保证SectionAlignment与FileAlignment相等

FileAlignment:文件中节的对齐粒度，Win32PE文件中节的文件对齐粒度一般都为200h，Windows会选择使用512字节的大小（一个物理扇区的大小）.

SizeOfImage:表示内存中整个PE文件的映射尺寸，必须是SectionAlignment的整数倍.(该值可以比实际的值大，但不能比它小).

基地址(Imagebase)

虚拟内存地址(VA - Virtual Address) = 基地址(Imagebase) + 相对虚拟基址(RVA)

相对虚拟地址(RVA - Relative Virtual Address) = VA - 基地址(Imagebase)

文件偏移地址(FOA - File offset Address)

读取IMAGE_OPTIONAL_HEADER

IMAGE_SECTION_HEADER

每个节表项记录了PE中与某个特定的节有关的信息，如节的属性,节的大小,节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义

通过WinHex定位第一个节表:

Name:节表名称.大小8字节.一般情况下是以”\0”结尾的ASCII码字符串.如果不是以“\0”结尾,系统会截取8个字节的长度进行处理.内容可自定义.

常见样式

.data	初始化的数据
.idata	导入表
.rsrc	资源数据
.reloc	基地址重定位表
.edata	导出表
.tls	thread local storage,线程局部存储器
.rdata	存放调试目录和说明字符串