PE结构- PE头部结构与节表

之前的笔记搬运

0x1 Dos头

在可执行文件中, 第一个结构就是DOS头

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
IMAGE_DOS_HEADER STRUCT 
{ 
    +0h	WORD	e_magic 	   //	Magic DOS signature MZ(4Dh 5Ah)     DOS可执行文件标记, 可用作于可执行文件检验
    +2h  	WORD 	e_cblp	  	  
    +4h		WORD 	e_cp 	   //	Pages in file 					
    +6h		WORD 	e_crlc 	   //	Relocations 					
    +8h		WORD 	e_cparhdr   //	Size of header in paragraphs 		
    +0ah	WORD 	e_minalloc   //	Minimun extra paragraphs needs 		
    +0ch	WORD 	e_maxalloc  //	Maximun extra paragraphs needs 	
    +0eh	WORD 	e_ss            //	intial(relative)SS value        DOS代码的初始化堆栈SS 
    +10h	WORD 	e_sp 	    //	intial SP value                       DOS代码的初始化堆栈指针SP 
    +12h	WORD 	e_csum 	    //	Checksum 
    +14h	WORD 	e_ip 	    // intial IP value 		              DOS代码的初始化指令入口[指针IP] 
    +16h	WORD 	e_cs 	    //	intial(relative)CS value         DOS代码的初始堆栈入口 
    +18h	WORD 	e_lfarlc 	    //	File Address of relocation table 
    +1ah	WORD 	e_ovno         // Overlay number 
    +1ch	WORD 	e_res[4] 	     // Reserved words 
    +24h	WORD 	e_oemid 	     // OEM identifier(for e_oeminfo) 
    +26h	WORD  e_oeminfo   // OEM information;e_oemid specific  
    +29h	WORD 	 e_res2[10]   // Reserved words 
    +3ch	DWORD   e_lfanew     //  Offset to start of PE header  指向PE文件头的偏移 
} IMAGE_DOS_HEADER ENDS

e9f3c455d957dc94e0f7fc012fa4a464.png

图中蓝框圈住的就是Dos头, 因为历史遗留的问题, 是在DOS系统下运行的代码和信息
这个结构里只有e_magice_lfanew是必须的, 就也是红框圈住

0x2 PE文件头

紧跟着DOS头的就是PE文件头

1
2
3
4
5
6
7
8
9
IMAGE_NT_HEADERS STRUCT {
    +0h       DWORDSignature  //PE00字段 十六进制是00004550可用作于可执行文件检验

    +4h       IMAGE_FILE_HEADER FileHeader // 映象文件头, 详情见0x3

    +18h      IMAGE_OPTIONAL_HEADER32OptionalHeader //镜像选择头 详情见0x4

  } 
IMAGE_NT_HEADERS ENDS

0x3 映象文件头

1
2
3
4
5
6
7
8
9
10
typedef 	struct _IMAGE_FILE_HEADER 
{
    +04h	WORD  		Machine;              // 运行平台 
    +06h  	WORD  		NumberOfSections;     // 文件的区块数目
    +08h	DWORD 		TimeDateStamp;        // 文件创建日期和时间
    +0Ch  	DWORD 		PointerToSymbolTable;  // 指向符号表(主要用于调试)
    +10h 	DWORD 		NumberOfSymbols;      // 符号表中符号个数(同上)
    +14h  	WORD  		SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小
    +16h  	WORD  		Characteristics;      // 文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

dba2534d6ee181f0629a62f14a55d440.png

Machine: Intel平台一般是14C

NumberOfSections : 记录此程序节的数量

SizeOfOptionalHeader: 记录选择头结构的大小, 程序运行时依靠此大小来访问节表,
一般大小为E0, 而OD不是读取此值而是写的死值E0来访问节表,
所以可以通过更改此值来达到反调试的效果

Characteristics: 文件属性, 一般是用位来记录, 或运算后得到的值

常用的属性位:

1
2
3
4
5
6
7
0x0001: 文件没有重定位
0x0002: 文件可执行
0x0004: 行号信息被移去
0x0008: 符号信息被移去
0x0100: 目标平台是32位
0x1000: 系统文件
0x2000: 文件是DLL文件

0x4 选择头结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
typedef struct _IMAGE_OPTIONAL_HEADER
{
	 +18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件*(010Bh)
	 +1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号
	 +1Bh BYTE MinorLinkerVersion; // 链接程序的次版本号
	 +1Ch DWORD SizeOfCode; // 所有含代码的节的总大小*可被填充
	 +20h DWORD SizeOfInitializedData; // 所有含已初始化数据的节的总大小*可被填充
	 +24h DWORD SizeOfUninitializedData; // 所有含未初始化数据的节的大小*可被填充
	 +28h DWORD AddressOfEntryPoint; // 程序执行入口RVA*
	 +2Ch DWORD BaseOfCode; // 代码的区块的起始RVA* 可被填充
	 +30h DWORD BaseOfData; // 数据的区块的起始RVA*可被填充
	 //
	 // NT additional fields. 以下是属于NT结构增加的领域。
	 //
	 +34h DWORD ImageBase; // 程序的首选装载地址*
	 +38h DWORD SectionAlignment; // 内存中的区块的对齐大小*
	 +3Ch DWORD FileAlignment; // 文件中的区块的对齐大小*
	 +40h WORD MajorOperatingSystemVersion; // 要求操作系统最低版本号的主版本号
	 +42h WORD MinorOperatingSystemVersion; // 要求操作系统最低版本号的副版本号
	 +44h WORD MajorImageVersion; // 可运行于操作系统的主版本号
	 +46h WORD MinorImageVersion; // 可运行于操作系统的次版本号
	 +48h WORD MajorSubsystemVersion; // 要求最低子系统版本的主版本号 高两字节不可以有数据, 否则PE无效
	 +4Ah WORD MinorSubsystemVersion; // 要求最低子系统版本的次版本号
	 +4Ch DWORD Win32VersionValue; // 莫须有字段,不被病毒利用的话一般为0 不能太大, 比如FFFFFFFFF
	 +50h DWORD SizeOfImage; // 映像装入内存后的总尺寸
	 +54h DWORD SizeOfHeaders; // 所有头 + 区块表的尺寸大小
	 +58h DWORD CheckSum; // 映像的校检和
	 +5Ch WORD Subsystem; // 可执行文件期望的子系统
	 +5Eh WORD DllCharacteristics; // DllMain()函数何时被调用,默认为 0
	 +60h DWORD SizeOfStackReserve; // 初始化时的栈大小
	 +64h DWORD SizeOfStackCommit; // 初始化时实际提交的栈大小
	 +68h DWORD SizeOfHeapReserve; // 初始化时保留的堆大小
	 +6Ch DWORD SizeOfHeapCommit; // 初始化时实际提交的堆大小
	 +70h DWORD LoaderFlags; // 与调试有关,默认为 0
	 +74h DWORD NumberOfRvaAndSizes; // 下边数据目录的项数,这个字段自Windows NT 发布以来一直是16
	 +78h IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
 // 数据目录表
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Magic: 标志位表示文件是ROM(0x0107), 32位程序(0x010B), 还是64位程序(0x020B)

SizeOfCode: 所有含代码的节的总大小,
但是OD在分析代码时会申请这个值大小的空间用作分析代码的空间, 修改这个值很大时,
OD在分析代码时会很慢甚至卡死, 达到干扰和反调试目的

SizeOfInitializedData: (不一定正确)所有含已初始化数据的节的总大小,
就是在编译时所构成的块大小

SizeOfUninitializedData: (不一定正确)所有含未初始化数据的节的总大小

AddressOfEntryPoint: 程序执行入口(RVA)

BaseOfCode: 代码段起始地址(RVA)

BaseOfData: 代码段的起始地址(RVA)

ImageBase: 程序装入内存的首选地址

SectionAlignment: 内存中的区块的对齐大小

FileAlignment: 文件中的区块的对齐大小

SizeOfImage: 映像装入内存后的总尺寸, 这里表示所有区段的大小, 必须如实填写,
不符合大小无法运行

SizeOfHeaders: 所有头 + 区块表的尺寸大小, 也就是到第一个节前的大小

0x5 数据目录

1
2
3
4
typedef struct _IMAGE_DATA_DIRECTORY {
  DWORD VirtualAddress;
  DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

黑色标记为常用项, 其余不用关心:

Offset (PE/PE32+) Description
96/112 Export table address and size
104/120 Import table address and size
112/128 Resource table address and size
120/136 Exception table address and size
128/144 Certificate table address and size
136/152 Base relocation table address and size
144/160 Debugging information starting address and size
152/168 Architecture-specific data address and size
160/176 Global pointer register relative virtual address
168/184 Thread local storage (TLS) table address and size
176/192 Load configuration table address and size
184/200 Bound import table address and size
192/208 Import address table address and size
200/216 Delay import descriptor address and size
208/224 The CLR header address and size
216/232 Reserved

0x6 节表

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
typedef struct _IMAGE_SECTION_HEADER
{
	 +0h BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text”
	 //IMAGE_SIZEOF_SHORT_NAME=8
	 union
	+8h {
		 DWORD PhysicalAddress; // 物理地址
		 DWORD VirtualSize; // 真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般是取后一个
	 } Misc;
	 +ch DWORD VirtualAddress; // 节区的 RVA 地址
	 +10h DWORD SizeOfRawData; // 在文件中对齐后的尺寸
	 +14h DWORD PointerToRawData; // 在文件中的偏移量
	 +18h DWORD PointerToRelocations; // 在OBJ文件中使用,重定位的偏移
	 +1ch DWORD PointerToLinenumbers; // 行号表的偏移(供调试使用地)
	 +1eh WORD NumberOfRelocations; // 在OBJ文件中使用,重定位项数目
	 +20h WORD NumberOfLinenumbers; // 行号表中行号的数目
	 +24h DWORD Characteristics; // 节属性如可读,可写,可执行等
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

Name:区块名。这是一个由8位的char, 说明信息, 可以任意更改

Virtual
Size:该区块表对应的区块的大小,这是区块的数据在没有进行对齐处理前的实际大小。

Virtual Address:该区块装载到内存中的RVA 地址。这个地址是按照内存页来对齐的

SizeOfRawData:该区块在磁盘中所占的大小。

PointerToRawData:该区块在磁盘中的偏移。这个数值是从文件头开始算起的偏移量哦。

PointerToRelocations:这哥们在EXE文件中没有意义,在OBJ
文件中,表示本区块重定位信息的偏移值。(在OBJ
文件中如果不是零,它会指向一个IMAGE_RELOCATION 结构的数组)

PointerToLinenumbers:行号表在文件中的偏移值,文件的调试信息,于我们没用,鸡肋。

NumberOfRelocations:这哥们在EXE文件中也没有意义,在OBJ
文件中,是本区块在重定位表中的重定位数目来着。

NumberOfLinenumbers:该区块在行号表中的行号数目,鸡肋。

Characteristics:该区块的属性。该字段是按位来指出区块的属性(如代码/数据/可读/可写等)的标志。

感谢大佬

微信

扫一扫,分享到微信

微信分享二维码
载入天数...载入时分秒... || 你是本博第 位访客 || 历经 次回眸才与你相遇

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个拼命生存, 却又想要追求自由的人儿;