零、了解PE头

PE(Portable Execute)文件是Windows下可执行文件的总称，常见的有DLL，EXE，OCX，SYS等，事实上，一个文件是否是PE文件与其扩展名无关，PE文件可以是任何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢？我们调用LoadLibrary传递了一个文件名，系统是如何判断这个文件是一个合法的动态库呢？这就涉及到PE文件结构了。

PE文件的结构一般来说如右图所示：从起始位置开始依次是DOS头，NT头，节表以及具体的节。

一、DOS头及实例

上述为IMAGE_DOS_HEADER结构结构体，最重要的参数只有两个—— e_magic， e_lfanew。 e_magic是MZ标志位，为0x5A4D， e_lfanew放着PE文件开头的位置0x000000E8(0x3c-0x3f)，根据e_lfanew可以跳过IMAGE_DOS_HEADER来到PE头部

二、PE头及实例

顺着DOS头中的e_lfanew，我们很容易可以找到NT头，这个才是32位PE文件中最有用的头，定义如下:

typedef struct _IMAGE_NT_HEADERS {

DWORD Signature;// MZ 头(0x00004550)

IMAGE_FILE_HEADER FileHeader;// PE文件头

IMAGE_OPTIONAL_HEADER32 OptionalHeader;// PE可选头

} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature：类似于DOS头中的e_magic，其高16位是0，低16是0x4550，用字符表示是'PE‘。

IMAGE_NT_HEADERS中第二个元素为IMAGE_FILE_HEADER FileHeader，标明PE文件的一些属性

IMAGE_NT_HEADERS中第三个元素为 IMAGE_OPTIONAL_HEADER32 OptionalHeader，用于为加载器提供加载信息，注意OptionalHeader的大小并不固定，位置在0xE8(e_lfanew)+0x4(size(Signature))+0x14(size(IMAGE_FILE_HEADER))=0xd0处，其大小由FileHeader中的SizeOfOptionalHeader字段来决定。

typedef struct _IMAGE_FILE_HEADER {

WORD Machine;

WORD NumberOfSections;

DWORD TimeDateStamp;

DWORD PointerToSymbolTable;

DWORD NumberOfSymbols;

WORD SizeOfOptionalHeader;

WORD Characteristics;

} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine指明PE文件支持的CPU类型，0x014c表明是Intel i386的CPU

NumberOfSections指明PE文件包含的节区数量，0x0004表明有4块

TimeDateStamp字段指明文件的创建时间，为1970年1月1日以来用格林威治时间计算的秒数

SizeOfOptionalHeader字段，指明在IMAGE_NT_HEADERS中紧跟在FileHeader后的OptionalHeader的大小，对于32位的PE文件而言，这个值的大小通常为0x00E0；

Characteristics字段，表明文件的属性。如果Characteristics & 0x2000 = 0x2000，那么表明这是一个DLL文件

IMAGE_FILE_EXECUTABLE_IMAGE 0x0002 The file is executable

IMAGE_NT_HEADERS中第三个元素为 IMAGE_OPTIONAL_HEADER32 OptionalHeader，用于为加载器提供加载信息，注意OptionalHeader的大小并不固定，位置在0x000000E8(e_lfanew)+0x4(size(Signature))+0x14(size(IMAGE_FILE_HEADER))=0xd0处，其大小由FileHeader中的SizeOfOptionalHeader字段来决定。

Magic：表示可选头的类型。

MajorLinkerVersion和MinorLinkerVersion：链接器的版本号。

SizeOfCode：代码段的长度，如果有多个代码段，则是代码段长度的总和。

SizeOfInitializedData：初始化的数据长度。

SizeOfUninitializedData：未初始化的数据长度。

AddressOfEntryPoint：程序入口的RVA，对于exe这个地址可以理解为WinMain的RVA。对于DLL，这个地址可以理解为DllMain的RVA，如果是驱动程序，可以理解为DriverEntry的RVA。当然，实际上入口点并非是WinMain，DllMain和DriverEntry，在这些函数之前还有一系列初始化要完成，当然，这些不是本文的重点。

BaseOfCode：代码段起始地址的RVA。

BaseOfData：数据段起始地址的RVA。

ImageBase：映象(加载到内存中的PE文件)的基地址，这个基地址是建议，对于DLL来说，如果无法加载到这个地址，系统会自动为其选择地址。

SectionAlignment：节对齐，PE中的节被加载到内存时会按照这个域指定的值来对齐，比如这个值是0x1000，那么每个节的起始地址的低12位都为0。

FileAlignment：节在文件中按此值对齐，SectionAlignment必须大于或等于FileAlignment。

MajorOperatingSystemVersion、MinorOperatingSystemVersion：所需操作系统的版本号，随着操作系统版本越来越多，这个好像不是那么重要了。

MajorImageVersion、MinorImageVersion：映象的版本号，这个是开发者自己指定的，由连接器填写。

MajorSubsystemVersion、MinorSubsystemVersion：所需子系统版本号。

Win32VersionValue：保留，必须为0。

SizeOfImage：映象的大小，PE文件加载到内存中空间是连续的，这个值指定占用虚拟空间的大小。

SizeOfHeaders：所有文件头(包括节表)的大小，这个值是以FileAlignment对齐的。

CheckSum：映象文件的校验和。

Subsystem：运行该PE文件所需的子系统

DllCharacteristics：DLL的文件属性，只对DLL文件有效，可以是下面定义中某些的组合：

SizeOfStackReserve：运行时为每个线程栈保留内存的大小。

SizeOfStackCommit：运行时每个线程栈初始占用内存大小。

SizeOfHeapReserve：运行时为进程堆保留内存大小。

SizeOfHeapCommit：运行时进程堆初始占用内存大小。

LoaderFlags：保留，必须为0。

NumberOfRvaAndSizes：数据目录的项数，即下面这个数组的项数。

DataDirectory：数据目录，这是一个数组，数组的项定义如下：

三、其他PE信息

IMAGE_OPTIONAL_HEADER32

其中VirtualAddress为数据块的起始RVA地址，Size为数据块的长度。数据目录表中比较重要的表项有输出表、输入表、资源表以及重定位表等。

四、简单逆向运用

OD附加调试软件exe,找到PE文件头的位置。再次偏移到AdressOfEntryPoint位置。

修改0x4000E8位置的00001000 为00001024就跳转过了第一个MessageBox弹窗