PE文件格式详解(二)
0x00 前言
上一篇讲到了PE文件头的中IMAGE_FILE_HEADER结构的第二个结构,今天从IMAGE_FILE_HEADER中第三个结构sizeOfOptionalHeader讲起。这个字段的结构名也叫做IMAGE_OPTIONAL_HEDAER讲起。
0x01 IMAGE_OPTIONAL_HEADER概述
其实这个结构是IMAGE_FILE_HEADER结构的补充。这两个结构合起来才能对整个PE文件头进行描述。这个结构异常复杂,但真正我们用得到的其实不多,下面来看看它的各个字段情况,如下图(左边的16位字符表示相对于文件头的偏移量):
ypedef struct _IMAGE_OPTIONAL_HEADER
{
//
// Standard fields.
//
+18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh)
+1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号
+1Bh BYTE MinorLinkerVersion; // 链接程序的次版本号
+1Ch DWORD SizeOfCode; // 所有含代码的节的总大小
+20h DWORD SizeOfInitializedData; // 所有含已初始化数据的节的总大小
+24h DWORD SizeOfUninitializedData; // 所有含未初始化数据的节的大小
+28h DWORD AddressOfEntryPoint; // 程序执行入口RVA
+2Ch DWORD BaseOfCode; // 代码的区块的起始RVA
+30h DWORD BaseOfData; // 数据的区块的起始RVA
//
// NT additional fields. 以下是属于NT结构增加的领域。
//
+34h DWORD ImageBase; // 程序的首选装载地址
+38h DWORD SectionAlignment; // 内存中的区块的对齐大小
+3Ch DWORD FileAlignment; // 文件中的区块的对齐大小
+40h WORD MajorOperatingSystemVersion; // 要求操作系统最低版本号的主版本号
+42h WORD MinorOperatingSystemVersion; // 要求操作系统最低版本号的副版本号
+44h WORD MajorImageVersion; // 可运行于操作系统的主版本号
+46h WORD MinorImageVersion; // 可运行于操作系统的次版本号
+48h WORD MajorSubsystemVersion; // 要求最低子系统版本的主版本号
+4Ah WORD MinorSubsystemVersion; // 要求最低子系统版本的次版本号
+4Ch DWORD Win32VersionValue; // 莫须有字段,不被病毒利用的话一般为0
+50h DWORD SizeOfImage; // 映像装入内存后的总尺寸
+54h DWORD SizeOfHeaders; // 所有头 + 区块表的尺寸大小
+58h DWORD CheckSum; // 映像的校检和
+5Ch WORD Subsystem; // 可执行文件期望的子系统
+5Eh WORD DllCharacteristics; // DllMain()函数何时被调用,默认为 0
+60h DWORD SizeOfStackReserve; // 初始化时的栈大小
+64h DWORD SizeOfStackCommit; // 初始化时实际提交的栈大小
+68h DWORD SizeOfHeapReserve; // 初始化时保留的堆大小
+6Ch DWORD SizeOfHeapCommit; // 初始化时实际提交的堆大小
+70h DWORD LoaderFlags; // 与调试有关,默认为 0
+74h DWORD NumberOfRvaAndSizes; // 下边数据目录的项数,这个字段自Windows NT 发布以来 // 一直是16
+78h DWORD DataDirctory[16];
// 数据目录表
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
这里总共31个字段但是常用的其实就是我用红色字体标明的。
前面我们已经知道了PE文件头在40h的位置,则上面的偏移量推断IMAGE_OPTIONAL_HEADER字段的首个字段在40h+18h=58h的地方,我们还是用hexwrokshop打开那个PE文件。Ctrl+G打开转移窗口,输入58则找到了第一个字段位置,如下图:
对于这31个字段我们今天最为关心的是最后一个字段DataDirctory[16]我们一眼就能看出这是一个数组,其中的每个元素都是由一个叫做IMAGE_DATA_DIRECTORY的结构组成。这个叫做IMAGE_DATA_DIRACTORY的结构如下:
IMAGE_DATA_DIRACTORY STRUC
VritualAddress DWORD //数据块的起始RVA
Size DWORD //数据块的长度
IMAGE_DATA_DIRACTORY RENS
下面是DataDirctory[16]即数据目录表的各个成员
索 引 |
索引值在Windows.inc中的预定义值 |
对应的数据块 |
偏移量 |
0 |
IMAGE_DIRECTORY_ENTRY_EXPORT |
导出表 |
78h |
1 |
IMAGE_DIRECTORY_ENTRY_IMPORT |
导入表 |
80h |
2 |
IMAGE_DIRECTORY_ENTRY_RESOURCE |
资源 |
88h |
3 |
IMAGE_DIRECTORY_ENTRY_EXCEPTION |
异常(具体资料不详) |
90h |
4 |
IMAGE_DIRECTORY_ENTRY_SECURITY |
安全(具体资料不详) |
98h |
5 |
IMAGE_DIRECTORY_ENTRY_BASERELOC |
重定位表 |
A0h |
6 |
IMAGE_DIRECTORY_ENTRY_DEBUG |
调试信息 |
A8h |
7 |
IMAGE_DIRECTORY_ENTRY_ARCHITECTURE |
版权信息 |
B0h |
8 |
IMAGE_DIRECTORY_ENTRY_GLOBALPTR |
具体资料不详 |
B8h |
9 |
IMAGE_DIRECTORY_ENTRY_TLS |
Thread Local Storage |
C0h |
10 |
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG |
具体资料不详 |
C8h |
11 |
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT |
具体资料不详 |
D0h |
12 |
IMAGE_DIRECTORY_ENTRY_IAT |
导入函数地址表 |
D8h |
13 |
IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT |
具体资料不详 |
E0h |
14 |
IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR |
具体资料不详 |
E8h |
15 |
未使用 |
保留 |
这张表的16个成员中第一个成员IMAGE_DIRECTORY_ENTRY_EXPORT(导出表)和第二个成员IMAGE_DIRECTORY_ENTRY_EXPORT(导入表)非常重要。下面我们用另一个PE文件来查看信息。由于前面的PE.exe没有输出表,所以换一个Dumped.DLL这个有输出表的来查看结构。步骤如下:
1.用Hexwrokshop打开文件,首先找到PE文件头位置,一般都是在载入起始位+3ch处,如下图所示。
图中被选中的黑色处100h,故可知PE文件头在100h处,用快捷键跳ctrl+G跳转到该处 ,上图标黑部分即PE文件头位置。
2.找到了PE文件头的位置,接下来我们来找DataDirctory[16]各个成员位置。第一个成员输出表位于PE文件头+78h位置即100h+78h=178h处,如下图:
由于每个结构都占8个字节,所以可以知道输出表的其实位置在4000h处,大小为45h
输入表的位置位100h+80h=180h处,如下图:
由上图可知输入表的起始位置在3000h处,大小为52h。
3.其实除了这么查找,还有一种更为简单的方式。
我们要用到另一个工具LordPE。
步骤如下:
1)打开lordPE,点击PE编辑器即可查看PE文件头的许多信息,如下图:
2)再点击目录按钮即可查看数据目录表的相关信息。如下图:
由上图我们直接就能看到输出表RVA为4000h大小为45h,输入表的RVA为3000h,大小为52h。这和我们计算的查找的结果一致。
转载于:https://www.cnblogs.com/2f28/p/9816419.html
PE文件格式详解(二)相关推荐
- 【破解教程】PE文件格式详解(上)
PE文件格式详解(上) 摘要 Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式.PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specif ...
- PE 文件格式 详解 一
内容引用自:看雪<逆向工程原理>,http://www.blogfshare.com/pe-header-one.html . 如有错误,欢迎留言. 1. PE文件是windows操作系 ...
- PE文件格式详解(7)
调试信息段,.debug 调试信息位于.debug段之中,同时PE文件格式也支持单独的调试文件(通常由.DBG扩展名标识)作为一种将调试信息集中的方法.调试段包含了调试信息,但是调试目录却位于早先提到 ...
- PE文件格式详解(3)
PE可选头部 PE可执行文件中接下来的224个字节组成了PE可选头部.虽然它的名字是"可选头部",但是请确信:这个头部并非"可选",而是"必需&quo ...
- [系统安全] PE文件格式详解1
文章目录 PE文件概述 PE文件相关各类地址 MS-DOS头① DOS Stub② PE头③ Signature字段 IMAGE_FILE_HEADER结构体 IMAGE_OPTIONAL_HEADE ...
- PE文件格式详解(手工实现一个可执行文件)
[转载文章-看雪学院]非常经典 http://www.pediy.com/kssd/index.html 其实还是很多细节的地方没弄懂,保存下来,认真分析分析. [文章标题]: 手写可执行程序 [文章 ...
- PE文件格式详解(八)
0x00 前言 前面了解了PE文件的输入和输出,今天来看看另一个重要的结构--资源.资源结构是很典型的树形结构,层层查找,最终找到资源位置. 0x01 资源结构介绍 Windows程序的各种界面成为资 ...
- PE文件结构详解 --(完整版)
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p ...
- PE文件结构详解(二)可执行文件头
by evil.eagle 转载请注明出处. http://blog.csdn.net/evileagle/article/details/11903197 在PE文件结构详解(一)基本概念里,解释了 ...
最新文章
- 一些关键字表明变量属性值
- Zookeeper分布式一致性原理(七):Curator客户端
- ffmpeg之常用命令的学习
- python绘制饼状图带圆心距_matplotlib可视化饼图
- linux 本机发送邮件 smtp-server 553,Zabbix监控之邮件发送失败-smtp-server: 错误代码550与535...
- scanf输入数组_清除C / C ++中的输入缓冲区,妈妈再也不用担心我的学习
- Spring Boot 启动流程
- Linux下创建GPIO(/sys/class/gpio)
- 数据比较1.0(文本格式)
- 7-107 通讯录排序 (20 分)
- win10修改命令行默认字体
- kettle 数据库密码解密
- 100-days: twenty-five
- 8-2SpringDataJpa
- 关于win10中资源管理器卡顿的问题及解决办法
- 安装原生Win7-SP1系统
- 自注意力机制(Self-Attention)
- sublime的安装步骤、sublime的中文设置、sublime连接Linux的sftp(详细)
- react开发公众号踩坑日志
- 利用子集构造法实现NFA到DFA的转换
热门文章
- Warning: Unknown: The session id is too long
- 人工智能的搭便车指南
- 大疆 机器学习 实习生_我们的数据科学机器人实习生
- 在所有浏览器下一次性测试您的网站
- UART协议驱动设计
- 返回后的数据处理_【掘金使用技巧2】掘金返回数据中时间的处理方法
- 安卓手机浏览器排行_5g时代已来临!五月安卓手机性价比排行:两千元以上5G手机屠榜...
- eureka多了一个莫名其妙的服务_SpringCloud 服务注册与发现组件 Eureka
- python流式下载处理_流式下载 - 对象存储 OSS - 阿里云
- 生成FaceBook所需的散列哈希值