　　　　　　　　　　　　　　　　PE知识复习之PE的各种头属性解析

一丶DOS头结构体

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header WORD   e_magic;                     // Magic numberWORD   e_cblp;                      // Bytes on last page of fileWORD   e_cp;                        // Pages in fileWORD   e_crlc;                      // RelocationsWORD   e_cparhdr;                   // Size of header in paragraphsWORD   e_minalloc;                  // Minimum extra paragraphs neededWORD   e_maxalloc;                  // Maximum extra paragraphs neededWORD   e_ss;                        // Initial (relative) SS valueWORD   e_sp;                        // Initial SP valueWORD   e_csum;                      // ChecksumWORD   e_ip;                        // Initial IP valueWORD   e_cs;                        // Initial (relative) CS valueWORD   e_lfarlc;                    // File address of relocation tableWORD   e_ovno;                      // Overlay numberWORD   e_res[4];                    // Reserved wordsWORD   e_oemid;                     // OEM identifier (for e_oeminfo)WORD   e_oeminfo;                   // OEM information; e_oemid specificWORD   e_res2[10];                  // Reserved wordsLONG   e_lfanew;                    // File address of new exe header} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

DOS头是在16位程序下使用的.所以不用全部关心.只需要关心第一个跟最后一个成员记住即可.

DOS头大小是64个字节,十六进制是0x40 总结一下就是说. 4行只有第一行的前两个字节.以及最后一行的4个字节有用.

 WORD   e_magic  这个成员是操作系统检查的MZ头.

 LONG   e_lfanew 这个成员指向PE头.也很重要.如果上面两个成员更改了.那么文件就不能运行了.

二丶NT头解析

　　NT头也是我们所指的PE头. 其中NT头包括了文件头跟扩展头.

typedef struct _IMAGE_NT_HEADERS {DWORD Signature;                      PE标识IMAGE_FILE_HEADER FileHeader;         文件头IMAGE_OPTIONAL_HEADER32 OptionalHeader;扩展头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

NT头的第一个成员也很重要.是PE标识.占4个字节. DOS头的最后一个成员的偏移.就是NT头.(PE)

例如:

操作系统会检查PE头.以及MZ头.检查是否是正确的值.

而NT头中有两个子结构体.一个是文件头.一个是扩展头.这两个头比较重要.

三丶文件头解析

　　文件头挺重要的.里面存储了我们的节表个数.等等一些列信息.跟扩展头息息相关.

文件头大小是20个字节. 十六进制是0x14大小.如果按照16一行分组.那么就是一行零4个字节.是文件头总大小.

typedef struct _IMAGE_FILE_HEADER {WORD    Machine;　　　　　　　　　　　　　　　　　　　　　　　　机器型号.表名了我们CPU执行的这个PE文件是x86的还是x64的.有一系列宏标识.WORD    NumberOfSections;　　　　　　　　　　　　　　　　　　 节表个数. 此成员很重要.标识着我们的节表有多少个.如果节个数小于节的总数那么程序就不能运行.DWORD   TimeDateStamp;　　　　　　　　　　　　　　　　　　　　　文件时间.不重要.与文件属性里面的创建事件修改时间无关.编译器填写的   　DWORD   PointerToSymbolTable;                           调试器相关DWORD   NumberOfSymbols;                                 调试器相关.WORD    SizeOfOptionalHeader;                          扩展PE头大小,此成员很重要.表明了我们的扩展头总体大小.WORD    Characteristics;                                文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

machine 标识 #define IMAGE_FILE_MACHINE_IA64 0x0200 // Intel 64 代表是x64运行的程序. 其中 0x14c则带便是86运行的程序.具体可以查看宏

文件头中标红的都很重要. 一个是操作系统判断是什么系统运行的文件.一个是当前PE的节个数.一个表明了扩展头的大小.一个表明了文件属性

总结: 一行零4个字节.其中前4个字节很重要.分别表示机器型号.以及节个数. 一行零2个字节表明了扩展头大小.也很重要.

关于最后一个成员是按位来做的.具体成员如下.

四丶扩展头解析

　　扩展头的大小.在我们的文件头中标识着. 一般是E0大小.扩展头是可以更改的. E0十进制大小是224个字节.

我们看一下扩展头结构.

x86跟x64的扩展头是不一样的.我们直说一下x86

typedef struct _IMAGE_OPTIONAL_HEADER {//// Standard fields.//
WORD    Magic;　　　　　　　　　　　　　　//标志.表名了我们的PE是x86还是x64BYTE    MajorLinkerVersion;          //连接器主要版本号BYTE    MinorLinkerVersion;          //连接器次要版本号 例如 3.54 主要版本就是3.次要就是54DWORD   SizeOfCode;                  //代码段大小,以字节为单位.DWORD   SizeOfInitializedData;       //初始化数据部分的大小.DWORD   SizeOfUninitializedData;     //未知初始化数据的大小DWORD   AddressOfEntryPoint;         //OEP 程序入口点,驱动程序也是入口点.对于DLL而言.是可选的.没有入口则为0DWORD   BaseOfCode;                  //指向代码部分的指针              DWORD   BaseOfData;                  //指向数据部分开头的指针//// NT additional fields.//
DWORD   ImageBase;                  //基址.PE文件加载到内存中的基址.这个值是64k的倍数.DLL默认值是0x100000000,应用程序默认是0x00400000                                         windows CE除外.他是0x00010000DWORD   SectionAlignment;           //PE文件加载到内存中.的内存对齐.按照这个成员进行对齐DWORD   FileAlignment;              //文件对齐,PE存数据存放在文件中.按照文件对其值对其WORD    MajorOperatingSystemVersion;//所需要操作系统的主要版本号.WORD    MinorOperatingSystemVersion;//所需要操作系统的次要版本号.WORD    MajorImageVersion;          //PE主版本号WORD    MinorImageVersion;          //PE次版本号WORD    MajorSubsystemVersion;      //子系统主要版本号.WORD    MinorSubsystemVersion;      //子系统次要版本号.DWORD   Win32VersionValue;          //保留成员,必须为0DWORD   SizeOfImage;                //PE镜像大小.必须是内存对齐的倍数. sizeofImage/SectionAllignment == 0 才可以DWORD   SizeOfHeaders;               // DOS头+NT头+节表的总大小.按照文件对齐存放 sizeofHeaders / FileAlignment == 0　　 DWORD   SubSystem   　　　　　　　　　 //表名PE文件是什么程序. 1驱动程序2窗口程序3控制台程序(DLL)DWORD   CheckSum;                   WORD    DllCharacteristics;         //P的文件属性DWORD   SizeOfStackReserve;         //堆栈保留字节数.我们的程序使用的栈空间多大靠这个成员.不过操作系统只作为参考DWORD   SizeOfStackCommit;          //要为堆栈提交的字节数.不做参考DWORD   SizeOfHeapReserve;          //堆保留字节数.DWORD   SizeOfHeapCommit;           //本地堆提交的字节数. PS: 栈堆保留数值.斗鱼自己的sizeof(Head/stack)Commit成员有关.DWORD   LoaderFlags;                //成员已经过时DWORD   NumberOfRvaAndSizes;        //数据目录数组的大小IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//数据目录
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

总结来说.上面的成员挺多的.也很重要.

OEP  AddressOfEntryPoint 指明了PE入口点.在扩展头的0x10字节位置.也就是扩展头往下数一行就是OEP. OEP所在位置是一行零4个字节.ImageBase 基址. 指明了PE加载时候的基址.基址+ OEP就能确定代码在哪里开始运行. 0x1c位置处.也就是扩展头下数一行零12个字节,下面4个字节就是Image. Image所在位置是2行位置.

SectionAlignment 内存对齐,PE加载到内存中所需要的对齐值. 在扩展头两行位置处.往下数4个字节就是. 所在位置两行零4个字节

FileAlignment 文件对齐,PE存放在文件中的数据的对齐值.扩展头两行零4个字节位置. 所在位置是两行零八个字节.也就是两行半.

 SizeOfImage PE的镜像大小. 扩展头 三行半位置往下数4个字节 所在位置.三行零12字节位置处.

SizeOfHeaders DOS头+NT头+节表的大小.按照文件对齐放在文件中的成员. 三行零12字节位置处往下数4个字节. 所在位置是4行位置.

NumberOfRvaAndSizes 数据目录大小.所在位置六行位置处 下面都是数据目录了.数据目录指明了导入表导出表等等一些列的表格位置

关于扩展头.重要成员就这么多. 主要就是熟悉各成员之间的关系.

sizeofImage 跟 内存对齐成员有关  sizeofImage / sectionAlignment == 0sizeofHeaders 头大小.跟文件对齐有关  SizeofHeaders /  FileAlignment == 0

五丶数据目录

　　数据目录在我们的扩展头中.作为一个子结构体存放

typedef struct _IMAGE_DATA_DIRECTORY {DWORD   VirtualAddress;DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

数据目录的作用就是指明了PE文件的导入表.导出表等等一些列表格在哪里存放. 有两个成员.一个是虚拟地址.一个是大小.

转载于:https://www.cnblogs.com/iBinary/p/9714965.html