zoukankan      html  css  js  c++  java
  • PE文件结构部分解析以及输入的定位

    PE文件定义 

    PE 文件(”Portable executable”, 可移植的可执行文件)文件格式,是微软Windows NT, 中Win32、Win32s中的可执行的二进制的文件格式。 包括:.exe, .dll, .sys, .com, .ocs. PE文件最重要的两个因素:

    1.磁盘上的可执行文件和它被映射到windows内存之后的格式非常相像。

    2.对于Win32 来讲, 模块中多使用的所有代码、数据、资源、导入表、和其他需要的模块数据结构都在一个连续的内存块中。因此,只需要知道PE Loader把可执行文件映射到了内存的什么地方(基址),通过作为映像的一部分指针,就可以找到这个模块的所有不同的块。

    PE文件总览: 

    1. DOS Header: (size:64byte)

    _IMAGE_DOS_HEADER结构体:

     1 typedef struct _IMAGE_DOS_HEADER {          // DOS .EXE header
     2     WORD   e_magic;                         // Magic number
     3     WORD   e_cblp;                          // Bytes on last page of file
     4     WORD   e_cp;                            // Pages in file
     5     WORD   e_crlc;                          // Relocations
     6     WORD   e_cparhdr;                       // Size of header in paragraphs
     7     WORD   e_minalloc;                      // Minimum extra paragraphs needed
     8     WORD   e_maxalloc;                      // Maximum extra paragraphs needed
     9     WORD   e_ss;                            // Initial (relative) SS value
    10     WORD   e_sp;                            // Initial SP value
    11     WORD   e_csum;                          // Checksum
    12     WORD   e_ip;                            // Initial IP value
    13     WORD   e_cs;                            // Initial (relative) CS value
    14     WORD   e_lfarlc;                        // File address of relocation table
    15     WORD   e_ovno;                          // Overlay number
    16     WORD   e_res[4];                        // Reserved words
    17     WORD   e_oemid;                         // OEM identifier (for e_oeminfo)
    18     WORD   e_oeminfo;                       // OEM information; e_oemid specific
    19     WORD   e_res2[10];                      // Reserved words
    20     LONG   e_lfanew;                        // File address of new exe header
    21   } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

    结构体中有两个重要的数据成员。第一个为e_magic,这个必须为MZ,即0x5A4D。另一个重要的数据成员是最后一个成员e_lfanew,这个成员的值为IMAGE_NT_HEADERS的偏移。其中,*e_lfanew这个字段的值:   PE Header 在磁盘文件中相对于文件开始的偏移地址.

    实例截图:

    2.     PE Header: (size: 248bytes)

    IMAGE_NT_HEADERS 紧接在DOS Stub之后,位置有e_lfanew所指

    1 typedef struct _IMAGE_NT_HEADERS {
    2         DWORD Signature;                        //4 bytes PE文件头标志:(e_lfanew)->‘PE’
    3         IMAGE_FILE_HEADER FileHeader;        //20 bytes PE文件物理分布的信息
    4         IMAGE_OPTIONAL_HEADER32 OptionalHeader;//224bytes PE文件逻辑分布的信息
    5 } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

    PE Header 总览

    IMAGE_NT_HEADERS结构体成员解析:

    2.1.Signature: (4 bytes)

    2.2.IMAGE_FILE_HEADER(20 bytes)

    1 typedef struct _IMAGE_FILE_HEADER {
    2     WORD    Machine;                //运行平台
    3     WORD    NumberOfSections;        //文件区块数目
    4     DWORD   TimeDateStamp;            //文件创建日期和时间
    5     DWORD   PointerToSymbolTable;    //指向符号表(主要用于调试)
    6     DWORD   NumberOfSymbols;        //符号表中符号个数
    7     WORD    SizeOfOptionalHeader;        //IMAGE_OPTIONAL_HEADER32 结构大小
    8     WORD    Characteristics;            //文件属性
    9 } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

    IMAGE_FILE_HEADER结构体成员解析:

    1). Machine 代表了CPU的类型  //运行平台

    #define IMAGE_FILE_MACHINE_UNKNOWN           0
    #define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
    #define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
    #define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
    #define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
    #define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
    #define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
    #define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
    #define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
    #define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
    #define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
    #define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
    #define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
    ………………….
    #define IMAGE_FILE_MACHINE_CEE               0xC0EE
    View Code

    2)       NumberOfSections: 代表区块的数目,区块表紧跟在IMAGE_NT_HEADERS后面, 区块表大概是一个链表结构,链表长度由NumberOfSection的数值决定.

    3)       TimeDataStamp: 表明文件的创建时间

    4)       SizeOfOptionalHeader: 是IMAGE_NT_HEADERS的另一个子结构IMAGE_OPTIONAL_HEADER的大小

    5)       Characteristics: 代表文件的属性EXE文件一般是0100h DLL文件一般是210Eh,多种属性可以用或运算同时拥有

    #define IMAGE_FILE_RELOCS_STRIPPED   0x0001 // 重定位信息被移除 
    #define IMAGE_FILE_EXECUTABLE_IMAGE   0x0002 // 文件可执行 
    #define IMAGE_FILE_LINE_NUMS_STRIPPED  0x0004 // 行号被移除 
    #define IMAGE_FILE_LOCAL_SYMS_STRIPPED 0x0008 // 符号被移除 
    ……..
    #define IMAGE_FILE_32BIT_MACHINE  0x0100 // 32位机器 
    #define IMAGE_FILE_DEBUG_STRIPPED 0x0200 // .dbg文件的调试信息被移除 
    ………………….
    #define IMAGE_FILE_SYSTEM       0x1000 // 系统文件 
    #define IMAGE_FILE_DLL         0x2000 // 文件是一个dll 
    #define IMAGE_FILE_UP_SYSTEM_ONLY    0x4000 // 文件只能运行在单处理器上 
    View Code

    实例截图:

    2.3. IMAGE_OPTIONAL_HEADER(224 bytes)

    紧接IMAGE_FILE_HEADER之后,IMAGE_OPTIONAL_HEADER的大小由IMAGE_FILE_HEADER中倒数第二个成员(SizeOfOptionalHeader)指定. IMAGE_OPTIONAL_HEADER结构体如下:

     1 typedef struct _IMAGE_OPTIONAL_HEADER {
     2     WORD    Magic;    //映像文件的状态
     3     BYTE    MajorLinkerVersion;    //连接器的主版本号
     4     BYTE    MinorLinkerVersion;    //连接器的次版本号
     5     DWORD   SizeOfCode;    //代码段的大小,如果有多个代码段则为总和
     6     DWORD   SizeOfInitializedData; //初始化数据段大小.如果多个则为总和
     7     DWORD   SizeOfUninitializedData;//未初始化数据段大小,.如果多个则为总和.bbs
     8     DWORD   AddressOfEntryPoint;    //PE文件入口地址的RAV:OEP = ImageBase + RAV
     9     DWORD   BaseOfCode;    //代码块起始地址的RVA
    10     DWORD   BaseOfData;//数据块的起始地址的RVA
    11     //
    12     // NT additional fields.
    13     //
    14     DWORD   ImageBase;    //可执行文件的基址ImageBase
    15     DWORD   SectionAlignment; //每一个块必须保证始于这个值的整数倍
    16     DWORD   FileAlignment; //对齐映射文件部分原始数据 2 or 512 or 64: 默认为512
    17     WORD    MajorOperatingSystemVersion;//要求的操作系统的主版本号
    18     WORD    MinorOperatingSystemVersion;//要求的操作系统的次版本号
    19     WORD    MajorImageVersion;//映像的主版本号
    20     WORD    MinorImageVersion;//映像的次版本号
    21     WORD    MajorSubsystemVersion;//子系统的主版本号
    22     WORD    MinorSubsystemVersion;//子系统的次版本号
    23     DWORD   Win32VersionValue;//保留值.必须为0
    24     DWORD   SizeOfImage;//映像文件的大小
    25     DWORD   SizeOfHeaders;
    26     DWORD   CheckSum;//映像文件的校验和
    27     WORD    Subsystem;//运行此映像的字系统
    28     WORD    DllCharacteristics;//映像文件的DLL特征
    29     DWORD   SizeOfStackReserve;//堆栈保留字节. 0x100000
    30     DWORD   SizeOfStackCommit;//线程开始提交的初始堆栈大小
    31     DWORD   SizeOfHeapReserve;//为初始进程保留的虚拟内存总数
    32     DWORD   SizeOfHeapCommit;//进程开始提交初始虚拟内存的大小
    33     DWORD   LoaderFlags;
    34     DWORD   NumberOfRvaAndSizes; //0x10
    35 IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
    36 //指向第一个IMAGE_DATA_DIRECTORY
    37 } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

    _IMAGE_OPTIONAL_HEADER结构体实例截图以及成员解析:

    1) Magic:32位可执行文件来:0x010B

          64位可执行文件来:0x020B

           0x107

    2) SizeOfCode: 代码段的大小,如果有多个代码段则为总和

      RAW:经过文件对齐处理后大小(PE文件中的大小)

    3) SizeOfInitializedData: 初始化数据段大小.如果多个则为总和

    4) ImageBase: 建议的装载地址

    PE建议装载地址:

    实际装载地址:

    5) AddressOfEntryPoint: 程序执行的入口RVA地址

    OEP = ImageBase + (AddressOfEntryPoint)RVA

    6) SectionAlignment:为内存中节的对齐大小,一般为0×00001000

    7) FileAlignment:为PE文件中节的对齐大小

    8)  SizeofImage:映像文件的大小

    9) DataDirectory为数据目录表数组,比较重要:共有16个表项

    Size = sizeof(_IMAGE_DATA_DIRECTORY) * 16

    sizeof(_IMAGE_DATA_DIRECTORY) = 8 bytes

    _IMAGE_DATA_DIRECTORY结构体以及成员定义:

     1 typedef struct _IMAGE_DATA_DIRECTORY {
     2     DWORD   VirtualAddress;
     3     DWORD   Size;
     4 } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
     5 #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16
     6 // Directory Entries
     7 #define IMAGE_DIRECTORY_ENTRY_EXPORT            0   // Export Directory
     8 #define IMAGE_DIRECTORY_ENTRY_IMPORT             1   // Import Directory
     9 #define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
    10 #define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
    11 #define IMAGE_DIRECTORY_ENTRY_SECURITY          4   // Security Directory
    12 #define IMAGE_DIRECTORY_ENTRY_BASERELOC        5   // Base Relocation Table
    13 #define IMAGE_DIRECTORY_ENTRY_DEBUG             6   // Debug Directory
    14 //      IMAGE_DIRECTORY_ENTRY_COPYRIGHT        7   // (X86 usage)
    15 #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE  7   // Architecture Specific Data
    16 #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR         8   // RVA of GP
    17 #define IMAGE_DIRECTORY_ENTRY_TLS                 9   // TLS Directory
    18 #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10 // Load Configuration Directory
    19 #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT     11 // Bound Import Directory in headers
    20 #define IMAGE_DIRECTORY_ENTRY_IAT              12   // Import Address Table
    21 #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT    13   // Delay Load Import Descriptors
    22 #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

    Import Table RVA & Size截图:

    3. Section Header:

    Section Header 数量:_IMAGE_FILE_HEADER结构体中NumberOfSections成员。

    Section Header 定位:紧跟在IMAGE_NT_HEADERS后面

    结构体大小:40 bytes

    _IMAGE_SECTION_HEADER 结构体以及重要变量的定义:

     1 #define IMAGE_SIZEOF_SHORT_NAME   8
     2 typedef struct _IMAGE_SECTION_HEADER {
     3     BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
     4     union {
     5             DWORD   PhysicalAddress;
     6             DWORD   VirtualSize;
     7     } Misc;
     8     DWORD   VirtualAddress;    //内存中偏移地址
     9     DWORD   SizeOfRawData;    //PE文件中对其之后的大小
    10     DWORD   PointerToRawData;//为PE块区在PE文件中偏移
    11     DWORD   PointerToRelocations;
    12     DWORD   PointerToLinenumbers;
    13     WORD    NumberOfRelocations;
    14     WORD    NumberOfLinenumbers;
    15     DWORD   Characteristics;    //块区的属性:可读、可写..
    16 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
    17 #define IMAGE_SIZEOF_SECTION_HEADER          40

    重要数据成员

    1)      Name[IMAGE_SIZEOF_SHORT_NAME]:

    8字节大小的NAME, 如果节区名称小于8个字节,则多余的用0填充,否则全部填充节名,末尾不保证有1个0,同样会被名字填充

    2)      PointerToRawData:

    为节区在PE文件中的偏移

    3)      Characteristics: 为节区的属性,如可读、可写、可执行等

    1 #define IMAGE_SCN_CNT_CODE       0x00000020  // Section contains code.
    2 #define IMAGE_SCN_LNK_NRELOC_OVFL   0x01000000  // Section contains extended relocations.
    3 #define IMAGE_SCN_MEM_DISCARDABLE   0x02000000  // Section can be discarded.
    4 #define IMAGE_SCN_MEM_NOT_CACHED    0x04000000  // Section is not cachable.
    5 #define IMAGE_SCN_MEM_NOT_PAGED         0x08000000  // Section is not pageable.
    6 #define IMAGE_SCN_MEM_SHARED             0x10000000  // Section is shareable.
    7 #define IMAGE_SCN_MEM_EXECUTE            0x20000000  // Section is executable.
    8 #define IMAGE_SCN_MEM_READ              0x40000000  // Section is readable.
    View Code

    Section Header 实例截图:

    4.  导入表

    _IMAGE_IMPORT_DESCRIPTOR 数据结构:(20 bytes)

    typedef struct _IMAGE_IMPORT_DESCRIPTOR {
        union {
            DWORD   Characteristics;     // 0 for terminating null import descriptor
            DWORD   OriginalFirstThunk; // RVA 指向INT (PIMAGE_THUNK_DATA)
        };
    DWORD   TimeDateStamp;    
        DWORD   ForwarderChain;     // -1 if no forwarders
        DWORD   Name;            //dll 名称
        DWORD   FirstThunk;         //指向引入函数真实地址单元处的RVA  IAT
    } IMAGE_IMPORT_DESCRIPTOR;
    typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

    其中OriginalFirstThunk和FirstThunk非常类似,指向两个本质上相同的数组IMAGE_THUNK_DATA。

    1) 定位查找IMAGE_IMPORT_DESCRIPTO结构

    A 获取引入表的RVA.也就是

     data directory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress 所指的值

    typedef struct _IMAGE_DATA_DIRECTORY {
        DWORD   VirtualAddress;
        DWORD   Size;
    } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
    #define IMAGE_DIRECTORY_ENTRY_IMPORT             1   // Import Directory

    查看 IMAGE_DIRECTORY_ENTRY_IMPORT的值

    &data directory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress = 0x0002D51C

    &data directory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualSize= 0xA0

    B. 查找导入表所在的区段:

    if(RVA>=SECTION.VirtualAddress && RVA<SECTION.Misc.VirtualSize)

     {

         //处于该节

     }

     else

     {

         //不在该节中

     }

    C. 找到引入表所在的节后就可以用该节的VirtualAddress和PointerToRawData两个域确定引入表在文件中的偏移量:RVA –△k

    VirtualAddress = 0x00026000

    PointerToRawData = 0x00025000

    △k = VirtualAddress – PointerToRawData = 0x1000H

    Address = 0x0002D51C - △k = 0x0002C51C

    然后定位到文件偏移处:

    阴影部分是IID的内容, IID的大小为20h, 阴影部分存在链各个IID,最后一个为0000000, 说明此PE文件只有8个IID, 对应8个dll。

    0xA0  = 160 bytes = 7 * 20bytes +20bytes(空白)

    截图

    第四个变量的地址RVA:0002DB14, 需要转换成对应的文件偏移

    (0x0002DB14 –△k) = 0x0002cb14,定位到文件偏移为0x0002cb14的地方

    查看内容,里面记录的是IMAGE_IMPORT_DESCRIPTOR的第四个成员变量多对应的dll的名字,mfc90u.dll,到此,我们已经找到了这个输入的dll

    2) 获取dll调用的所有函数

    IMAGE_IMPORT_DESCRIPTOR中的第一个参数和最后一个参数,original_first_thunk 和first_thunk分别指向了INT(输入名称表)IAT(输入地址表)这两个表里面分别记录了指向调用函数名的地址,和此函数在dll中的序号(序号用来快速索引dll中的函数)

    0x0002D85C和0x000262A0是INT 和IAT数组的首地址,下面我们跳到该地址(由于△K=0x1000,故RVA=文件偏移0x0002C85C和0x000252A0)

    _IMAGE_THUNK_DATA32数据结构:

    typedef struct _IMAGE_THUNK_DATA32 {
        union {
            DWORD ForwarderString;      // PBYTE 
            DWORD Function;             // PDWORD
            DWORD Ordinal;               //数据
            DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
        } u1;
    } IMAGE_THUNK_DATA32;
    typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

    a.当一个函数以序号导入.MAGE_THUNK_DATA结构中的AddressOfData最高位被设成1.用16进制表示为(0x80000000),例入一个IMAGE_THUNK_DATA的AddressOfData的值为0x 800010E4在mfc90u.dll数组中.就表示IMAGE_THUNK_DATA将引入mfc90u.dll

    中的第10E4号函数

    INT数组:

    IAT数组:

    b.如果一个函数以名称导入.IMAGE_THUNK_DATA结构中的Ordinal域就包含一个RVA.这个RVA指向一个IMAGE_IMPORT_BY_NAME 结构.该结构保存了一个引入函数的相关信息:例如MSVCR90.dll

    typedef struct _IMAGE_IMPORT_BY_NAME {
        WORD    Hint; //序列号
        BYTE    Name[1];//函数名称
    } IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

    有第四个变量Name定位dll名字

    定位INT和IAT:

    INT:

    IAT

    数组里面的值为指向IMAGE_IMPORT_BY_NAME的地址,IMAGE_IMPORT_BY_NAME里面存放的是所调用函数的名字的地址,下来我们选取一个数组里面的值,跳转到相应的IMAGE_IMPORT_BY_NAME

    可以看到,上面的那个图片中显示了所调用的函数的名字,名字前面的两个字节代表的是函数在dll中的序号,方便以后快速索引到

    3. 需要注意的地方

    INT 和IAT数组在一开始的时候,里面存放的地址都是一样的,他们都是指向所调用函数的名字的字符串。而在加载到内存的时候,IAT的值会发生变换,它的值存放的是dll中函数实际被调用的地址,在加载到内存后,就只需要保存IAT就可以了,利用它来调用函数

     

    今天先到这里.有时间的话在继续...

  • 相关阅读:
    Oracle学习 第25天 Oracle版的Profiler
    Oracle学习 第24天 .net EF连Oracle
    项目中各子系统之间数据交互的方法总结与心得
    Python学习 第7天 爬虫-1 构思
    Oracle学习 第23天 Oracle视图、表、SqlServer、excel、csv的互导
    Python学习 第6天 类、模块、包
    Python学习 第5天 函数
    Javascript/Jquery实现日期前一天后一天
    Javascript/Jquery遇到字符串自动NaN的问题
    Eclipse打包jar
  • 原文地址:https://www.cnblogs.com/shadow-lei/p/3554670.html
Copyright © 2011-2022 走看看