0
点赞
收藏
分享

微信扫一扫

day28.1-PE头字段说明

一、PE头字段

  • PE头字段 = DOS头 + PE标记 + 标准PE头 + 可选PE头

二、DOS头

1.DOS头结构

struct _IMAGE_DOS_HEADER {
0x00 WORD e_magic;  *
0x02 WORD e_cblp;
0x04 WORD e_cp;
0x06 WORD e_crlc;
0x08 WORD e_cparhdr;
0x0a WORD e_minalloc;
0x0c WORD e_maxalloc;
0x0e WORD e_ss;
0x10 WORD e_sp;
0x12 WORD e_csum;
0x14 WORD e_ip;
0x16 WORD e_cs;
0x18 WORD e_lfarlc;
0x1a WORD e_ovno;
0x1c WORD e_res[4];
0x24 WORD e_oemid;
0x26 WORD e_oeminfo;
0x28 WORD e_res2[10];
0x3c DWORD e_lfanew;  *
};

2.e_magic

  • “MZ标记” :用于判断是否为可执行文件

3.e_lfanew

  • PE头(PE签名)相对于文件首地址的偏移,用于定位PE文件,即此PE文件真正的PE结构开始的地址

三、PE标记

  • 即e_Ifanew指向的地址,就是一个PE的标记或者叫签名

    DWORD Signature;
    
  • 所以一个可执行文件应该满足"MZ"标记和"PE"标记,如果这两点不满足可能被修改过,或者就不是一个可执行文件

四、标准PE头

1.标准PE头结构

struct _IMAGE_FILE_HEADER {
0x00 WORD Machine;  *
0x02 WORD NumberOfSections;  *
0x04 DWORD TimeDateStamp;  *
0x08 DWORD PointerToSymbolTable;
0x0c DWORD NumberOfSymbols;
0x10 WORD SizeOfOptionalHeader;  *
0x12 WORD Characteristics;  *
};

2.Machine

  • 程序运行平台:支持的CPU型号,如果是0x0表示能在任何处理器上执行;如果是0x14C表示能在386及后续处理器上执行

3.NumberOfSections

  • 文件中存在的节的总数:如果要新增节或者合并节,就要修改这个值。大小表示不包括DOS头、NT头、节表,此文件分为几个节(例如.text、.idata等)

    image-20211221190328653

4.TimeDateStamp

  • 时间戳:文件的创建时间(和操作系统的创建时间无关),编译器填写的

  • 时间戳的使用案例:比如现在要给一个.exe文件加壳,有些加壳软件不光要提供给它.exe文件,还需要一个.map文件,这个文件中记录了.exe文件中的所有的函数的名字、地址、参数等信息,即exe文件中所有函数的描述。这两个文件使用编译器一起生成,那么map和exe的时间戳就是一致的,如果现在这个.exe文件需要反复修改,那么exe文件的时间戳就会变,但是map的时间戳没有更新,导致exe和map不同步,如果加壳子还是按照map中的记录信息去加壳,就可能出现错误。所以很多加壳软件在加壳之前会检查exe和map文件的时间戳是否一致

5.SizeOfOptionalHeader

  • 可选PE头的大小:32位PE文件默认E0h,64位PE文件默认为F0h(大小可以自定义)

6.Characteristics

  • 特征:16位的每个位都表示不同的特征,可执行文件值一般都是0x010F,即读完后16位二进制数中从低到高第1、2、3、4、9位上的值为1,其他位为0

  • characteristic每一位表示的含义如下图:

    1F40049D56A8CF8775D6CA4327A818A2

五、可选PE头

1.可选PE头结构

struct _IMAGE_OPTIONAL_HEADER {
0x00 WORD Magic; *
0x02 BYTE MajorLinkerVersion;
0x03 BYTE MinorLinkerVersion;
0x04 DWORD SizeOfCode; *
0x08 DWORD SizeOfInitializedData; *
0x0c DWORD SizeOfUninitializedData; *
0x10 DWORD AddressOfEntryPoint; *
0x14 DWORD BaseOfCode; *
0x18 DWORD BaseOfData; *
0x1c DWORD ImageBase; *
0x20 DWORD SectionAlignment; *
0x24 DWORD FileAlignment; *
0x28 WORD MajorOperatingSystemVersion;
0x2a WORD MinorOperatingSystemVersion;
0x2c WORD MajorImageVersion;
0x2e WORD MinorImageVersion;
0x30 WORD MajorSubsystemVersion;
0x32 WORD MinorSubsystemVersion;
0x34 DWORD Win32VersionValue;
0x38 DWORD SizeOfImage; *
0x3c DWORD SizeOfHeaders; *
0x40 DWORD CheckSum; *
0x44 WORD Subsystem;
0x46 WORD DllCharacteristics;
0x48 DWORD SizeOfStackReserve; *
0x4c DWORD SizeOfStackCommit; *
0x50 DWORD SizeOfHeapReserve; *
0x54 DWORD SizeOfHeapCommit; *
0x58 DWORD LoaderFlags;
0x5c DWORD NumberOfRvaAndSizes; *(后面深入的重点,现在不讲)
0x60 _IMAGE_DATA_DIRECTORY DataDirectory[16];
};

2.Magic

  • 说明文件类型:如果值为0x010B,表示是32位下的PE文件;如果值为0x020B,表示是64位下的PE文件

3.SizeOfCode

  • 所有代码节大小的和,必须是FileAlignment的整数倍

4.SizeOfInitializedData

  • 已初始化数据大小的和,必须是FileAlignment的整数倍:编译器填的,目前计算机已经不使用这个值了,删掉也可以,保留下来只是为了向下兼容

5.SizeOfUninitializedData

  • 未初始化数据大小的和,必须是FileAlignment的整数倍:编译器填的,现在没用了

6.AddressOfEntryPoint

  • 程序入口点OEP(程序真正执行的起始地址):这个值是相对于PE文件数据首地址的偏移量,而不是真正运行在内存中的程序入口地址。需要再加上加载到内存的基址(imagebase),才是程序运行在内存中(4GB虚拟内存)的程序入口。这个值不是确定的

  • 注意:程序入口不能理解为C语言的main函数,那只是我们写的代码的执行入口,不是F7编译成.exe文件,这个.exe文件的执行入口,因为在main函数被调用前还做了很多事情,所以OEP一定是.exe双击开始运行时程序开始的那个地址,可以用OD打开看一下,如下

  • 内存中的程序入口地址:使用OD打开文件完全模拟文件运行时加载到内存中的状态,不是硬盘上的状态。所以OD打开一个可执行文件后,会在运行在内存中时的程序入口地址处设置断点,让程序停下来,这里就是文件在内存中真正的入口点。即文件装入到4GB虚拟内存中的起始基地址 +相对于文件首地址的偏移的程序入口地址,即imagebase + AddressOfEntryPoint

    屏幕截图 2021-12-21 200403

7.BaseOfCode

  • 代码开始的基址:即PE文件装入内存后,代码的起始地址。编译器填的,可以改,不影响程序执行

8.BaseOfData

  • 数据开始的基址:编译器填的,程序运行用不到,想改就改

9. ImageBase

  • 内存镜像基址:我们知道每一个.exe程序都有属于自己的4GB虚拟内存,这个值就是当程序运行装入到自己的虚拟4GB内存中后的文件的起始位置。imagebase一般都是0x00400000,不能超过0x80000000,因为我们写的程序的数据只能在内存的2GB用户区中,不能占用2GB系统区

  • 计算文件运行装载到4GB内存中的某个值,就使用imagebase加上偏移量的方式来计算;

  • 为什么imagebase不从0开始?

    • 因为内存保护!我们前面学过,free一个动态分配内存的指针后,一定要将指针 = NULL,那么指针等于NULL后,这个指针指向的地址就是0x0,那么如果此时访问此指针指向的数据,或者向后偏移一定大小的范围内的数据,编译器会立马报错。所以4GB内存中开始空出来一些内存空间就是为了内存保护的
    • 因为查找效率更高。可以理解为模块对齐粒度
  • 模块的概念一个.exe文件是不是就是一个PE文件呢?不是!!!可以看成一个.exePE文件是由一堆PE文件组成的,.exe本身是一个PE文件,满足PE结构,但是.exe中可能还用到了很多.dll,每一个.dll也是一个PE文件,也满足PE结构,这些.dll有自己的功能和作用,拼凑到一个.exe文件中,.exe文件就有了完整的功能。所以相当于很多PE文件在一个PE文件中。又称.exe文件有很多模块构成,每一个.dll都是一个模块

  • 模块举例:我们使用OD打开飞鸽的.exe文件,点击上面的E按钮,可以看到一个ipmsg.exe可执行文件中包含了很多.dll的可执行文件,这些每一个.dll都是ipmsg.exe的一个模块,这些.dll模块也满足PE文件结构,但是这些模块都是.exe的一部分,所以用的还是ipmsg.exe分配的4GB内存

    屏幕截图 2021-12-21 202602
  • 我们点OD上方的M按钮,看看是否一个.exePE文件中还有很多PE文件(.dll),可以发现一个.exePE文件中不仅只有一个PE结构,.exe当中的每一个.dll文件都满足PE结构

    4474B10FE34306B99DDF37CD3F58A54C
  • 我们再进入到一个.dll的PE结构中看看数据,比如进入到apphelp.dll在.exe4GB内存的数据。双击apphelp.dlld的PE header,我们可以看到满足DOS头,根据DOS头最后4字节数据,再看看NT头

    image-20211221205330794
  • NT头中的内容:我们可以看到也满足,而且apphelp.dll的AddressOfEntryPoint值为0x38870;imageBase的值为0x6F8F0000,表名如果.exe运行装入到内存中时,.exe当中的apphelp.dll模块在内存中的程序入口应该在0x6F8F0000 + 0x38870 = 0x6F928870,由于OD打开后就是运行状态,所以我们通过OD查看一下apphelp.dll模块在内存中的实际起始地址是否为0x0x6F928870,确实如此。

    image-20211221205610833屏幕截图 2021-12-21 210158

10.SectionAlignment

  • 内存对齐:可执行文件运行时装入4GB虚拟内存中的对齐粒度,一般为0x1000字节

11.FileAlignment

  • 文件对齐:可执行文件在硬盘的对齐粒度,一般为0x200字节,还有的是0x1000字节,和内存对齐粒度相等

  • 举例说明内存对齐和文件对齐:(day27.1-PE结构概况中详细说明过)

    image-20211220152426484

12.SizeOfImage

  • 内存中整个PE文件的映射尺寸:即文件运行时装入4GB内存后的整个文件数据大小(要考虑内存对齐)。可以比实际的值大(比如文件对齐为0x200,内存对齐为0x1000时),但必须是SectionAlignment的整数倍

13.SizeOfHeaders

  • 所有头+节表按照文件对齐后的大小:即DOS头 + PE标记 + 标准PE头 + 可选PE头 + 节表,按照文件对齐后的大小。必须是FileAlignment的整数倍,否则加载会出错

  • 举例:假如一个可执行文件的所有头加起来大小为0x1800字节,但是SizeOfHeaders的值应该为0x2000,因为要满足文件对齐粒度0x1000

    image-20211221211720609

14.CheckSum

  • 校验和:一些系统文件、驱动文件等有要求,用来判断文件是否被修改(但是可以修改这个值)
  • 校验方法:把PE文件中的所有数据,两个两个相加(十六进制),最后将所有两个两个相加的结果再求和得到一个数,存放到checksum表示的4字节内存中,如果超过了4字节表示范围自然溢出即可

15.SizeOfStackReserve

  • 初始化时保留的栈大小 (最大值)

16.SizeOfStackCommit

  • 初始化时实际提交的栈大小

17.SizeOfHeapReserve

  • 初始化时保留的堆大小 (最大值)

18. SizeOfHeapCommit

  • 初始化时实际提交的堆大小

19.NumberOfRvaAndSizes

  • 目录项数目(后面学习的重点)

  • 这一字段如果是0x10,表示下面的_IMAGE_DATA_DIRECTORY DataDirectory[16]结构体有16个,一个占8字节

    image-20211222170804246

六、可执行文件的读取到装入内存过程

0.编译器生成.exePE文件

  • 举个例子,比如我们使用VC,最后按F7,编译器会编译生成对应的.exe可执行文件,此时编译器就会帮我们计算,生成PE文件的所有数据,比如imagebase或者OEP等全部字段信息,最后将.exe文件保存到硬盘中

1.文件数据读到FileBuffer

  • FileBuffer:通过winhex或者十六进制编译器打开一个存储在硬盘上的可执行文件,打开后显示的数据就是文件在硬盘上的状态。此过程只是将文件在硬盘上时的数据原封不动的复制一份到内存(FileBuffer)中,我们称这块内存叫FileBuffer,通过软件显示出来。此时文件的格式还不具备windows运行格式

2.将文件装载到ImageBuffer

  • 将文件从FileBuffer装入ImageBuffer,即将文件对齐拉伸成内存对齐,这个过程就是将文件装入自己的4GB内存中,此过程称为PE loader。此时文件的格式满足windows运行格式。我们称将文件拉伸装载到的内存为imageBuffer,即内存镜像(拉伸的细节后面学习)

  • 此时文件在4GB虚拟内存中的起始地址,就是imagebase,一般为0x00400000,接着就可以通过imagebase + addressofentrypoint找到文件装载到内存后真正的程序入口地址,或者再用imagebase加上一些偏移地址值就可以得到文件在运行时装入4GB内存后的地址

  • 如图:

    image-20211222104041525

3.操作系统将虚拟地址转化成物理地址

  • 上面的两个FileBuffer和ImageBuffer提到的所有地址,其实都是虚拟地址,我们学过操作系统知道,操作系统最后还要将这些地址转换为物理地址,才是真正的装入到真实内存中。这个过程操作系统帮我们做了不需要手动做,所以现在先了解到上面两个过程即可,就是文件在硬盘上时的数据格式,复制一份到FileBuffer中显示出来;运行时文件经过PE Loader将文件拉伸,装载到ImageBuffer中
  • 所以ImageBuffer中的文件格式虽然满足了windows运行格式,但是此时这个文件还没有执行!!即还没有分配CPU,后面操作系统还要做很多事情,才能让imageBuffer中的文件真正装入实际内存中,执行起来!在imageBuffer中其实是一个4GB虚拟内存,装入imagebuffer时有一个文件被拉伸的过程,此时已经无限接近于可被执行的格式了,但是还没有执行哦
举报

相关推荐

0 条评论