浅谈PE结构

什么是PE结构

PE结构是Windows操作系统下标准的可执行文件的头格式

当你用二进制的编辑器(如010editor)打开一个exe文件,就会发现这里面有PE结构,其中包括但不限于DOS头NT头,可选NT头节头

image-20220511145738618

什么是PE结构的文件

PE结构的文件,就是指这个文件他可能是exe格式,dll格式,sys格式的文件,可以在windows系统下双击运行的文件。

基础数据类型

WORD类型 占4个位置,2字节

DWORD类型 占8个位置,4个字节

BYTE类型 占2个位置,1个字节

PE头结构的信息是在<windows.h>里面,所以可以在vs里面看待相关信息。

image-20220511145034365

DOS头

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
VS里面原始备注的DOS头格式:
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

为了表示每个可执行文件都会具有PE结构,我这里写了一个很简单无意义的程序。

image-20220511151157260

生成为EXE格式后,使用010editor打开,可以发现仍然具有PE结构。

image-20220511151248546

我们开始分析两个重要的DOS头字段意义:

e_magic

Magic number 标志位(MZ 4d5a 只占2字节)

DOS头最明显的标志(e_magic字段)就是它会以它的创世人名字缩写(MZ,二进制表示为4D5A)放在最前面,表示是DOS头。

e_lfanew

File address of new exe header 偏移位置(一般接下来就是文件签名),我们可以理解为标注DOS头结束的位置。接下来就是其他东西了。

这个文件里是40 00 00 00,表示在这个位置,就是其他东西了

image-20220511153424021

NT头

1
2
3
4
5
typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

Signature

Signature就是NT头的标志,它的标志是PE..(50 45 00 00)

FileHeader

1
2
3
4
5
6
7
8
9
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

Machine

Machine就是指CPU的架构,程序可以在什么cpu上运行。有以下类型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
#define IMAGE_FILE_MACHINE_UNKNOWN 0
#define IMAGE_FILE_MACHINE_TARGET_HOST 0x0001 // Useful for indicating we
want to interact with the host and not a WoW guest.
#define IMAGE_FILE_MACHINE_I386 0x014c // Intel 386.
#define IMAGE_FILE_MACHINE_R3000 0x0162 // MIPS little-endian,
0x160 big-endian
#define IMAGE_FILE_MACHINE_R4000 0x0166 // MIPS little-endian
#define IMAGE_FILE_MACHINE_R10000 0x0168 // MIPS little-endian
#define IMAGE_FILE_MACHINE_WCEMIPSV2 0x0169 // MIPS little-endian WCE
v2
#define IMAGE_FILE_MACHINE_ALPHA 0x0184 // Alpha_AXP
#define IMAGE_FILE_MACHINE_SH3 0x01a2 // SH3 little-endian
#define IMAGE_FILE_MACHINE_SH3DSP 0x01a3
#define IMAGE_FILE_MACHINE_SH3E 0x01a4 // SH3E little-endian
#define IMAGE_FILE_MACHINE_SH4 0x01a6 // SH4 little-endian
#define IMAGE_FILE_MACHINE_SH5 0x01a8 // SH5
#define IMAGE_FILE_MACHINE_ARM 0x01c0 // ARM Little-Endian
#define IMAGE_FILE_MACHINE_THUMB 0x01c2 // ARM Thumb/Thumb-2
Little-Endian
#define IMAGE_FILE_MACHINE_ARMNT 0x01c4 // ARM Thumb-2 LittleEndian
#define IMAGE_FILE_MACHINE_AM33 0x01d3
#define IMAGE_FILE_MACHINE_POWERPC 0x01F0 // IBM PowerPC LittleEndian
#define IMAGE_FILE_MACHINE_POWERPCFP 0x01f1
#define IMAGE_FILE_MACHINE_IA64 0x0200 // Intel 64
#define IMAGE_FILE_MACHINE_MIPS16 0x0266 // MIPS
#define IMAGE_FILE_MACHINE_ALPHA64 0x0284 // ALPHA64
#define IMAGE_FILE_MACHINE_MIPSFPU 0x0366 // MIPS
#define IMAGE_FILE_MACHINE_MIPSFPU16 0x0466 // MIPS
#define IMAGE_FILE_MACHINE_AXP64 IMAGE_FILE_MACHINE_ALPHA64
#define IMAGE_FILE_MACHINE_TRICORE 0x0520 // Infineon
#define IMAGE_FILE_MACHINE_CEF 0x0CEF
#define IMAGE_FILE_MACHINE_EBC 0x0EBC // EFI Byte Code
#define IMAGE_FILE_MACHINE_AMD64 0x8664 // AMD64 (K8)
#define IMAGE_FILE_MACHINE_M32R 0x9041 // M32R little-endian
#define IMAGE_FILE_MACHINE_ARM64 0xAA64 // ARM64 Little-Endian
#define IMAGE_FILE_MACHINE_CEE 0xC0EE

可以看到在我们文件里,写的是

image-20220511154206980

(64 86)其实应该读为 86 64,这个是小端序的读法。可以看到我们是AMD64(K8)

NumberofSections

NumberofSections是节数,最大支持96。节数是一个EXE文件分成多少个部分。可以看到我们写的是image-20220511154554751

所以说明有6个区节。我们打开ExeinfoPe可以看到该文件确实有6个字节。

image-20220511154736517

常见的节列举:

image-20220511154929219

image-20220511155038055

TimeDataStamp

TimeDataStamp 时间戳(UTC 时间) 以格林威治时间来作为起始,来换算的秒数。

image-20220511155517389

PointerToSymbolTbale和NumberOfSymbols

这两个已经被废弃了,所以都默认为0000

image-20220511155707323

SizeOfoptionalHeader

可选头大小,它的主要任务是为了判断该文件运行的环境(对于32位文件来说,它是224,对于64位来说,他是240)

image-20220511160058417

用计算器换算下就是

image-20220511160120364

可见我们是64位文件

Characteristics

Characteristics是文件特征。他是为了区分你是exe文件,还是dll文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#define IMAGE_FILE_RELOCS_STRIPPED 0x0001 // Relocation info stripped
from file.
#define IMAGE_FILE_EXECUTABLE_IMAGE 0x0002 // File is executable
(i.e. no unresolved external references).
#define IMAGE_FILE_LINE_NUMS_STRIPPED 0x0004 // Line nunbers stripped
from file.
#define IMAGE_FILE_LOCAL_SYMS_STRIPPED 0x0008 // Local symbols stripped
from file.
#define IMAGE_FILE_AGGRESIVE_WS_TRIM 0x0010 // Aggressively trim
working set
#define IMAGE_FILE_LARGE_ADDRESS_AWARE 0x0020 // App can handle >2gb
addresses
#define IMAGE_FILE_BYTES_REVERSED_LO 0x0080 // Bytes of machine word
are reversed.
#define IMAGE_FILE_32BIT_MACHINE 0x0100 // 32 bit word machine.
#define IMAGE_FILE_DEBUG_STRIPPED 0x0200 // Debugging info stripped
from file in .DBG file
#define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP 0x0400 // If Image is on removable
media, copy and run from the swap file.
#define IMAGE_FILE_NET_RUN_FROM_SWAP 0x0800 // If Image is on Net, copy
and run from the swap file.
#define IMAGE_FILE_SYSTEM 0x1000 // System File.
#define IMAGE_FILE_DLL 0x2000 // File is a DLL.
#define IMAGE_FILE_UP_SYSTEM_ONLY 0x4000 // File should only be run
on a UP machine
#define IMAGE_FILE_BYTES_REVERSED_HI 0x8000 // Bytes of machine word
are reversed.

image-20220511160545745

我们是(00 22)

可以知道是20+2组合而成的

也就是说在这里是可执行文件,并且可引用的地址范围大于2gb(64位程序特有)。

可选NT头

上面的是强制NT头,下面的可选NT头是可写可不写的。(虽然这些并不是你想写都写,是编译器帮你写的。可选的意思是如果写了就有详细的数字,没有就是0000)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

Magic:

Magic文件类型标识

1
2
3
0x10B表明这是一个32位镜像文件。
0x107表明这是一个ROM镜像。
0x20B表明这是一个64位镜像文件。

image-20220511162709559

可以看到我们这里是020b再次确定了我们文件是64位。

MajorLinkerVersion

链接器主版本号

MinorLinkerVersion

链接器副版本号

SizeofCode

SizeofCode表示text的总大小

image-20220511163358811

SizeofIntializedData

表示data总大小(变量)

00 1e 00 00

SizeofUnintializedData

表示BSS总大小

00 00 00 00

bss:bss段通常是指用来存放程序中未初始化的或者初始化为0的全局变量和静态变量的一块内存区域。特点是可读写的,在程序执行之前BSS段会自动清0.

下面三个是以偏移量(表示的不是绝对数值,而是使用加法)表示:

AddressofEntryPoint

程序的虚拟入口地址 (58 12 00 00)

virtual address:

加载进去的第一个二进制地址

reverse virtual address

加载进去的第一个二进制的地址-.text的地址

BaseOfCode

程序的text段第一行地址是:

代码基址 (00 10 00 00)

BaseOfData

数据基址(00 02 00 00)

ImageBase

镜像基址,当加载进内存时镜像的第1个字节的首选地址。它必须是64k的倍数,DLL默认是10000000H. Windows CE的EXE默认是 00010000H。 Windows 系列的EXE默认是 00400000H。

(ps:ImageBase+BaseOfcode=程序的开始代码地址)。

这几个要做重点说明:

AddressofEntryPoint是指程序运行时,进去的第一个地址。这里我们可以使用od来看。

当用od调试程序的时候会发现程序一进去就会在1258这个地址

image-20220516110128663

ImageBase是一个固定值。在windows系列的exe默认是 00400000H。

只需要记得imagebase+baseofcode=程序开始时的地址。程序开始时的地址不是指入口地址。而是指在od中程序的第一行地址。

image-20220516110347854

SectionAligment(不重要)

当加载进内存时节的对齐值(以字节计) (内存)

FileAlignment(不重要)

用来对齐镜像文件的节中的原始数据的对齐因子(以字节计)(内存)

版本号

1
2
3
4
5
6
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;

以上字段全是版本号

Win32VersionValue

表示win32版本(必须为0)

SizeofImage

总大小

SizeofHeaders

头的总大小

CheckSum

校验和(内容长度和内容本身做某种运算)

子系统

子系统表

image-20220512170943578

image-20220512171157492

表示是一个windows命令行启动的程序

Dllcharacteristics

dll特征

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#define IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE 0x0040 // DLL can move. aslr随
机地址关掉
#define IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY 0x0080 // Code Integrity
Image
#define IMAGE_DLLCHARACTERISTICS_NX_COMPAT 0x0100 // Image is NX
compatible
#define IMAGE_DLLCHARACTERISTICS_NO_ISOLATION 0x0200 // Image understands
isolation and doesn't want it
#define IMAGE_DLLCHARACTERISTICS_NO_SEH 0x0400 // Image does not use
SEH. No SE handler may reside in this image
//seh的保护机制
#define IMAGE_DLLCHARACTERISTICS_NO_BIND 0x0800 // Do not bind this
image.
// 0x1000 // Reserved.
#define IMAGE_DLLCHARACTERISTICS_WDM_DRIVER 0x2000 // Driver uses WDM
model
//大部分的dll都有这个
// 0x4000 // Reserved.
#define IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE 0x8000

这里的第一个DLL特征比较重要,aslr是windows7以后的一个windows系统保护机制,他会在程序启动后随机分配内存地址。

image-20220512171657847

我们这里是8160(8000+100+40+20)表示可以关掉它。

SizeOfStackReserve

栈保留大小(我想要多少个栈)

SizeofStackCommit

栈申请大小(我实际拿到了好多个栈)

SizeofHeapReserve

堆保留大小

SizeofHeapCommit

堆申请大小

LoaderFlag

标志位必须为0

NumberOFRvaAndSizes

数据目录

节头

一个EXE文件会被分成很多个部分,其中常见的有.text,.rdata,.data,.rsrc,.reloc部分

它们分别有以下作用:

.text:也被称为代码段,实际运行功能代码的段落

.rdata,.data:存放变量的位置

.rsrc:存放静态资源(软件图标,软件背景音乐,软件图片等资源)

.reloc:重定位字段,表示函数定位的一些东西

在每一个部分中都会有分别的对应的PE结构,因为我们也叫他称为节头

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc;
DWORD VirtualAddress;
DWORD SizeOfRawData;
DWORD PointerToRawData;
DWORD PointerToRelocations;
DWORD PointerToLinenumbers;
WORD NumberOfRelocations;
WORD NumberOfLinenumbers;
DWORD Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

(大括号中表示两个选一个来写)

name

本节的名字

二选一:

PhysialAddress

本节的物理地址

VirtualSize

本节的实际大小

VirtualAddress

image-20220512173241967

本节的RVA

SizeOfRawData

本节在磁盘中的大小(00 0E 00 00)

PointerToRawData

本节在磁盘中的偏移(00 04 00 00)

PointerToRelocations

在exe文件中无意义(00 00 00 00)

PointerToLinenumbers

行号表的位置(调试用,不过基本没用)(00 00 00 00)

NumberOFrelocations

重定位数量 (00 00)

NumberOFLinenumbers

行号表数量(00 00)

Characteristics

image-20220512173855366

image-20220512172955294

我们是60000020(40000000+20000000+20)

表示文件可读可执行。

另一种方法观察PE头

除了使用010editor来看,我们也可以使用python自动化看pe头

1
2
3
import pefile
pe = pefile.PE('PE结构与基础调试.exe')
print(pe)

image-20220516104713034

这是一个总览,我们还可以分别看想要的属性。比如

1
2
3
4
i =pe.FILE_HEADER.NumberOfSections
print("这个文件总共有"+str(i)+"节")
可以直接显示出十进制的5.免去了我们换算的步骤

image-20220516111621678

这里给出自己写的脚本用来做参考:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
import pefile
pe = pefile.PE('PE结构与基础调试.exe')
if pe.DOS_HEADER.e_magic==23117:
    print("这是一个pe结构的文件")
else:
    print("这不是一个PE文件格式")
if pe.FILE_HEADER.Machine == 332:
    print("这是运行在i386的")
else:
    print("这不是运行在i386的文件")
i =pe.FILE_HEADER.NumberOfSections
print("这个文件总共有"+str(i)+"节")
print("编译的时间为"+pe.dump_dict()['FILE_HEADER']['TimeDateStamp']['Value'])
if pe.FILE_HEADER.Characteristics==258:
    print("这是一个32位可执行文件")
if pe.OPTIONAL_HEADER.Magic == 267:
    print("这是一个32位镜像文件")
print("程序的入口点是:"+str(hex(pe.OPTIONAL_HEADER.AddressOfEntryPoint)))
print("程序的text段第一行地址是:"+str(hex(pe.OPTIONAL_HEADER.BaseOfCode)))
print("程序的镜像基址是:"+str(hex(pe.OPTIONAL_HEADER.ImageBase)))
print(pe.dump_dict())





image-20220516125442258

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br><br>平荒尽处是春山<br>Life is a fucking movie.