内容引用自:看雪《逆向工程原理》,http://www.blogfshare.com/pe-header-one.html 。 如有错误,欢迎留言。
1、 PE文件是windows操作系统下使用的可执行文件格式。
PE文件指的是32位的可执行文件。 64位的可执行文件成为PE+ 或者 PE32+。
2、 PE文件格式为
DOS头(DOS Header) + DOS存根(DOS Stub) + PE 头(PE Header)
+ 节表(区块表 section table) + 节(区块 sections)
各个部分的定义其实都是一个结构体变量
DOS Header 对应 IMAGE_DOS_HEADER
PE Header 对应 IMAGE_NT_HEADER
3、 DOS Header 是由 IMAGE_DOS_HEADER 定义,DOS Header固定为40h个字节,
其中e_magic 和 e_lfanew 是需要关注的,其他可忽略。
typedef struct _IMAGE_DOS_HEADER {
+00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 ,固定为 “MZ”
+02h WORD e_cblp // Bytes on last page of file
+04h WORD e_cp // Pages in file
+06h WORD e_crlc // Relocations
+08h WORD e_cparhdr // Size of header in paragraphs
+0ah WORD e_minalloc // Minimun extra paragraphs needs
+0ch WORD e_maxalloc // Maximun extra paragraphs needs
+0eh WORD e_ss // intial(relative)SS value DOS代码的初始化堆栈SS
+10h WORD e_sp // intial SP value DOS代码的初始化堆栈指针SP
+12h WORD e_csum // Checksum
+14h WORD e_ip // intial IP value DOS代码的初始化指令入口[指针IP]
+16h WORD e_cs // intial(relative)CS value DOS代码的初始堆栈入口 CS
+18h WORD e_lfarlc // File Address of relocation table
+1ah WORD e_ovno // Overlay number
+1ch WORD e_res[4] // Reserved words
+24h WORD e_oemid // OEM identifier(for e_oeminfo)
+26h WORD e_oeminfo // OEM information;e_oemid specific
+29h WORD e_res2[10] // Reserved words
+3ch LONG e_lfanew // Offset to start of PE header
指向PE文件头(IMAGE_NT_HEADER)的偏移地址,也就是真正PE文件头在文件中的位置。
} IMAGE_DOS_HEADER
4、DOS Stub
在DOS Header 下方,是可选项,大小不固定,即使没有DOS Stub ,文件也可以正常运行。
5、PE Header 由 IMAGE_NT_HEADER32 定义, IMAGE_NT_HEADER32 固定为 F8h个字节
typedef struct _IMAGE_NT_HEADER {
+0h DWORD Signature PE文件标识 , 固定为 50 45 00 00 (“PE00”)
+4h IMAGE_FILE_HEADER FileHeader
+18h IMAGE_OPTIONAL_HEADER32 OptionalHeader
} IMAGE_NT_HEADER32
typedef struct _IMAGE_FILE_HEADER { # 固定大小为14h个字节
+04h WORD Machine; // 运行平台
+06h WORD NumberOfSections; // 文件的区块数目
+08h DWORD TimeDateStamp; // 文件创建日期和时间
+0Ch DWORD PointerToSymbolTable; // 指向符号表(主要用于调试)
COFF符号表的文件偏移位置 常为00 00 00 00
+10h DWORD NumberOfSymbols; // 符号表中符号个数(同上) 常为00 00 00 00
+14h WORD SizeOfOptionalHeader; // IMAGE_OPTIONAL_HEADER32 结构大小
+16h WORD Characteristics; // 文件属性
} IMAGE_FILE_HEADER
需要注意的点:
Machine 定义可执行文件的目标CPU类型,常见的值如下:
NumberOfSections 定义区块的数目
TimeDateStamp 定义文件创建时间,自1970年1月1日以来计算的秒数
SizeOfOptionalHeader 定义IMAGE_OPTION_HEADER32的大小,
对于32位PE文件通常为 00 E0,64位 PE+文件 通常为00 F0
Characteristics 定义文件的属性,以bit OR形式组合起来,各个位定义属性如下:
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;
DWORD Size;
} IMAGE_DATA_DIRECTORY
#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16
typedef struct _IMAGE_OPTIONAL_HEADER {
+18h WORD Magic; // 标志字, ROM 映像(0107h),普通可执行文件(010Bh)
+1Ah BYTE MajorLinkerVersion; // 链接程序的主版本号
+1Bh BYTE MinorLinkerVersion; // 链接程序的次版本号
+1Ch DWORD SizeOfCode; // 所有含代码的节的总大小
+20h DWORD SizeOfInitializedData; // 所有含已初始化数据的节的总大小
+24h DWORD SizeOfUninitializedData; // 所有含未初始化数据的节的大小
+28h DWORD AddressOfEntryPoint; // 程序执行入口RVA
+2Ch DWORD BaseOfCode; // 代码的区块的起始RVA
+30h DWORD BaseOfData; // 数据的区块的起始RVA
+34h DWORD ImageBase; // 程序的首选装载地址
+38h DWORD SectionAlignment; // 内存中的区块的对齐大小
+3Ch DWORD FileAlignment; // 文件中的区块的对齐大小
+40h WORD MajorOperatingSystemVersion; // 要求操作系统最低版本号的主版本号
+42h WORD MinorOperatingSystemVersion; // 要求操作系统最低版本号的副版本号
+44h WORD MajorImageVersion; // 可运行于操作系统的主版本号
+46h WORD MinorImageVersion; // 可运行于操作系统的次版本号
+48h WORD MajorSubsystemVersion; // 要求最低子系统版本的主版本号
+4Ah WORD MinorSubsystemVersion; // 要求最低子系统版本的次版本号
+4Ch DWORD Win32VersionValue; // 莫须有字段,不被病毒利用的话一般为0
+50h DWORD SizeOfImage; // 映像装入内存后的总尺寸
+54h DWORD SizeOfHeaders; // 所有头 + 区块表的尺寸大小
+58h DWORD CheckSum; // 映像的校检和
+5Ch WORD Subsystem; // 可执行文件期望的子系统
+5Eh WORD DllCharacteristics; // DllMain()函数何时被调用,默认为 0
+60h DWORD SizeOfStackReserve; // 初始化时的栈大小
+64h DWORD SizeOfStackCommit; // 初始化时实际提交的栈大小
+68h DWORD SizeOfHeapReserve; // 初始化时保留的堆大小
+6Ch DWORD SizeOfHeapCommit; // 初始化时实际提交的堆大小
+70h DWORD LoaderFlags; // 与调试有关,默认为 0
+74h DWORD NumberOfRvaAndSizes; // 下边数据目录的项数,这个字段自Windows NT 发布以来一直是16
+78h IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // 数据目录表
} IMAGE_OPTIONAL_HEADER32
需要注意的点:
Magic 逆向工程核心原理此处有错误, 普通可执行文件的值为 01 0Bh
AddressOfEntryPoint 指向入口地址 RVA地址
ImageBase 指出文件的优先装入地址。 进程虚拟内存空间为0-FFFFFFFF(32位系统),
EXE、DLL文件被装入内存的0-7FFFFFFF中,SYS文件被装入内存的80000000-FFFFFFFF中。
对于EXE文件,由于每个文件都使用独立的虚拟地址空间,优先装入地址不会被占用,所以总是可以依照该地址装入,
EXE文件也不需要重定位信息,一般EXE文件对应的该值为00400000h。
DLL文件的优先装入地址可能被占用,因此DLL文件必须包含重定位信息,一般DLL文件对应的该值为10000000h
SectionAlignment 指定了节被装入内存后的对齐单位
FileAlignment 指定了节存储在磁盘文件中的对齐单位
SizeOfImage 指定了 当PE文件被加载进内存后在虚拟内存占用的空间大小
SizeOfHeader 指定了 所有头 + 区块表 的大小
SubSystem 指定使用界面的子系统, 该字段决定系统如何为程序建立初始的界面,取值如下:
NumberOfRvaAndSizes 指定 DataDirectory 数组长度 目前为止固定为 00 00 00 10h
DataDirectory 最重要的字段之一,由16个IMAGE_DATA_DIRECTORY结构组成。
虽然PE文件中的数据是按照装入内存后的页属性归类而被放在不同的节中的,但是这些
处于各个节中的数据按照用途可以被分为导出表、导入表、资源、重定位表等数据块,
这16个IMAGE_DATA_DIRECTORY结构就是用来定义多种不同用途的数据块的。
数据目录列表(DataDirectory) 包含以下结构: 比较重要的是 导出表 导入表 资源表 重定位表 TLS Directory(thread local storage)
