逆向学习-PE文件格式

从DOS头到节区头是PE头部分，其下的节区合称PE体。文件中使用偏移(offset),内存中使用VA（Virtual Address，虚拟地址）来表示位置。文件加载到内存时，情况就会发生变化（节区的大小、位置等）。文件的内容一般可分为代码（.text）、数据（.data）、资源（,rsrc）节，分别保存。

VA指的是进程虚拟内存的绝对地址，RVA（Relative Virtuall Address，相对虚拟地址）指从某个基准位置（ImageBase）开始的相对地址。

VA与RVA满足：RVA+ImageBase=VA   　　　　　　PE头内部信息大多以RVA形式存在。

DOS头

　　IMAGE_DOS_HEADER结构体大小为64字节。

　　其中有2个重要成员：e_magic与e_lfanew。（分别在结构体的开头和结尾）

　　e_magic:　DOS签名(signature, 4D5A=>ASCII值“MZ”)

　　e_lfanew:　指示NT头的偏移（根据不同文件拥有可变值）。

NT头

　　IMAGE_NT_HEADERS结构体由3个成员组成，第一个成员为签名（Signature）结构体，其值为50450000h（“PE”00）。另外两个成员分别为文件头（File Header）与可选头（Optional Header）结构体。IMAGE_NT_HEADERS结构体的大小为F8。

　文件头

　　typedef struct _IMAGE_FILE_HEADER {
　　WORD Machine;
　　WORD NumberOfSections;
　　DWORD TimeDateStamp;
　　DWORD PointerToSymbolTable;
　　DWORD NumberOfSymbols;
　　WORD SizeOfOptionalHeader;
　　WORD Characteristics;
　　} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

　　IMAGE_FILE_HEADER结构体有4种重要成员。

　　1.Machine，每个cpu都有唯一的Machine码。

　　2.NumberOfSections　　用来指出文件中存在的节区数量，要与实际节区数相同。

　　3.SizeOfOptionalHeader　　用来指出IMAGE_OPTIONAL_HEADER32结构体的长度。（32位和64位是不同的）

　　4.Characteristics　　　　　用于标识文件的属性，文件是否是可运行的形态、是否为DLL文件等信息，以bit OR形式组合起来。 0x0002代表可执行文件，0x2000代表DLL文件。

　可选头

　　typedef struct _IMAGE_OPTIONAL_HEADER {

　　WORD Magic; 10B 32位PE 20B 64位PE 107 ROM映像
　　BYTE MajorLinkerVersion; 链接器版本号
　　BYTE MinorLinkerVersion; 链接器副版本号
　　DWORD SizeOfCode; 所有代码节的总和 该大小是基于文件对齐后的大小
　　DWORD SizeOfInitializedData; 所有含已初始化数据的节的总大小
　　DWORD SizeOfUninitializedData; 所有含未初始化数据的节的大小
　　DWORD AddressOfEntryPoint; 程序执行入口RVA
　　DWORD BaseOfCode; 代码节的起始RVA
　　DWORD BaseOfData; 数据节的起始RVA
　　DWORD ImageBase; 程序的优先装载地址
　　DWORD SectionAlignment; 内存中节的对齐粒度
　　DWORD FileAlignment; 文件中节的对齐粒度
　　WORD MajorOperatingSystemVersion; 操作系统主版本号
　　WORD MinorOperatingSystemVersion; 操作系统副版本号
　　WORD MajorImageVersion; PE文件映像的版本号
　　WORD MinorImageVersion;
　　WORD MajorSubsystemVersion; 子系统的版本号
　　WORD MinorSubsystemVersion;
　　DWORD Win32VersionValue; 未用 必须设置0
　　DWORD SizeOfImage; 内存中整个PE文件的映像尺寸
　　DWORD SizeOfHeaders; 所有节表按照文件对齐粒度后的大小
　　DWORD CheckSum; 校验和
　　WORD Subsystem; 指定使用界面的子系统
　　WORD DllCharacteristics; DALL文件属性
　　DWORD SizeOfStackReserve; 初始化时保留的栈的大小
　　DWORD SizeOfStackCommit; 初始化时实际提交的栈的大小
　　DWORD SizeOfHeapReserve; 初始化时保留的堆的大小
　　DWORD SizeOfHeapCommit; 初始化时实际提交的堆的大小
　　DWORD LoaderFlags; 加载标志 未用
　　DWORD NumberOfRvaAndSizes; 下面的数据目录结构的数量
　　IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
　　} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
　　重要成员

　　1.Magic　　32位时，值为10B，64位时，值为20B。

　　2.AddressOfEntryPoint　　持有EP的RVA值，指出程序最先执行的代码起始地址。

　　3.ImageBase　　进程虚拟内存的范围是0～FFFFFFFF（32位）。ImageBase指出文件的优先装入地址。EXE、DLL文件被装载到用户内存的0~7FFFFFFF中，SYS加载到80000000～FFFFFFFF。一般而言，EXE的ImageBase的值为00400000，DLL文件的ImageBase的值为10000000.文件载入后的地址为ImageBase+AddressOfEntryPoint。

　　4.SectionAlignment，FileAlignment 　　FileAlignment指定了节区在磁盘文件中的最小单位，SectionAlignment指定了节区在内存中的最小单位。磁盘文件或内存的节区大小必定为他们的值的整数倍。

　　5.SizeOfImage　　指定了PE Image在虚拟内存中所占空间的大小。一般而言，文件的大小与加载到内存中的大小是不同的。

　　6.SizeOfHeader　　指出整个PE头的大小。该值必须是FileAlignment的整数倍。第一节区所在位置与SizeHeaders距文件开始偏移的量相同。

　　7.Subsystem　　区分系统驱动文件和普通的可执行文件。

　　8.NumberOfRvaAndSizes　　用来指定DataDirectory数组的个数。

　　9.DataDirectory　　是由IMAGE_DATA_DIRECTORY结构体组成的数组。　

　　　　#define IMAGE_DIRECTORY_ENTRY_EXPORT 0 导出表
　　　　#define IMAGE_DIRECTORY_ENTRY_IMPORT 1 导入表
　　　　#define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 资源目录
　　　　#define IMAGE_DIRECTORY_ENTRY_EXCEPTION 3 异常目录
　　　　#define IMAGE_DIRECTORY_ENTRY_SECURITY 4 安全目录
　　　　#define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 重定位基本表
　　　　#define IMAGE_DIRECTORY_ENTRY_DEBUG 6 调试目录
　　　　#define IMAGE_DIRECTORY_ENTRY_COPYRIGHT 7 描术字串
　　　　#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8 机器值
　　　　#define IMAGE_DIRECTORY_ENTRY_TLS 9 TLS目录
　　　　#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 10 载入配值目录
　　　　#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 11 绑定输入表
　　　　#define IMAGE_DIRECTORY_ENTRY_IAT 12 导入地址表
　　　　#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT 13 延迟载入描述
　　　　#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14 COM信息

节区头

　　

　　VirtualSize　　内存中节区所占大小

　　VirtualAddress　　内存中节区起始地址（RVA）　　不带有任何值，由SectionAlignment确定

　　SizeOfRawData　　磁盘文件中节区所占大小

　　PointerToRawData　　磁盘文件中节区起始位置　　不带有任何值，由FileAlignment确定

　　Characteristics　　节区属性（bit OR）

RVA to RAW

　　RAW = RVA - VirtualAddress + PointerToRawData

IAT（Import Address Table，导入地址表）

　　IMAGE_IMPORT_DESCRIPTOR

　　　　记录着PE文件要导入哪些库文件。

　　typedef struct _IMAGE_IMPORT_DESCRIPTOR {

　　union {
　　DWORD Characteristics;
　　DWORD OriginalFirstThunk; //INT(Import Name Table) address (RVA)
　　};
　　DWORD TimeDateStamp;
　　DWORD ForwarderChain;
　　DWORD Name; //library name string address (RVA)
　　DWORD FirstThunk; //IAT(Import Address Table) address (RVA)
　　} IMAGE_IMPORT_DESCRIPTOR;

　　typedef struct _IMAGE_IMPORT_BY_NAME {
　　WORD Hint; //ordinal
　　BYTE Name[1]; //function name string
　　} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

　　　　重要成员：

　　　　　　OriginalFirstThunk　　INT的地址（RVA）

　　　　　　Name　　库名称字符串的地址（RVA）

　　　　　　FirstThunk　　IAT的地址（RVA）

　　　　导入函数输入至IAT的顺序：

　　　　　　1.读取IID的Name成员，获取库名称字符串("kernel32.dll")

　　　　　　2.装载相应库——————> LoadLibrary("kernel32.dll")

　　　　　　3.读取IID的OriginalFirstThunk成员，获取INT地址

　　　　　　4.逐一读取INT中数组的值，获取相应IMAGE_IMPORT_BY_NAME地址(RVA)

　　　　　　5.使用IMAGE_IMPORT_BY_NAME的Hint(ordinal) 或Name项，获取相应函数的起始地址。 GetProcAddress("GetCurrentThreadId")

　　　　　　6.读取IID的FirstThunk(IAT)成员，获得IAT地址

　　　　　　7.将上面获得的函数地址输入相应IAT数组值。

　　　　　　8.重复以上补助4~7，直到INT结束(遇到NULL时)

EAT

　　IMAGE_EXPORT_DIRECTORY

　　　　typedef struct _IMAGE_EXPORT_DIRECTORY {
　　　　DWORD Characteristics; // 未使用，总为0 DWORD TimeDateStamp; // 文件创建时间戳
　　　　WORD MajorVersion; // 未使用，总为0 WORD MinorVersion; // 未使用，总为0
　　　　DWORD Name; // 指向一个代表此 DLL名字的 ASCII字符串的 RVA
　　　　DWORD Base; // 函数的起始序号
　　　　DWORD NumberOfFunctions; // 导出函数的总数 DWORD NumberOfNames; // 以名称方式导出的函数的总数 DWORD AddressOfFunctions; // 指向输出函数地址的RVA
　　　　DWORD AddressOfNames; // 指向输出函数名字的RVA
　　　　DWORD AddressOfNameOrdinals; // 指向输出函数序号的RVA} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

　　　　重要成员：

　　　　　　NumberOfFunctions　　实际Export函数的个数

　　　　　　NumberOfNames　　　　Export中具名的函数个数

　　　　　　AddressOfFunctions　　Export函数地址数组

　　　　　　AddressOfName　　　　函数名称地址数组

　　　　　　AddressOfNameOrdinals　　Ordinal地址数组

　　　　GetProcAddress()操作原理：

　　　　　　（1）利用AddressOfNames成员转到“函数名称数组”。

　　　　　　（2）“函数名称数组”中存储着字符串地址。通过比较字符串，查找指定的函数名称（此时数组的索引称为name_index）。

　　　　　　（3）利用AddressOfNameOrdinals成员，转到ordinal数组。

　　　　　　（4）在ordinal数组中通过name_index查找相应ordinal值。

　　　　　　（5）利用AddressOfFunctions成员转到“函数地址数字”（EAT）

　　　　　　（6）在“函数地址数组”中将刚刚求得的ordinal用作数组索引，获得指定函数的起始地址。