WinHex分析PE格式（1）

最近在一直努力学习破解，但是发现我的基础太差了，就想学习一下PE结构。可是PE结构里的结构关系太复杂，看这老罗的WiN32汇编最后一章

翻两页又合上了。。把自己的信心都搞没了。感觉自己的理解能力不行，实践一下也许会好一点，可是怎么实践，进看雪搜一下发现了不

少帖子的手写PE 太牛了 。。，心想咱们手写不行 看总没问题吧。于是找了个MASM编写的5K小软（麻雀虽小五脏具全），丢

进PEID里看看有啥,这些资料怎么来的当然是PE格式告诉它的，我们要学会用WinHex得到这些数据。

学PE格式要什么基础呢？
1.对16进制有些了解
2.对于BTYE , WORD ,DWORD单位深入了解
3.对于Win32的结构组成熟悉
4.没有兴趣的就别浪费时间了。。
个人看法勿骂（看雪氛气还不错。）
这里用的的工具是著名的 16进制工具 WINHEX（不认识的朋友了解一下在看吧）
我们不能一口吃下一个胖子，所以这篇文章里我只讲了PE格式里的头部分，不包含节表和节。
首先看这篇文章的核心WinHex 的内容

图片有些模糊放大看或下载看效果比较好

这里使用标号X.X.X 助于理解其关系

1.水蓝色的线条包围起来的结构   IMAGE_DOS_HEADER
IMAGE_DOS_HEADER STRUCT

e_magic             WORD      ?      ；DOS可执行文件标记，为“MZ”

e_cblp              WORD      ?

e_cp                WORD      ?

e_crlc              WORD      ?

e_cparhdr           WORD      ?

e_minalloc          WORD      ?

e_maxalloc          WORD      ?

e_ss                WORD      ?      ；DOS代码的初始化堆栈段

e_sp                WORD      ?      ；DOS代码的初始化堆栈指针

e_csum              WORD      ?

e_ip                WORD      ?      ；DOS代码的入口IP

e_cs                WORD      ?      ；DOS代码的入口CS

e_lfarlc            WORD      ?

e_ovno              WORD      ?

e_res               WORD   4 dup(?)

e_oemid             WORD      ?

e_oeminfo           WORD      ?

e_res2              WORD  10 dup(?)

e_lfanew            DWORD      ? ；指向PE文件头  （重点）

IMAGE_DOS_HEADER ENDS
这个结构是DOS文件头用以兼容DOS 一般不理会 不过要注意的是结构的头和尾
头 固定是"MZ"  0x4D5A
尾 指向PE文件头 DWORD类型 这里是C0 00 00 00(箭头指向)
中间部分是DOS文件块 “This program cannot be run in DOS mode.”退出
不管 呵呵 貌似牛人手写PE也都是0填充
2.黑色的线包围起来未结束结构 IMAGE_NT_HEADERS 
这个结构比较复杂
IMAGE_NT_HEADERS STRUCT

Signature          DWORD                       ?       ；PE文件标识

FileHeader         IMAGE_FILE_HEADER        <>

OptionalHeader    IMAGE_OPTIONAL_HEADER32 <>

IMAGE_NT_HEADERS ENDS

2.1 Signature          固定是"PE" 即  50 45 00 00
2.2 FileHeader         IMAGE_FILE_HEADER (镶嵌的一个结构)
IMAGE_FILE_HEADER STRUCT

Machine                  WORD    ?    ；0004h - 运行平台

NumberOfSections      WORD    ?    ；0006h - 文件的节数目

TimeDateStamp           DWORD   ?   ；0008h - 文件创建日期和时间

PointerToSymbolTable  DWORD   ?   ；000ch - 指向符号表（用于调试）

NumberOfSymbols       DWORD   ?   ；0010h - 符号表中的符号数量（用于调试）

SizeOfOptionalHeader  WORD    ?      ；0014h - IMAGE_OPTIONAL_HEADER32结构的长度

Characteristics       WORD    ?    ；0016h - 文件属性

IMAGE_FILE_HEADER ENDS

这里的字段我都用紫色包围起来7个部分
2.2.1 4C 01  Inter 平台
2.2.2  04 00 4个节区 和PEID节查看器比对一下确实是4个。
2.2.3  74 20 AB 38  好大的书啊  得到文件的创建时间日期 算法很简单加上固定的数
2.2.4 调试使用
2.2.5 同上
2.2.6   IMAGE_OPTIONAL_HEADER32结构长度及 2.3 的长度
2.2.7  文件属性  可执行文件一般是 0F 01

2.3  IMAGE_OPTIONAL_HEADER32结构 
         2.2.6就是定义它的长度
IMAGE_OPTIONAL_HEADER32 STRUCT

Magic                                 WORD  ? ;0018h 107h＝ROM Image,10Bh=exe Image

MajorLinkerVersion              BYTE  ? ;001ah 链接器版本号

MinorLinkerVersion              BYTE  ? ;001bh

SizeOfCode                           DWORD ? ;001ch 所有含代码的节的总大小

SizeOfInitializedData           DWORD? ;0020h所有含已初始化数据的节的总大小

SizeOfUninitializedData       DWORD ? ;0024h 所有含未初始化数据的节的大小

AddressOfEntryPoint             DWORD ? ;0028h 程序执行入口RVA

BaseOfCode                           DWORD ? ;002ch 代码的节的起始RVA

BaseOfData                           DWORD ? ;0030h 数据的节的起始RVA

ImageBase                            DWORD ? ;0034h 程序的建议装载地址

SectionAlignment                DWORD ? ;0038h 内存中的节的对齐粒度

FileAlignment                    DWORD ? ;003ch 文件中的节的对齐粒度

MajorOperatingSystemVersion   WORD  ? ;0040h 操作系统主版本号

MinorOperatingSystemVersion   WORD  ? ;0042h 操作系统副版本号

MajorImageVersion               WORD  ? ;0044h可运行于操作系统的最小版本号

MinorImageVersion               WORD  ? ;0046h

MajorSubsystemVersion           WORD ?;0048h 可运行于操作系统的最小子版本号

MinorSubsystemVersion           WORD  ? ;004ah

Win32VersionValue               DWORD ? ;004ch 未用

SizeOfImage                      DWORD ? ;0050h 内存中整个PE映像尺寸

SizeOfHeaders                    DWORD ? ;0054h 所有头＋节表的大小

CheckSum                              DWORD ? ;0058h

Subsystem                            WORD  ? ;005ch 文件的子系统

DllCharacteristics              WORD  ? ;005eh

SizeOfStackReserve             DWORD ? ;0060h 初始化时的堆栈大小

SizeOfStackCommit              DWORD ? ;0064h 初始化时实际提交的堆栈大小

SizeOfHeapReserve              DWORD ? ;0068h 初始化时保留的堆大小

SizeOfHeapCommit                DWORD ? ;006ch 初始化时实际提交的堆大小

LoaderFlags                      DWORD ? ;0070h 未用

NumberOfRvaAndSizes             DWORD ? ;0074h 下面的数据目录结构的数量

DataDirectory                    IMAGE_DATA_DIRECTORY 16 dup(<>) ;0078h

IMAGE_OPTIONAL_HEADER32 ENDSs

这个结构有点夸张有31个字段 PEID的的主窗体里显示信息大部分来自这里
这里用紫色分格成31个部分 最后一个部分没有全部显示出来
2.3.1 EXE程序固定 0B 01

2.3.2-3 连接器版本 PEID里显示 5.12  这里显示 05 0C 没 就是这来的
这里是  是BTYE 类型的 8位2个 
2.3.4 
2.3.

2.3.7 程序执行入口  00 10 00 00  和PEID 入口点 00010000 相同不理解的朋友（注意高低位问题）

2.3.8  代码起始虚拟地址VA（比较复杂-需要高手点评）  可执行代码的开始位置（重点）
2.3.9  数据起始虚拟地址VA（比较复杂）  数据的开始位置（重点）
2.3.10 程序的建议装载地址 一般是00 40 00 00
2.3.11 根据Window内存分页特点 所以一般是 00 10 00 00
2.3.12 文件中节对齐的粒度 即使节的值远远小于这个值节的大小也会按照这个处理
 既节大小必是这个值的整数倍 这里是 00 02 00 00
2.3.13 操作系统主版本号  04 00  （不用理会）
2.3.14 操作系统副版本号 00 00  （同上）
2.3.15 可运行于操作系统的最小版本号  00 00
2.3.16     00 00
2.3.17 子系统主版本号  04 Window系统PE格式的都是这个值4.0
2.3.18  子系统副版本号 值4.0  既副为 00
2.3.19  未使用   00 00 00 00
2.3.20 调入后占用内存大小 这里可以通过计算得到  4个节+PE头 对齐后得到的 00 50 00 00 
2.3.21 所有头＋节表的大小 和对齐粒度 200 对齐是 00 04 00 00  PEID中显示的文件偏移就是这个值
2.3.22 它仅用在驱动程序中
2.3.23  文件的子系统 
  IMAGE_SUBSYSTEM_NATIVE (1) 不需要子系统。用在驱动程序中。
        IMAGE_SUBSYSTEM_WINDOWS_GUI(2) WIN32 graphical程序
        IMAGE_SUBSYSTEM_WINDOWS_CUI(3) WIN32 console程序（它可以一开始自动建立）。
        IMAGE_SUBSYSTEM_OS2_CUI(5) OS/2 console程序（因为程序是OS/2格式，所以它很少用在PE）。
        IMAGE_SUBSYSTEM_POSIX_CUI(7) POSIX console程序。
  一般程序这里的值都是 02 00
  PEID 里显示的子系统  Win32 GUI  就是这里来的，把这儿改成3 就PEID就显示Win32 console
  运行看看 后面出来个命令行窗口 有趣 呵呵
2.3.24 未使用  零填充
2.3.25  保留堆栈大小 00 00 10 00
2.3.26  启动后实际申请的堆栈数 00 10 00 00
2.3.27  保留堆栈大小 00 00 10 00
2.3.28  实际堆大小  00 10 00 00 （？）
2.3.29  装载标志（不用理会0填充）
2.3.30  表示 2.3. 31的数组大小  默认16 既 10 00 00 00
2.3.31

16个_IMAGE_DATA_DIRECTORY 数组
  typedef struct _IMAGE_DATA_DIRECTORY {
      DWORD   VirtualAddress;
      DWORD   Size;
  } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
2.3.31.1.1 目录地址
2.3.31.1.2 目录大小
  .
  .
  .
2.3.31.16 共16个目录 意义如下

分别是(图片上显示的不完整)
      IMAGE_DIRECTORY_ENTRY_EXPORT (0)导出目录用于DLL    
      IMAGE_DIRECTORY_ENTRY_IMPORT (1)导入目录    
      IMAGE_DIRECTORY_ENTRY_RESOURCE (2)资源目录    
      IMAGE_DIRECTORY_ENTRY_EXCEPTION (3)异常目录    
      IMAGE_DIRECTORY_ENTRY_SECURITY (4)安全目录    
      IMAGE_DIRECTORY_ENTRY_BASERELOC (5)重定位表    
      IMAGE_DIRECTORY_ENTRY_DEBUG (6)调试目录
      IMAGE_DIRECTORY_ENTRY_COPYRIGHT (7)描述版权串    
      IMAGE_DIRECTORY_ENTRY_GLOBALPTR (8)机器值    
      IMAGE_DIRECTORY_ENTRY_TLS (9)Thread local storage目录
      IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG (10)Load configuration 目录    
      IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (11)Bound import directory目录    
      IMAGE_DIRECTORY_ENTRY_IAT (12)Import Address Table输入地址表目录
      IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
      IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor、
  ??           15  //未使用

这次就写到这里吧。
感觉学起来也不会很难，一直是自己吓自己。
接下来是各段（节）的头部等我自己理解透彻了再给大家写一篇吧。

参考
1.老罗Win32汇编最后一章 
2. http://bbs.pediy.com/showthread.php?t=48590