pe头

1.dos头

结构：

struct _IMAGE_DOS_HEADER {

    WORD e_magic;

    WORD e_cblp;

    WORD e_cp;

    WORD e_crlc;

    WORD e_cparhdr;

    WORD e_minalloc;

    WORD e_maxalloc;

    WORD e_ss;

    WORD e_sp;

    WORD e_csum;

    WORD e_ip;

    WORD e_cs;

    WORD e_lfarlc;

    WORD e_ovno;

    WORD e_res[4];

    WORD e_oemid;

    WORD e_oeminfo;

    WORD e_res2[10];

    DWORD e_lfanew;

}

重要的属性：

 

2.标准pe头

根据dos头的e_lfanew可以找到nt头；

nt头的结构：

struct _IMAGE_NT_HEADERS {

    DWORD Signature;

    _IMAGE_FILE_HEADER FileHeader;

    _IMAGE_OPTIONAL_HEADER OptionalHeader;

};

nt头的第一个属性是pe标记，占4个字节，值是50 45 00 00，其中50 45对应英文字母pe；

 

标志pe头结构：

struct _IMAGE_FILE_HEADER {

    WORD Machine;

    WORD NumberOfSections;

    DWORD TimeDateStamp;

    DWORD PointerToSymbolTable;

    DWORD NumberOfSymbols;

    WORD SizeOfOptionalHeader;

    WORD Characteristics;

};

重要的属性：

3.可选pe头

结构：

struct _IMAGE_OPTIONAL_HEADER {

    WORD Magic;

    BYTE MajorLinkerVersion;

    BYTE MinorLinkerVersion;

    DWORD SizeOfCode;

    DWORD SizeOfInitializedData;

    DWORD SizeOfUninitializedData;

    DWORD AddressOfEntryPoint;

    DWORD BaseOfCode;

    DWORD BaseOfData;

    DWORD ImageBase;

    DWORD SectionAlignment;

    DWORD FileAlignment;

    WORD MajorOperatingSystemVersion;

    WORD MinorOperatingSystemVersion;

    WORD MajorImageVersion;

    WORD MinorImageVersion;

    WORD MajorSubsystemVersion;

    WORD MinorSubsystemVersion;

    DWORD Win32VersionValue;

    DWORD SizeOfImage;

    DWORD SizeOfHeaders;

    DWORD CheckSum;

    WORD Subsystem;

    WORD DllCharacteristics;

    DWORD SizeOfStackReserve;

    DWORD SizeOfStackCommit;

    DWORD SizeOfHeapReserve;

    DWORD SizeOfHeapCommit;

    DWORD LoaderFlags;

    DWORD NumberOfRvaAndSizes;

    _IMAGE_DATA_DIRECTORY DataDirectory[16];

};

 

属性说明及重要属性：

 

4.内存镜像基址

如果用程序将一个exe文件读到自己申请的内存即缓冲区时；

缓冲区内容和exe文件的内容完全一样；

缓冲区中的内容无法运行，因为缺少一个拉伸的过程和其它操作；

如果想让程序运行，需要从ImageBase开始向后装载程序；

例如：

    一个exe文件，从硬盘直接读到内存是从地址0开始的，此时无法运行；

    如果想让它运行，必须从内存镜像基址ImageBase开始加载，例如如果内存是400000就从地址400000处开始放dos头，后面以此类推；

    而0到400000则是系统保留区，请求这里的内存时会报错；例如经常将malloc申请的内存释放后，指针指向NULL，也就是0，别再使用该指针就会报错；

 

计算程序入口点时需要加上ImageBase的值，即ImageBase+AddressOfEntryPoint；

 

pe程序为什么要设计成ImageBase+偏移地址的形式：

    因为imagebase不靠谱，可能被其它pe文件抢占，为了保证即使地址被抢占了程序也能正常运行；

 

加ImageBase的目的：

    空出一块内存保护指针；

    为了模块对齐；    ->例如一个exe可能有多个pe文件dll，对齐可以提高查询速度，相当于书的分页方便查找；

 

5.解析pe头

LPVOID ReadPEFile(LPSTR lpszFile)        

{        

    FILE *pFile = NULL;    

    DWORD fileSize = 0;    

    LPVOID pFileBuffer = NULL;    

        

    //打开文件    

    pFile = fopen(lpszFile, "rb");        

    if(!pFile)    

    {    

        printf(" 无法打开 EXE 文件! ");

        return NULL;

    }    

    //读取文件大小        

    fseek(pFile, 0, SEEK_END);    

    fileSize = ftell(pFile);        

    fseek(pFile, 0, SEEK_SET);        

    //分配缓冲区    

    pFileBuffer = malloc(fileSize);    

        

    if(!pFileBuffer)    

    {    

        printf(" 分配空间失败! ");

        fclose(pFile);

        return NULL;

    }    

    //将文件数据读取到缓冲区    

    size_t n = fread(pFileBuffer, fileSize, 1, pFile);    

    if(!n)    

    {    

        printf(" 读取数据失败! ");

        free(pFileBuffer);

        fclose(pFile);

        return NULL;

    }    

    //关闭文件    

    fclose(pFile);    

    return pFileBuffer;        

}        

        

VOID PrintNTHeaders()        

{        

    LPVOID pFileBuffer = NULL;    

    PIMAGE_DOS_HEADER pDosHeader = NULL;    

    PIMAGE_NT_HEADERS pNTHeader = NULL;    

    PIMAGE_FILE_HEADER pPEHeader = NULL;    

    PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;    

    PIMAGE_SECTION_HEADER pSectionHeader = NULL;    

        

    pFileBuffer = ReadPEFile(FILEPATH);    

    if(!pFileBuffer)    

    {    

        printf("文件读取失败\n");

        return ;

    }    

        

    //判断是否是有效的MZ标志    

    if(*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)    

    {    

        printf("不是有效的MZ标志\n");

        free(pFileBuffer);

        return ;

    }    

    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;    

    //打印DOC头    

    printf("********************DOC头********************\n");    

    printf("MZ标志：%x\n",pDosHeader->e_magic);    

    printf("PE偏移：%x\n",pDosHeader->e_lfanew);    

    //判断是否是有效的PE标志    

    if(*((PDWORD)((DWORD)pFileBuffer+pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)    

    {    

        printf("不是有效的PE标志\n");

        free(pFileBuffer);

        return ;

    }    

    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);    

    //打印NT头    

    printf("********************NT头********************\n");    

    printf("NT：%x\n",pNTHeader->Signature);    

    pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);    

    printf("********************PE头********************\n");    

    printf("PE：%x\n",pPEHeader->Machine);    

    printf("节的数量：%x\n",pPEHeader->NumberOfSections);    

    printf("SizeOfOptionalHeader：%x\n",pPEHeader->SizeOfOptionalHeader);    

    //可选PE头    

    pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);    

    printf("********************OPTIOIN_PE头********************\n");    

    printf("OPTION_PE：%x\n",pOptionHeader->Magic);    

    //释放内存    

    free(pFileBuffer);    

}