PE文件格式(内容详细)

1、PE文件格式(内容详细)u在在DOS环境下有四种基本的可执行文件格式环境下有四种基本的可执行文件格式8批处理文件，以批处理文件，以.BAT结尾的文件结尾的文件8设备驱动文件，是以设备驱动文件，是以.SYS结尾的文件，如结尾的文件，如CONFIG.SYS8COM文件，是以文件，是以.COM结尾的纯代码文件结尾的纯代码文件没有文件头部分，缺省情况下总是从没有文件头部分，缺省情况下总是从0 x100H处开始执行，处开始执行，没有重定位项，所有代码和数据必须控制在没有重定位项，所有代码和数据必须控制在64K以内以内8EXE文件，是以文件，是以.EXE结尾的文件结尾的文件文件以英文字母文件以英文字母“M

2、Z”开头，通常称之为开头，通常称之为MZ文件文件MZ文件有一个文件头，用来指出每个段的定义，以及重定文件有一个文件头，用来指出每个段的定义，以及重定位表。位表。.EXE文件摆脱了代码大小最多不能超过文件摆脱了代码大小最多不能超过64K的限制的限制，是，是DOS下最主要的文件格式下最主要的文件格式u在在Windows 3.0/3.1的可执行文件，在的可执行文件，在MZ文件头之后又有文件头之后又有一个以一个以“NE”开始的文件头，称之为开始的文件头，称之为NE文件文件u在在Win32位平台可执行文件格式：可移植的可执行文件位平台可执行文件格式：可移植的可执行文件(Portable Executab

3、le File)格式，即格式，即PE格式。格式。MZ文件头文件头之后是一个以之后是一个以“PE”开始的文件头开始的文件头u 安装在硬盘上的程序没运行安装在硬盘上的程序没运行-静态静态u 加载到内存加载到内存-动态动态MZ文件格式文件格式-Mark Zbikowski u.EXE文件由三部分构成：文件头、重定位表和二进制代码文件由三部分构成：文件头、重定位表和二进制代码u允许代码、数据、堆栈分别处于不同的段，每一段都可以是允许代码、数据、堆栈分别处于不同的段，每一段都可以是64KB.偏移偏移大小大小(字节字节)描述描述002EXE文件类型标记：文件类型标记： 4D5Ah(ASCII字符字符MZ)

4、022文件最后一个扇区的字节数文件最后一个扇区的字节数042文件的总扇区文件的总扇区(页页)数数文件的大小文件的大小=(总扇区数总扇区数-1) 512+最后一个扇区的字节数最后一个扇区的字节数062重定位项的个数重定位项的个数082EXE文件头的大小文件头的大小(16字节的倍数字节的倍数)0A2最小分配数最小分配数(16字节的倍数字节的倍数)0C2最大分配数最大分配数(16字节的倍数字节的倍数)0E2初始化堆栈段初始化堆栈段(SS初值初值)102初始化堆栈指针初始化堆栈指针(SP初值初值)122补码校验和补码校验和142初始代码段指针初始代码段指针(IP初值初值)162初始代码段段地址初始代码

5、段段地址(CS初值初值)182定位表的偏移地址定位表的偏移地址(第一个重定位项的偏移量第一个重定位项的偏移量)1A2连接程序产生的覆盖号连接程序产生的覆盖号确定确定MZ文件的大小文件的大小以大小为以大小为512B的页为存储单位的页为存储单位确定代码的开始处确定代码的开始处执行代码的入口地址执行代码的入口地址重定位表的指针链表重定位表的指针链表比如调用比如调用C的库函数的库函数加载加载EXE文件文件调用调用C的库函数的库函数程序编译后：程序编译后： 0000:0000 9A78563412 call far 1234:5678 程序加载器的重定位工作，就是将程序中需要重定位程序加载器的重定位工作

6、，就是将程序中需要重定位的地方，都加上程序的加载地址。的地方，都加上程序的加载地址。 这个程序被加载到了内存中的这个程序被加载到了内存中的1111段处。那么完成重段处。那么完成重定位后，代码应该是这样：定位后，代码应该是这样： 1111:0000 9A78564523 call far 2345:5678 NE文件格式文件格式u NE是是New Excutable的缩写，是的缩写，是16位位Windows可可执行文件的标准格式，这种格式基本上没用了执行文件的标准格式，这种格式基本上没用了u NE在在MZ文件头之后添加了一个以文件头之后添加了一个以“NE”开始的文开始的文件头件头PE文件格式文件

7、格式u Win32可执行文件，如可执行文件，如*.EXE、*.DLL、*.OCX等，等，都是都是PE格式格式u PE的意思就是的意思就是Portable Executable(可移植、可执可移植、可执行行)，它是，它是Win32可执行文件的标准格式可执行文件的标准格式u 由于大量的由于大量的EXE文件被执行，且传播的可能性最大文件被执行，且传播的可能性最大，因此，因此，Win32病毒感染文件时，基本上都会将病毒感染文件时，基本上都会将EXE文件作为目标文件作为目标计算机病毒也是程序或者程序代码，而且也是可执行的，否则无法感染、破坏、隐藏等，其病毒文件也是遵循PE的格式结构。PE文件格式文件格式

8、u一般来说，病毒往往先于一般来说，病毒往往先于HOST程序获得控制权。运行程序获得控制权。运行Win32病毒的一般流程示意如下：病毒的一般流程示意如下：u用户点击或系统自动运行用户点击或系统自动运行HOST程序；程序；u装载装载HOST程序到内存；程序到内存；u通过通过PE文件中的文件中的AddressOfEntryPoint+ImageBase，定位第一条语句的位置定位第一条语句的位置(程序入口程序入口)；u从第一条语句开始执行从第一条语句开始执行(这时执行的其实是病毒代码这时执行的其实是病毒代码)；u病毒主体代码执行完毕，将控制权交给病毒主体代码执行完毕，将控制权交给HOST程序原来的程序

9、原来的入口代码；入口代码；uHOST程序继续执行。程序继续执行。u问题在于：计算机病毒怎会在问题在于：计算机病毒怎会在HOST程序之前执行？程序之前执行？PE文件格式文件格式MZ文件头:DOS MZ HEADERDOS插桩程序:DOS StubIMAGE_SECTION_HEADERIMAGE_SECTION_HEADERIMAGE_SECTION_HEADERIMAGE_SECTION_HEADER.text.data.edata.reloc.COFF行号COFF符号表Code View调试信息PE文件标志:“PE00”映像文件头:IMAGE_FILE_HEADER可选映像头:IMAGE_O

10、PTIONAL_HEADER32数据目录表:IMAGE_DATA_DIRECTORYDOS头PE文件头节表(Section Table)节(Section)调试信息文件头文件尾PE文件格式文件格式可看作为逻可看作为逻辑磁盘辑磁盘Boot扇区各种文件文件目录有了有了DOS头，程序在头，程序在DOS下执行，下执行，DOS就能识别这是个有效的执行体。就能识别这是个有效的执行体。DOS Stub是有效的是有效的DOS的可执行的代码，的可执行的代码，因而在不支持因而在不支持PE文件格式文件格式DOS下运行，下运行，它调用中断它调用中断21H的功能的功能9显示显示This program cannot b

11、e run in DOS mode 每种文件有不同属每种文件有不同属性，如只读、系统、性，如只读、系统、隐藏、文档等。节隐藏、文档等。节的划分是基于各种的划分是基于各种数据的共同属性，数据的共同属性，而不是逻辑概念。而不是逻辑概念。PE文件中的数文件中的数/代代码拥有相同的属性，码拥有相同的属性，就能被列入同一节。就能被列入同一节。因而节名仅仅是个因而节名仅仅是个名称而已，为了识名称而已，为了识别。真正理解节，别。真正理解节，要靠节的属性设置要靠节的属性设置PE文件结构文件结构PE文件格式文件格式u 相对虚拟地址相对虚拟地址 (Relative Virtual Addresses，RVA)8

12、相对虚拟地址是一个相对于相对虚拟地址是一个相对于PE文件映射到内存的文件映射到内存的基地址的偏移量基地址的偏移量 不能映射的数据.reloc.data.textDOS头节表PE头.reloc.data.textDOS头节表PE头文件头文件尾磁盘中的PE文件映射到内存中文件偏移地址基地址(ImageBase)某一虚拟地址(VA)相对虚拟地址(RVA)0X004000000X15600X00401560PE文件格式文件格式MS-DOS头（头（64字节）字节） USHORT(双字节无符号数)typedef struct _IMAGE_DOS_HEADER / DOStypedef struct _I

13、MAGE_DOS_HEADER / DOS的的.EXE.EXE头部头部 USHORT e_magic; / USHORT e_magic; / 魔术数字魔术数字 USHORT e_cblp; / USHORT e_cblp; / 文件最后页的字节数文件最后页的字节数 USHORT e_cp; / USHORT e_cp; / 文件页数文件页数 USHORT e_crlc; / USHORT e_crlc; / 重定向元素个数重定向元素个数 USHORT e_cparhdr; / USHORT e_cparhdr; / 头部尺寸，以段落为单位头部尺寸，以段落为单位 USHORT e_minall

14、oc; / USHORT e_minalloc; / 所需的最小附加段所需的最小附加段 USHORT e_maxalloc; / USHORT e_maxalloc; / 所需的最大附加段所需的最大附加段 USHORT e_ss; / USHORT e_ss; / 初始的初始的SSSS值值( (相对偏移量相对偏移量) ) USHORT e_sp; / USHORT e_sp; / 初始的初始的SPSP值值 USHORT e_csum; / USHORT e_csum; / 校验和校验和 USHORT e_ip; / USHORT e_ip; / 初始的初始的IPIP值值 USHORT e_cs

15、; / USHORT e_cs; / 初始的初始的CSCS值值( (相对偏移量相对偏移量) ) USHORT e_lfarlc; / USHORT e_lfarlc; / 重分配表文件地址重分配表文件地址 USHORT e_ovno; / USHORT e_ovno; / 覆盖号覆盖号 USHORT e_res4; / USHORT e_res4; / 保留字保留字 USHORT e_oemid; / OEMUSHORT e_oemid; / OEM标识符标识符( (相对相对e_oeminfo)e_oeminfo) USHORT e_oeminfo; / OEM USHORT e_oeminf

16、o; / OEM信息信息 USHORT e_res210; / USHORT e_res210; / 保留字保留字 LONG e_lfanew; / LONG e_lfanew; / 新新EXEEXE头部的文件地址头部的文件地址 IMAGE_DOS_HEADER, IMAGE_DOS_HEADER, * *PIMAGE_DOS_HEADER;PIMAGE_DOS_HEADER;MZPE头位置头位置PE装载器装载器跳过跳过DOS Stub定位到定位到PE文件头文件头PE文件格式文件格式uDOS头与头与DOS插桩程序插桩程序8PE结构中紧随结构中紧随MZ文件头之后的文件头之后的DOS插桩程序插桩程

17、序(DOS Stub)8可以通过可以通过IMAGE_DOS_HEADER结构来识别一个合法的结构来识别一个合法的DOS头头8可以通过该结构的可以通过该结构的e_lfanew(偏移偏移60，32bits)成员来找到成员来找到PE开始的标志开始的标志0 x00004550(“PE00”)8病毒通过病毒通过“MZ”、“PE”这两个标志，初步判断当前程序这两个标志，初步判断当前程序是否是目标文件是否是目标文件PE文件。如果要精确校验指定文件是文件。如果要精确校验指定文件是否为一有效否为一有效PE文件，则可以检验文件，则可以检验PE文件格式里的各个数文件格式里的各个数据结构，或者仅校验一些关键数据结构。

18、大多数情况下，据结构，或者仅校验一些关键数据结构。大多数情况下，没有必要校验文件里的每一个数据结构，只要一些关键数没有必要校验文件里的每一个数据结构，只要一些关键数据结构有效，就可以认为是有效的据结构有效，就可以认为是有效的PE文件文件PE文件格式文件格式u PE文件头文件头8 紧接着紧接着DOS Stub的是的是PE header8 PE header是是IMAGE_NT_HEADERS的简称，即的简称，即NT映像头映像头(PE文件头文件头)，存放，存放PE整个文件信息分整个文件信息分布的重要字段，包含了许多布的重要字段，包含了许多PE装载器用到的重要装载器用到的重要域。执行体在支持域。执行

19、体在支持PE文件结构的操作系统中执行文件结构的操作系统中执行时时8 PE装载器将从装载器将从DOS MZ header中找到中找到PE header的起始偏移量，从而跳过的起始偏移量，从而跳过DOS Stub直接直接定位到真正的文件头定位到真正的文件头PE headerPE文件格式文件格式uPEPE文件头的结构文件头的结构8 字符串字符串“PE00”(Signature)(4H字节字节) IMAGE_NT_HEADERS STRUCT IMAGE_NT_HEADERS STRUCT Signature dd ? Signature dd ? FileHeader IMAGE_FILE_HEAD

20、ER FileHeader IMAGE_FILE_HEADER OptionalHeader IMAGE_OPTIONAL_HEADER32OptionalHeader IMAGE_OPTIONAL_HEADER32IMAGE_NT_HEADERS ENDSIMAGE_NT_HEADERS ENDS检验检验PE文件文件的有效性？的有效性？首先检验文件头部第一个字的值是否等于首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE，是则，是则 DOS MZ header 有效。有效。一旦证明文件的一旦证明文件的 DOS header 有效后，就可用有效后，就可用e_lfane

21、w来定位来定位 PE header 了。了。比较比较 PE header 的第一个字的值是否等于的第一个字的值是否等于 IMAGE_NT_HEADER。如果前后两个值都匹。如果前后两个值都匹配，那我们就认为该文件是一个有效的配，那我们就认为该文件是一个有效的PE文件。文件。typedef struct _IMAGE_FILE_HEADER typedef struct _IMAGE_FILE_HEADER WORD Machine; / 0 x04 WORD Machine; / 0 x04，该程序要执行的环境及平台，该程序要执行的环境及平台 WORD NumberOfSections; /

22、0 x06WORD NumberOfSections; / 0 x06，文件中节的个数，文件中节的个数 DWORD TimeDateStamp; / 0 x08DWORD TimeDateStamp; / 0 x08，文件建立的时间，文件建立的时间 DWORD PointerToSymbolTable; / 0 x0cDWORD PointerToSymbolTable; / 0 x0c，COFFCOFF符号表的偏移符号表的偏移 DWORD NumberOfSymbols; / 0 x10DWORD NumberOfSymbols; / 0 x10，符号数目，符号数目 WORD SizeOfO

23、ptionalHeader; / 0 x14WORD SizeOfOptionalHeader; / 0 x14，可选头的长度，可选头的长度 WORD Characteristics; / 0 x16WORD Characteristics; / 0 x16，标志集合，标志集合 IMAGE_FILE_HEADER, IMAGE_FILE_HEADER, * *PIMAGE_FILE_HEADER;PIMAGE_FILE_HEADER;每个节表每个节表28H字节字节病毒感兴趣病毒感兴趣的地方，的地方，添加一个新节添加一个新节IMAGE_NT_HEADERS STRUCT IMAGE_NT_HEA

24、DERS STRUCT Signature dd ? Signature dd ? FileHeader IMAGE_FILE_HEADER FileHeader IMAGE_FILE_HEADER OptionalHeader IMAGE_OPTIONAL_HEADER32OptionalHeader IMAGE_OPTIONAL_HEADER32IMAGE_NT_HEADERS ENDSIMAGE_NT_HEADERS ENDSPE文件头的结构文件头的结构-映像文件头映像文件头-NT映像头的映像头的主要部分，主要部分，包含有包含有PE文文件的基本信息件的基本信息关于关于PE文件物理分布的基

25、本信息文件物理分布的基本信息关于文件信息的标记，比如文件是关于文件信息的标记，比如文件是 exe还是还是 dllPE文件逻辑分布的信息文件逻辑分布的信息PE文件格式文件格式8 紧跟映像文件头后面的是可选映像头紧跟映像文件头后面的是可选映像头-是必须的！是必须的！typedef struct _IMAGE_OPTIONAL_HEADER typedef struct _IMAGE_OPTIONAL_HEADER / / 标准域标准域: : / / WORD Magic; / 0 x18 WORD Magic; / 0 x18，一般是，一般是0 x010B0 x010B BYTE MajorLin

26、kerVersion; / 0 x1a BYTE MajorLinkerVersion; / 0 x1a，链接器的主，链接器的主/ /次版本号，次版本号， BYTE MinorLinkerVersion; / 0 x1bBYTE MinorLinkerVersion; / 0 x1b，这两个值都不可靠，这两个值都不可靠 DWORD SizeOfCode; / 0 x1cDWORD SizeOfCode; / 0 x1c，可执行代码的长度，可执行代码的长度 DWORD SizeOfInitializedData; / 0 x20DWORD SizeOfInitializedData; / 0 x

27、20，初始化数据的长度，初始化数据的长度( (数据节数据节) ) DWORD SizeOfUninitializedData; / 0 x24 DWORD SizeOfUninitializedData; / 0 x24，未初始化数据的长度，未初始化数据的长度(bss(bss节节) ) DWORD AddressOfEntryPoint;/ 0 x28 DWORD AddressOfEntryPoint;/ 0 x28，代码的入口，代码的入口RVARVA地址，程序从这开始执行地址，程序从这开始执行 DWORD BaseOfCode; / 0 x2cDWORD BaseOfCode; / 0 x

28、2c，可执行代码起始位置，意义不大，可执行代码起始位置，意义不大 DWORD BaseOfData; / 0 x30DWORD BaseOfData; / 0 x30，初始化数据起始位置，意义不大，初始化数据起始位置，意义不大 / NT / NT 附加域附加域: : / / DWORD ImageBase; / 0 x34 DWORD ImageBase; / 0 x34，载入程序首选的，载入程序首选的VAVA地址地址 DWORD SectionAlignment; / 0 x38DWORD SectionAlignment; / 0 x38，加载后节在内存中的对齐方式，加载后节在内存中的对齐

29、方式- -节的大小节的大小 DWORD FileAlignment; / 0 x3cDWORD FileAlignment; / 0 x3c，节在文件中的对齐方式，节在文件中的对齐方式- -节的大小节的大小( (待续待续) )首选不是必须，如果该值为400000H，但是被其他模块占用，PE装载器会选择其他空闲地址。内存中节对齐的粒度。该值为4096-1000H，那么每节的起始地址必须是4096倍数。若第一节从401000H开始，大小为10字节，那么下一节从什么地方开始？文件中节对齐的粒度。该值为512-200H，那么每节的起始地址必须是512倍数。若第一节从200H开始，大小为10字节，那么下

30、一节从什么地方开始？运行PE文件的第一条指令的RVA。进程从虚址VA401000H开始执行，那么该值为多少？病毒感兴趣！-指向病毒体代码PE文件逻辑分布的信息文件逻辑分布的信息PE文件格式文件格式（续前）（续前） WORD MajorOperatingSystemVersion; / 0 x3eWORD MajorOperatingSystemVersion; / 0 x3e，操作系统主，操作系统主/ /次版本，次版本， WORD MinorOperatingSystemVersion; / 0 x40WORD MinorOperatingSystemVersion; / 0 x40，Load

31、erLoader并没有用这两个值并没有用这两个值 WORD MajorImageVersion; / 0 x42WORD MajorImageVersion; / 0 x42，可执行文件主，可执行文件主/ /次版本次版本 WORD MinorImageVersion; / 0 x44WORD MinorImageVersion; / 0 x44 WORD MajorSubsystemVersion; / 0 x46 WORD MajorSubsystemVersion; / 0 x46，子系统版本号，子系统版本号 WORD MinorSubsystemVersion; / 0 x48WORD

32、MinorSubsystemVersion; / 0 x48 DWORD Win32VersionValue; / 0 x4c DWORD Win32VersionValue; / 0 x4c，Win32Win32版本，一般是版本，一般是0 0 DWORD SizeOfImage; / 0 x50 DWORD SizeOfImage; / 0 x50，程序调入后占用内存大小，程序调入后占用内存大小( (字节字节) ) DWORD SizeOfHeaders; / 0 x54 DWORD SizeOfHeaders; / 0 x54，文件头的长度之和，文件头的长度之和 DWORD CheckSu

33、m; / 0 x58DWORD CheckSum; / 0 x58，校验和，校验和 WORD Subsystem; / 0 x5cWORD Subsystem; / 0 x5c，可执行文件的子系统，可执行文件的子系统GUIGUI或或CUICUI WORD DllCharacteristics; / 0 x5e WORD DllCharacteristics; / 0 x5e，何时，何时DllMainDllMain被调用，一般为被调用，一般为0 0 DWORD SizeOfStackReserve; / 0 x60 DWORD SizeOfStackReserve; / 0 x60，初始化线程时

34、保留的堆栈大小，初始化线程时保留的堆栈大小 DWORD SizeOfStackCommit; / 0 x64DWORD SizeOfStackCommit; / 0 x64，初始化线程时提交的堆栈大小，初始化线程时提交的堆栈大小 DWORD SizeOfHeapReserve; / 0 x68DWORD SizeOfHeapReserve; / 0 x68，进程初始化时保留的堆大小，进程初始化时保留的堆大小 DWORD SizeOfHeapCommit; / 0 x6cDWORD SizeOfHeapCommit; / 0 x6c，进程初始化时提交的堆大小，进程初始化时提交的堆大小 DWORD

35、 LoaderFlags; / 0 x70DWORD LoaderFlags; / 0 x70，装载标志，与调试相关，装载标志，与调试相关 DWORD NumberOfRvaAndSizes; / 0 x74DWORD NumberOfRvaAndSizes; / 0 x74，数据目录的项数，一般是，数据目录的项数，一般是1616 IMAGE_DATA_DIRECTORY DataDirectoryIMAGE_NUMBEROF_DIRECTORY_ENTRIES; IMAGE_DATA_DIRECTORY DataDirectoryIMAGE_NUMBEROF_DIRECTORY_ENTRIE

36、S; IMAGE_OPTIONAL_HEADER, IMAGE_OPTIONAL_HEADER, * *PIMAGE_OPTIONAL_HEADER;PIMAGE_OPTIONAL_HEADER;DataDirectory：数据目录表：数据目录表 typedef struct _IMAGE_DATA_DIRECTORY DWORD VirtualAddress; DWORD Size; IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;u是一个是一个IMAGE_DATA_DIRECTORY结结构数组，有构数组，有16个这样的元素。个这样的元素。u数据目录

37、表数据目录表-每个结构给出一个重每个结构给出一个重要数据结构的起始要数据结构的起始RVA和大小信和大小信息。息。u节表可以看作是节表可以看作是PE文件各节的根文件各节的根目录的话，也可以认为目录的话，也可以认为 data directory 是存储在这些节里的逻是存储在这些节里的逻辑元素的根目录。辑元素的根目录。u 什么重要数据结构？什么重要数据结构？ 如：导入目录如：导入目录-导入函数导入函数(引入函数引入函数 import) 一个引入函数是被某模一个引入函数是被某模块调用但又不在调用模块块调用但又不在调用模块中的函数，位于一个或者中的函数，位于一个或者更多的更多的DLL里，因而要保里，因而

38、要保留一些函数信息，包括函留一些函数信息，包括函数名及其驻留的数名及其驻留的DLL名。名。u 怎么样获得怎么样获得PE文件中重文件中重要数据结构？要数据结构？怎么样获得怎么样获得PE文件中重要数据结构？文件中重要数据结构？从从 DOS header 定位到定位到 PE header从从 optional header 读取读取 data directory 的地址。的地址。IMAGE_DATA_DIRECTORY 结构尺寸乘结构尺寸乘上找寻结构的索引号上找寻结构的索引号: 寻寻import symbols的位置信息，必须用的位置信息，必须用IMAGE_DATA_DIRECTORY 结构尺结构尺

39、寸寸(8 bytes)乘上乘上1（import symbols在在data directory中的索引号）。中的索引号）。将上面的结果加上将上面的结果加上data directory地址，就地址，就得到包含所查询数据结构信息的得到包含所查询数据结构信息的 IMAGE_DATA_DIRECTORY 结构项结构项。PE文件格式文件格式u 节表是紧挨着节表是紧挨着NT映像头的一结构数组，其成员的映像头的一结构数组，其成员的数目由映像文件头中数目由映像文件头中NumberOfSections决定决定#define IMAGE_SIZEOF_SHORT_NAME 8#define IMAGE_SIZEO

40、F_SHORT_NAME 8typedef struct _IMAGE_SECTION_HEADER typedef struct _IMAGE_SECTION_HEADER UCHAR NameIMAGE_SIZEOF_SHORT_NAME; / UCHAR NameIMAGE_SIZEOF_SHORT_NAME; / 节名节名 union union ULONG PhysicalAddress; / OBJ ULONG PhysicalAddress; / OBJ文件中表示本节物理地址文件中表示本节物理地址 ULONG VirtualSize; / EXEULONG VirtualSize

41、; / EXE文件中表示节的实际字节数文件中表示节的实际字节数 Misc; Misc; ULONG VirtualAddress; / ULONG VirtualAddress; / 本节的本节的RVARVA ULONG SizeOfRawData; / ULONG SizeOfRawData; / 本节经过文件对齐后的尺寸本节经过文件对齐后的尺寸 ULONG PointerToRawData; / ULONG PointerToRawData; / 本节原始数据在文件中的位置本节原始数据在文件中的位置 ULONG PointerToRelocations; / OBJULONG Pointe

42、rToRelocations; / OBJ文件中表示本节重定位信文件中表示本节重定位信 / / 息的偏移，息的偏移，EXEEXE文件中无意义文件中无意义 ULONG PointerToLinenumbers; / ULONG PointerToLinenumbers; / 行号偏移行号偏移 USHORT NumberOfRelocations; / USHORT NumberOfRelocations; / 本节需重定位的数目本节需重定位的数目 USHORT NumberOfLinenumbers; / USHORT NumberOfLinenumbers; / 本节在行号表中的行号数目本节在

43、行号表中的行号数目 ULONG Characteristics; / ULONG Characteristics; / 节属性节属性 IMAGE_SECTION_HEADER, IMAGE_SECTION_HEADER, * *PIMAGE_SECTION_HEADER;PIMAGE_SECTION_HEADER;本节的实际字节数 如388H字节本节的相对虚拟地址 如为1000H，而PE文件装载地址400000H，？经过文件对齐后的节尺寸;若对齐粒度为200H,那么该值为？ 病毒喜欢这里PE装载器通过本域找到节的位置PE文件格式文件格式8 代码节的属性一般是代码节的属性一般是60000020H

44、，即，即“可执行可执行”、“可读可读”和和“节中包含代码节中包含代码”8 数据节的属性一般是数据节的属性一般是C0000040H，即，即“可读可读”、“可写可写”和和“包含已初始化数据包含已初始化数据” 8 病毒在添加新节时，都会将新添加的节的属性设病毒在添加新节时，都会将新添加的节的属性设置为可读、可写、可执行置为可读、可写、可执行NumberOfSections知道有几个节知道有几个节SizeOfHeaders知道节表在什么地方开始知道节表在什么地方开始遍历节表，遍历节表，PointerToRawData知道节在文件中偏移量知道节在文件中偏移量SizeOfRawData来决定映射内存的字节

45、数来决定映射内存的字节数VirtualAddress加上加上ImageBase知道节的起始虚拟地址知道节的起始虚拟地址PE文件格式文件格式u节节8PE文件的真正内容划分成块，称之为文件的真正内容划分成块，称之为Section(节节)，紧跟，紧跟在节表之后在节表之后8每个节是一块拥有共同属性的数据，比如代码每个节是一块拥有共同属性的数据，比如代码/数据、读数据、读/写等写等8可以把可以把PE文件想象成一逻辑磁盘，文件想象成一逻辑磁盘，PE header是磁盘的是磁盘的Boot扇区，节表就是根目录，而扇区，节表就是根目录，而Section就是各种文件，就是各种文件，每种文件自然就有不同属性如只读、

46、系统、隐藏、文档等每种文件自然就有不同属性如只读、系统、隐藏、文档等等等8节的划分是基于各组数据的共同属性而不是逻辑概念节的划分是基于各组数据的共同属性而不是逻辑概念如果如果PE文件中的数据文件中的数据/代码拥有相同属性，它们就能被归代码拥有相同属性，它们就能被归入同一节中入同一节中8节名称仅仅是个区别不同节的符号而已，类似节名称仅仅是个区别不同节的符号而已，类似“data”、“code”的命名只为了便于识别，惟有节的属性设置决定的命名只为了便于识别，惟有节的属性设置决定了节的特性和功能了节的特性和功能 PE文件格式文件格式8 代码节代码节.text Windows NT默认的做法是将所有的可

47、执行代码默认的做法是将所有的可执行代码组成了一个单独的节，名为组成了一个单独的节，名为“.text”或或“.code”8 引入函数节引入函数节.idata 包含有从其它包含有从其它DLL中引入的函数中引入的函数 该节开始是一个成员为该节开始是一个成员为IMAGE_IMPORT_DESCRIPTOR结构的结构数结构的结构数组，也叫引入表，数据目录表表项结构成员组，也叫引入表，数据目录表表项结构成员VirtualAddress包含引入表地址包含引入表地址 引入函数节可能被病毒用来直接获取引入函数节可能被病毒用来直接获取API函数地函数地址址Windows NT进程的地址空间进程的地址空间操作系统使

48、用不可读写（2GB）用于防止跨用户/系统边界传输数据不可读写（64KB）进程私有空间128KB2GB用户捕捉NULL指针用不可读写（64KB）FFFFFFFFH80000000H7FFFFFFFH7FFF0000H7FFFEFFFH00010000H0000FFFFH00000000H进程需要用到的进程需要用到的DLL都会载入自己的私用地址空间都会载入自己的私用地址空间那么如何找到那么如何找到DLL中的函数呢？中的函数呢？对对WIN32API函数函数GetMessage的调用的调用USER32.DLL一个程序调用外部一个程序调用外部DLL中的函数时并不直接调用那个中的函数时并不直接调用那个DL

49、L中的函数。相反，中的函数。相反，CALL指令转到了同一个指令转到了同一个.text节中的节中的JMP DWORD PTR XXXXXXXX类型的指类型的指令。令。这种这种JMP指令查找并且将控制权转移到的地址是实际的目标地址。指令查找并且将控制权转移到的地址是实际的目标地址。PE文件的文件的.idata节包含了加载器用以确定目标函数的地址并且在可执行映像中修节包含了加载器用以确定目标函数的地址并且在可执行映像中修正它们所需的信息。正它们所需的信息。引入表引入表 import tableu Data Directory数组第二项的数组第二项的VirtualAddress包含引入表地包含引入表地

50、址。址。u 引入表实际上是一个引入表实际上是一个 IMAGE_IMPORT_DESCRIPTOR 结构数组。结构数组。u 每个结构包含每个结构包含PE文件引入函数文件引入函数的一个相关的一个相关DLL的信息。的信息。u 比如，如果该比如，如果该PE文件从文件从10个不个不同的同的DLL中引入函数，那么这中引入函数，那么这个数组就有个数组就有10个成员。该数组个成员。该数组以一个全以一个全0的成员结尾。的成员结尾。引入表引入表 import tabletypedef struct _IMAGE_IMPORT_DESCRIPTOR union DWORD Characteristics; / 0

51、for terminating null import descriptor 别名别名DWORD OriginalFirstThunk; / RVA to original unbound IAT (指向指向IMAGE_THUNK_DATA结构数组的结构数组的RVA);DWORD TimeDateSt / 0 if not bound,/ -1 if bound, and real datetime st/ in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)/ O.W. date/time st of DLL bound to (Old BIND)

52、DWORD ForwarderChain; / -1 if no forwardersDWORD Name; / RVA，指向字符串，是这个可执行文件的名字。指向名字的指针，指向字符串，是这个可执行文件的名字。指向名字的指针 例如例如“kernel32.dllDWORD FirstThunk; / RVA to IAT (if bound this IAT has actual addresses)(指向指向IMAGE_THUNK_DATA结构数组的结构数组的RVA) IMAGE_IMPORT_DESCRIPTOR; OriginalFirstThunk FirstThunk都指向谁？都指向谁

53、？IMAGE_THUNK_DATA是什么？是什么？typedef struct _IMAGE_THUNK_DATA32 union DWORD ForwarderString; / 一个一个RVA地址，指向地址，指向forwarder string DWORD Function; / PDWORD，被导入的函数的入口地址，被导入的函数的入口地址DWORD Ordinal; / 该函数的序数该函数的序数DWORD AddressOfData; / 一个一个RVA地址，指向地址，指向IMAGE_IMPORT_BY_NAME u1; IMAGE_THUNK_DATA32; DWORD联合体数据结构联

54、合体数据结构Ordinal和和 AddressOfData当这个当这个DWORD数据的最高位为数据的最高位为1的时候，代表函数以序号的方式导入，的时候，代表函数以序号的方式导入，Ordinal的低的低31位就是输入函数在其位就是输入函数在其DLL内的内的 导出序号。导出序号。当这个当这个DWORD的数据最高位为的数据最高位为0的时候，代表函数以字符串方式导入。的时候，代表函数以字符串方式导入。AddressOfData就是一个指向用来导入函数名称的就是一个指向用来导入函数名称的 IMAGE_IMPORT_BY_NAME的数据结构的的数据结构的RVA。 OriginalFirstThunk Fi

55、rstThunk都指向谁？都指向谁？IMAGE_IMPORT_BY_NAMEtypedef struct _IMAGE_IMPORT_BY_NAME WORD Hint;/ 函数输出序号函数输出序号 BYTE Name11;/输出函数名称输出函数名称 IMAGE_IMPORT_BY_NAME,*PIMAGE_IMPORT_BY_NAME序号序号 函数名函数名 44GetMessage OriginalFirstThunk FirstThunk都指向谁？都指向谁？44GetMessage装载器首先读入装载器首先读入IMAGE_IMPORT_DESCRIPTOR，获得需要加载的动态库获得需要加载的

56、动态库User32.DLL。 输入函数名称表输入函数名称表 (INT)和输入函数地址表和输入函数地址表(IAT)。这里这两个表所指向的是同一个这里这两个表所指向的是同一个IMAGE_IMPORT_BY_NAME数据结构的数据结构的RVA。 根据根据IMAGE_IMPORT_BY_NAME的序号或名称到导入的的序号或名称到导入的DLL(user32.dll)函数导出表中函数导出表中获取导入函数的地址。获取导入函数的地址。然后把这个地址替换掉然后把这个地址替换掉FirstThunk所指向的函数输入地址表中的数据。所指向的函数输入地址表中的数据。 0 x77879426一个程序调用外部一个程序调用外

57、部DLL中的函数时并不直接调用那个中的函数时并不直接调用那个DLL中的函中的函数。相反，数。相反，CALL指令转到了同一个指令转到了同一个.text节中的节中的JMP DWORD PTR XXXXXXXX类型的指令。类型的指令。IMAGE_IMPORT_BY_NAME为什么会有两个并列的指向为什么会有两个并列的指向IMAGE_IMPORT_BY_NAME结构的指针数组呢？结构的指针数组呢？第一个数组（由第一个数组（由Characteristics域指向的那一个）总是保留原样，系统并不修改。域指向的那一个）总是保留原样，系统并不修改。第二个数组（由第二个数组（由FirstThunk域指向的那一个

58、）要被域指向的那一个）要被PE加载器修改。改成加载器修改。改成引入函数真实引入函数真实地址地址 IMAGE_THUNK_DATA结构数组结构数组addressIMAGE_IMPORT_BY_NAMEIMAGE_THUNK_DATA结构数组结构数组addressPE 文件从 kernel32.dll 中引入 10 个函数，那么 IMAGE_IMPORT_DESCRIPTOR 结构的 Name 域包含指向字符串 “kernel32.dll” 的 RVA ，同时每个 IMAGE_THUNK_DATA 数组有 10 个元素。IMAGE_IMPORT_BY_NAME加载器首先查找这个数组中每个指针所指向

59、的加载器首先查找这个数组中每个指针所指向的IMAGE_IMPORT_BY_NAME结构所代表的函数的结构所代表的函数的地址。然后它用找到的这个函数地址来覆盖数组中相应的指向地址。然后它用找到的这个函数地址来覆盖数组中相应的指向IMAGE_IMPORT_BY_NAME结构结构的指针。而的指针。而JMP DWORD PTR XXXXXXXX这条指令中的这条指令中的XXXXXXXX部分就是这个部分就是这个FirstThunk数组中的某个元素的值。由于被加载器覆盖的这个指针数组最终保存的是导入函数的地数组中的某个元素的值。由于被加载器覆盖的这个指针数组最终保存的是导入函数的地址，因此它被称为导入地址表

60、（址，因此它被称为导入地址表（Import Address Table，IAT）。）。IMAGE_THUNK_DATA结构数组结构数组addressPE装载器如何找到装载器如何找到DLL提供的函数的地址提供的函数的地址?PE文件格式文件格式u 引出函数节引出函数节.edata8 引出函数节是本文件向其他程序提供的可调用函引出函数节是本文件向其他程序提供的可调用函数列表数列表8 这个节一般用在这个节一般用在DLL中，中，EXE文件中也可以有这文件中也可以有这个节，但通常很少使用个节，但通常很少使用8 当当PE装载器执行一个程序，它将相关装载器执行一个程序，它将相关DLLs都装入该进程的地址空间。