图解用工具对PE文件格式做初步研究
工具:
PETool,MiniHex,PEViewer
以本機notepad.exe為研究對象。本機64位,該notepad.exe是64位應用程序。
1 用peviewer打開
PE文件大體包括四部分,DOS頭,NT頭,節表以及具體的節。下圖展示的是前三部分。
2 DOS頭
e_magic:一個WORD類型,值是一個常數0x4D5A,用文本編輯器查看該值位‘MZ’,可執行文件必須都是'MZ'開頭。
e_lfanew:為32位可執行文件擴展的域,用來表示DOS頭之后的NT頭相對文件起始地址的偏移。
看下圖左方給出的e_lfanew為0x000000E8,在下圖右方找到此地址,如右方000000E0所示行的光標處;
起始四個字節是50 45 00 00,和右圖的PE頭的Signature相符合;
3 文件頭
PE文件頭的定義:
typedef struct _IMAGE_FILE_HEADER { ?
? ? WORD ? ?Machine; ?
? ? WORD ? ?NumberOfSections; ?
? ? DWORD ? TimeDateStamp; ?
? ? DWORD ? PointerToSymbolTable; ?
? ? DWORD ? NumberOfSymbols; ?
? ? WORD ? ?SizeOfOptionalHeader; ?
? ? WORD ? ?Characteristics; ?
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER; ?
Machine:該文件的運行平臺,是x86、x64還是I64等等,可以是下面值里的某一個。
NumberOfSections:該PE文件中有多少個節,也就是節表中的項數。
TimeDateStamp:PE文件的創建時間,一般有連接器填寫。
對照下圖左方顯示和右方光標處,其內容相符合;
4 導入表
自己算下導入表的起始地址,比較難算;用工具看下,如下圖;導入表起始地址是
0x00000178
peviewer給出的導入表內容;
看16進制文件中的00000178,與peviewer給出的似乎不符,不過此處還不太理解;
16進制文件和PETool給出的內容是相符合的;
5 導入表中的函數名
試著找下導入的SetWindowText函數的名字在16進制文件中的位置;
什么是Thunk RVA,對相關計算尚不太熟悉;
直接找到0000D640處看看,不是SetWindowText;
用搜索功能找SetWindowText;在如下位置;這個RVA的計算是比較復雜;以后再搞;
鏈接
http://www.pediy.com/kssd/tutorial/chap8-1-6.htm
http://blog.csdn.net/evileagle/article/details/11693499
總結
以上是生活随笔為你收集整理的图解用工具对PE文件格式做初步研究的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 图解Telnet命令和命令行看邮件
- 下一篇: TCP/IP协议学习笔记