PE文件学习笔记 - 更新中

PE文件结构收集 保存为asm 用masmplues看


byonepc 153785587
IMAGE_DOS_SIGNATURE equ 5A4Dh  ;这个是DOS签名 MZ
IMAGE_OS2_SIGNATURE equ 454Eh  
IMAGE_OS2_SIGNATURE_LE equ 454Ch  
IMAGE_VXD_SIGNATURE equ 454Ch  
IMAGE_NT_SIGNATURE equ 4550h   ;NT下的PE头  
;DOS MZ header 的结构是 IMAGE_DOS_HEADER  
IMAGE_DOS_HEADER STRUCT
  e_magic           WORD      ?     ;IMAGE_DOS_SIGNATURE  5a4dh mz
  e_cblp            WORD      ?
  e_cp              WORD      ?
  e_crlc            WORD      ?
  e_cparhdr         WORD      ?
  e_minalloc        WORD      ?
  e_maxalloc        WORD      ?
  e_ss              WORD      ?
  e_sp              WORD      ?
  e_csum            WORD      ?
  e_ip              WORD      ?
  e_cs              WORD      ?
  e_lfarlc          WORD      ?
  e_ovno            WORD      ?
  e_res             WORD   4 dup(?)
  e_oemid           WORD      ?
  e_oeminfo         WORD      ?
  e_res2            WORD  10 dup(?)
  e_lfanew          DWORD      ?    ;此DWORD存放的值是PE HEAD对文件的偏移值。即是说从文件开头移到它指定长度的值之后就是PE头的开始。
IMAGE_DOS_HEADER ENDS
e_magic==IMAGE_DOS_SIGNATURE ;这个word型的值是MZ 一般检验一个PE文件都是先验证这个字是否是mz然后再检验PE签名  
 
;一般编程时 先CreateFile打开一个文件，再用CreateFileMapping 建立内存映射文件对象
;调用MapViewOfFile函数把整个文件的一个区域或者整个文件映射到内存中。得到指向映射到内存的第一个字节的指针lpMemory
  mov edi, lpMemory  ;这里把lpMemory的地址传给edi 这时edi的值就是e_magic这里的第一个字节的位置  
  assume edi:ptr IMAGE_DOS_HEADER  ;把edi指向一个dos头的结构。这时就可以用[edi].e_magic 来判断是否等于MZ的值了。
  .if [edi].e_magic==IMAGE_DOS_SIGNATURE ;判断
  add edi, [edi].e_lfanew  ;这里表示edi的值加上[edi].e_lfanew结构成员中的值。这时edi的值就PE头的位置
  assume edi:ptr IMAGE_NT_HEADERS ;就可以用assume指向这个nthead了。
  .if [edi].Signature==IMAGE_NT_SIGNATURE ;判断是否是PE这个值。
 
 
 
;PE header 是一个 IMAGE_NT_HEADERS 结构  [COFF HEADER]
IMAGE_NT_HEADERS32 STRUCT
  Signature       DWORD ?
  FileHeader      IMAGE_FILE_HEADER <>  ;结构中的结构
  OptionalHeader  IMAGE_OPTIONAL_HEADER32 <>
IMAGE_NT_HEADERS32 ENDS
 
;stPeHead IMAGE_NT_HEADERS32 <?>
;stPeHead.Signature  dword型 值为 50h,45h,00h,00h (PE\0\0) 若e_magic的值是mz,这个值又是pe的话则证明是一个PE文件
 
 
;FileHeader 文件头  stud_pe 里显示的是COFF HEADER
IMAGE_FILE_HEADER STRUCT
  Machine               WORD    ? ;这个PE文件运行的所要求CPU ;Intel一般的值是014ch
  NumberOfSections      WORD    ?;文件的节数目。如果我们要在文件中增加或删除一个节，就需要修改这个值。
  TimeDateStamp         DWORD   ?;文件创建日期和时间
  PointerToSymbolTable  DWORD   ?
  NumberOfSymbols       DWORD   ?
  SizeOfOptionalHeader  WORD    ?;指示紧随本结构之后的 OptionalHeader [IMAGE_OPTIONAL_HEADER 可选头]结构大小，必须为有效值。
  Characteristics       WORD    ?;关于文件信息的标记，比如文件是exe还是dll。
IMAGE_FILE_HEADER ENDS
 
;Machine 已知合法的值
;  IMAGE_FILE_MACHINE_I386 (0x14c)   Intel 80386 处理器或更高
;  0x014d          Intel 80386 处理器或更高
;  0x014e          Intel 80386 处理器或更高
;  0x0160                     R3000 (MIPS⑧)处理器
;  IMAGE_FILE_MACHINE_R3000 (0x162)           R3000 (MIPS)处理器
;  IMAGE_FILE_MACHINE_R4000 (0x166)           R4000 (MIPS)处理器
;  IMAGE_FILE_MACHINE_R10000 (0x168)           R10000 (MIPS)处理器
;  IMAGE_FILE_MACHINE_ALPHA (0x184)           DEC Alpha AXP⑩处理器
;  IMAGE_FILE_MACHINE_POWERPC (0x1F0)           IBM Power PC
 
;Characteristics       WORD  
;数  据  位     Windows.inc中的预定义值         为1时的含义
;0 IMAGE_FILE_RELOCS_STRIPPED               文件中不存在重定位信息
;1 IMAGE_FILE_EXECUTABLE_IMAGE              文件是可执行的
;2 IMAGE_FILE_LINE_NUMS_STRIPPED             不存在行信息
;3 IMAGE_FILE_LOCAL_SYMS_STRIPPED          不存在符号信息
;7 IMAGE_FILE_BYTES_REVERSED_LO            小尾方式
;8 IMAGE_FILE_32BIT_MACHINE               只在32位平台上运行
;数  据  位     Windows.inc中的预定义值      为1时的含义
;9 IMAGE_FILE_DEBUG_STRIPPED              不包含调试信息
;10 IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP      不能从可移动盘（如软盘、光盘）运行
;11 IMAGE_FILE_NET_RUN_FROM_SWAP           不能从网络运行
;12 IMAGE_FILE_SYSTEM                     系统文件（如驱动程序），不能直接运行
;13 IMAGE_FILE_DLL                           这是一个 DLL 文件
;14 IMAGE_FILE_UP_SYSTEM_ONLY             文件不能在多处理器上计算机上运行
;15 IMAGE_FILE_BYTES_REVERSED_HI                大尾方式
;对于普通的可执行PE文件，这个字段的值一般是010fh，而对于DLL文件来说，这个字段的值一般是210eh。
 
;NumberOfSections
;节表是一个结构数组，每个结构包含一个节的信息。因此若有3个节，数组就有3个成员。  
;我们需要NumberOfSections值来了解该数组中到底有几个成员。  
;也许您会想检测结构中的全0成员起到同样效果。Windows确实采用了这种方法。
;为了证明这一点，可以增加NumberOfSections的值，Windows仍然可以正常执行文件。
;据我们的观察，Windows读取NumberOfSections的值然后检查节表里的每个结构，如果找到一个全0结构就结束搜索，
;否则一直处理完NumberOfSections指定数目的结构。
 
 
 
 
;RAV == 相对偏移地址，比如装入的地址是40000 ,某一节的RAV值是1000 ,那么这个节在内存中的位置的地址是 41000h
 
;IMAGE_OPTIONAL_HEADER32 可选头结构
 
IMAGE_OPTIONAL_HEADER32 STRUCT
  Magic                         WORD       ?
  MajorLinkerVersion            BYTE       ?
  MinorLinkerVersion            BYTE       ?
  SizeOfCode                    DWORD      ?;所有含代码的节的总大小
  SizeOfInitializedData         DWORD      ?;所有含已初始化数据的节的总大小
  SizeOfUninitializedData       DWORD      ?;所有含未初始化数据的节的大小
  AddressOfEntryPoint           DWORD      ?;PE装载器准备运行的PE文件的第一个指令的RVA。若您要改变整个执行的流程
  ;可以将该值指定到新的RVA，这样新RVA处的指令首先被执行。
  BaseOfCode                    DWORD      ?;代码的节的起始RVA
  BaseOfData                    DWORD      ?;数据的节的起始RVA
  ImageBase                     DWORD      ?;PE文件的优先装载地址。比如，如果该值是400000h，PE装载器将尝试把文件
  ;装到虚拟地址空间的400000h处。字眼"优先"表示若该地址区域已被其他模块占用，那PE装载器会选用其他空闲地址。
  SectionAlignment              DWORD      ?;内存中节对齐的粒度。例如，如果该值是4096 (1000h)，那么每节的起始地址必须是4096的倍数。
  ;若第一节从401000h开始且大小是10个字节，则下一节必定从402000h开始，即使401000h和402000h之间还有很多空间没被使用。
  FileAlignment                 DWORD      ?;文件中节对齐的粒度。例如，如果该值是(200h),那么每节的起始地址必须是512的
  ;倍数。若第一节从文件偏移量200h开始且大小是10个字节，则下一节必定位于偏移量400h: 即使偏移量512和1024之间还有很多空间没被使用定义。
  MajorOperatingSystemVersion   WORD       ?
  MinorOperatingSystemVersion   WORD       ?
  MajorImageVersion             WORD       ?
  MinorImageVersion             WORD       ?
  MajorSubsystemVersion         WORD       ?
  MinorSubsystemVersion         WORD       ?
  Win32VersionValue             DWORD      ?
  SizeOfImage                   DWORD      ?;内存中整个PE映像体的尺寸。它是所有头和节经过节对齐处理后的大小。  
  SizeOfHeaders                 DWORD      ?;所有头+节表的大小，也就等于文件尺寸减去文件中所有节的尺寸。可以以此值作为PE文件第一节的文件偏移量。
  CheckSum                      DWORD      ?
  Subsystem                     WORD       ?
  DllCharacteristics            WORD       ?
  SizeOfStackReserve            DWORD      ?;初始化时的堆栈大小
  SizeOfStackCommit             DWORD      ?;初始化时实际提交的堆栈大小
  SizeOfHeapReserve             DWORD      ?;初始化时保留的堆大小
  SizeOfHeapCommit              DWORD      ?;初始化时实际提交的堆大小
  LoaderFlags                   DWORD      ?
  NumberOfRvaAndSizes           DWORD      ?;下面的数据目录结构的数量 10h ==16
  DataDirectory                 IMAGE_DATA_DIRECTORY IMAGE_NUMBEROF_DIRECTORY_ENTRIES dup(<>)
  ;一IMAGE_DATA_DIRECTORY 结构数组。每个结构给出一个重要数据结构的RVA，比如引入地址表等。
IMAGE_OPTIONAL_HEADER32 ENDS
 
IMAGE_OPTIONAL_HEADER  equ  <IMAGE_OPTIONAL_HEADER32>
 
;ImageBase
;指出文件的优先装入地址。也就是说当文件被执行时，如果可能的话，Windows优先将文件装入到由ImageBase字段指定的地址中，
;只有指定的地址已经被其他模块使用时，文件才被装入到其他地址中。链接器产生可执行文件的时候对应这个地址来生成机器码，
;所以当文件被装入这个地址时不需要进行重定位操作，装入的速度最快
;对于EXE文件来说，由于每个文件总是使用独立的虚拟地址空间，优先装入地址不可能被其他模块占据，
;所以EXE总是能够按照这个地址装入，这也意味着EXE文件不再需要重定位信息。对于DLL文件来说，
;由于多个DLL文件全部使用宿主EXE文件的地址空间，不能保证优先装入地址没有被其他的DLL使用，
;所以DLL文件中必须包含重定位信息以防万一。因此，在IMAGE_FILE_HEADER 结构的Characteristics字段中，
;DLL文件对应的IMAGE_FILE_RELOCS_STRIPPED位总是为0，而EXE文件的这个标志位总是为1。
;在链接的时候，可以通过对link.exe指定/base:address选项来自定义优先装入地址，如果不指定这个选项的话，
;一般EXE文件的默认优先装入地址被定为00400000h，而DLL文件的默认优先装入地址被定为10000000h。
 
 
 
 
;DataDirectory    某种数据块的位置和长度
IMAGE_DATA_DIRECTORY STRUCT
  VirtualAddress    DWORD      ?  ;数据的起始RVA
  isize             DWORD      ?  ;数据块的长度
IMAGE_DATA_DIRECTORY ENDS
;索引   索引值在Windows.inc中的预定义值    对应的数据块
;0          IMAGE_DIRECTORY_ENTRY_EXPORT        导出表
;1          IMAGE_DIRECTORY_ENTRY_IMPORT        导入表
;2          IMAGE_DIRECTORY_ENTRY_RESOURCE      资源
;3          IMAGE_DIRECTORY_ENTRY_EXCEPTION     异常（具体资料不详）
;4          IMAGE_DIRECTORY_ENTRY_SECURITY      安全（具体资料不详）
;5          IMAGE_DIRECTORY_ENTRY_BASERELOC        重定位表
;6          IMAGE_DIRECTORY_ENTRY_DEBUG        调试信息
;7          IMAGE_DIRECTORY_ENTRY_ARCHITECTURE   版权信息
;8          IMAGE_DIRECTORY_ENTRY_GLOBALPTR      具体资料不详
;9          IMAGE_DIRECTORY_ENTRY_TLS            Thread Local Storage
;10         IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG      具体资料不详
;11         IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT     具体资料不详
;12         IMAGE_DIRECTORY_ENTRY_IAT           导入函数地址表
;13         IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT    具体资料不详
;14         IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR   具体资料不详
;15                                                 未使用
 
;VirtualAddress 实际上是数据结构的相对虚拟地址(RVA)。比如，如果该结构是关于import symbols的，
;该域就包含指向IMAGE_IMPORT_DESCRIPTOR 数组的RVA。  
;isize 含有VirtualAddress所指向数据结构的字节数。
 
 
; 在PE文件中寻找特定的数据时就是从这些IMAGE_DATA_DIRECTORY结构开始的，比如要存取资源，那么必须从
; 第3个IMAGE_DATA_DIRECTORY结构（索引为2）中得到资源数据块的大小和位置；同理，如果要查看PE文件导入了
; 哪些DLL文件的哪些API函数，那就必须首先从第2个IMAGE_DATA_DIRECTORY结构得到导入表的位置和大小。
 
;导入表*****************************************
;data directory数组第二项的VirtualAddress包含导入表地址。导入表实际上是一个 IMAGE_IMPORT_DESCRIPTOR 结构数组。
;导入表由一系列的IMAGE_IMPORT_DESCRIPTOR结构组成，结构的数量取决于程序要使用的DLL文件的数量，
;每个结构对应一个DLL文件，例如，如果一个PE文件从10个不同的DLL文件中引入了函数，那么就存在10个IMAGE_IMPORT_DESCRIPTOR
;结构来描述这些DLL文件，在所有这些结构的最后，由一个内容全为0的IMAGE_IMPORT_DESCRIPTOR结构作为结束。
IMAGE_IMPORT_DESCRIPTOR STRUCT
    union
        Characteristics dd      ?
        OriginalFirstThunk dd   ?
     ends
    TimeDateStamp dd    ?
    ForwarderChain dd   ?
    Name1 dd            ?
    FirstThunk dd       ?
IMAGE_IMPORT_DESCRIPTOR ENDS
 
;结构中的Name1字段（使用Name1作为字段名同样是因为Name一词和MASM的关键字冲突）是一个RVA，
;它指向此结构所对应的DLL文件的名称，这个文件名是一个以NULL结尾的字符串。
 
;OriginalFirstThunk字段和FirstThunk字段的含义现在可以看成是相同的
;它们都指向一个包含一系列IMAGE_THUNK_DATA32结构的数组，数组中的每个IMAGE_THUNK_DATA32结构定义了一个导入函数的信息，
;数组的最后以一个内容为0的IMAGE_THUNK_DATA结构作为结束。
;一个IMAGE_THUNK_DATA32结构实际上就是一个双字，之所以把它定义成结构，是因为它在不同的时刻有不同的含义，结构的定义如下：
IMAGE_THUNK_DATA32 STRUCT
    union u1
        ForwarderString dd  ?
        Function dd         ?
        Ordinal dd          ?
        AddressOfData dd    ?
    ends
IMAGE_THUNK_DATA32 ENDS
 
;一个IMAGE_THUNK_DATA结构如何用来指定一个导入函数呢？当双字（就是指结构！）的最高位为1时，
;表示函数是以序号的方式导入的，这时双字的低位就是函数的序号。读者可以用预定义值IMAGE_ORDINAL_FLAG32（或80000000h）
;来对最高位进行测试，当双字的最高位为0时，表示函数以字符串类型的函数名方式导入，这时双字的值是一个RVA，
;指向一个用来定义导入函数名称的IMAGE_IMPORT_BY_NAME结构，此结构的定义如下：
IMAGE_IMPORT_BY_NAME STRUCT
    Hint dw     ?
    Name1 db    ?
IMAGE_IMPORT_BY_NAME ENDS
;结构中的Hint字段也表示函数的序号，不过这个字段是可选的，有些编译器总是将它设置为0，
;Name1字段定义了导入函数的名称字符串，这是一个以0为结尾的字符串。
 
 
 
;导入地址表（IAT）
;IMAGE_IMPORT_DESCRIPTOR结构中FirstThunk字段指向的数组最后会被替换成导入函数的真正入口地址，
;暂且把这个数组称为导入地址数组。在PE文件中，所有DLL对应的导入地址数组在位置上是被排列在一起的，
;全部这些数组的组合也被称为导入地址表（Import Address Table，或者简称为IAT），
;导入表中第一个IMAGE_IMPORT_DESCRIPTOR结构的FirstThunk字段指向的就是IAT的起始地
 
 
 
 
 
 
 
 
;之后就是节表了。节表后面是各节数据。   
;PE文件装入内存时，文件头到节节之间的数据是原始装入的不会处理的。节数据会按节对齐处理
 
;PE文件中所有节的属性都被定义在节表中，节表由一系列的IMAGE_SECTION_HEADER结构排列而成，
;每个结构用来描述一个节，结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。
;全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束，所以节表中总的IMAGE_SECTION_HEADER
;结构数量等于节的数量加一。节表总是被存放在紧接在PE文件头的地方，也就是从PE文件头（注意：不是文件本身的头部）
;开始的偏移为00f8h的地方。
;用stud_pe查看文件 pe头开始位置在100处。那么偏移0f8h处就是在 1f8h处。这里就是节表开始位置
 
 
IMAGE_SECTION_HEADER STRUCT
    Name1 db IMAGE_SIZEOF_SHORT_NAME dup(?);事实上本域的名称是"name"，只是"name"已被MASM用作关键字，所以我们只能用"Name1"代替。
    ;这儿的节名长不超过8字节。记住节名仅仅是个标记而已，我们选择任何名字甚至空着也行，注意这里不用null结束。命名不是一个ASCIIZ字符串，所以不用null结尾。
    union Misc
        PhysicalAddress dd  ?
        VirtualSize dd      ? ;节区的尺寸;代表节的大小，这是节的数据在没有进行对齐处理前的实际大小。
    ends
    VirtualAddress dd       ?;本节的RVA（相对虚拟地址）。PE装载器将节映射至内存时会读取本值，因此如果域值是1000h，
    ;而PE文件装在地址400000h处，那么本节就被载到401000h。它的数值总是SectionAlignment的值的整数倍
    SizeOfRawData dd        ?;经过文件对齐处理后节尺寸，PE装载器提取本域值了解需映射入内存的节字节数。
    ;（译者注: 假设一个文件的文件对齐尺寸是0x200，如果前面的 VirtualSize域指示本节长度是0x388字节，则本域值为0x400，表示本节是0x400字节长）。
    PointerToRawData dd     ?;这是节基于文件的偏移量，PE装载器通过本域值找到节数据在文件中的位置。
    PointerToRelocations dd ?
    PointerToLinenumbers dd ?
    NumberOfRelocations dw  ?
    NumberOfLinenumbers dw  ?
    Characteristics dd      ?;含标记以指示节属性，比如节是否含有可执行代码、初始化数据、未初始数据，是否可写、可读等。
IMAGE_SECTION_HEADER ENDS
 
;Characteristics    数据位在Windows.inc中的预定义值以及为1时的含义
;5  (IMAGE_SCN_CNT_CODE或00000020h)节中包含代码
;6  (IMAGE_SCN_CNT_INITIALIZED_DATA或00000040h)节中包含已初始化数据
;7  (IMAGE_SCN_CNT_UNINITIALIZED_DATA或00000080h)节中包含未初始化数据
;25 (IMAGE_SCN_MEM_DISCARDABLE或02000000h)节中的数据在进程开始以后将被丢弃，前面举例的包含重定位表的.reloc节就是一个例子  
;26 (IMAGE_SCN_MEM_NOT_CACHED或04000000h)节中的数据不会经过缓存
;27 (IMAGE_SCN_MEM_NOT_PAGED或08000000h)节中的数据不会被交换到磁盘  
;28 (IMAGE_SCN_MEM_SHARED或10000000h)表示节中的数据将被不同的进程所共享，在第11章的钩子例子中的共享数据的节就设置了这个属性标志  
;29 (IMAGE_SCN_MEM_EXECUTE或20000000h)映射到内存后的页面包含可执行属性
;30 (IMAGE_SCN_MEM_READ或40000000h)映射到内存后的页面包含可读属性
;31 (IMAGE_SCN_MEM_WRITE或80000000h)映射到内存后的页面包含可写属性
;代码节的属性一般为60000020h，也就是可执行、可读和“节中包含代码”；
;数据节的属性一般为c0000040h，也就是可读、可写和“包含已初始化数据”；
;而常量节（对应源代码中的.const段）的属性为40000040h，也就是可读和“包含已初始化数据”；
;资源节的属性和常量节的属性一般是相同的。
 
 
;当从PE文件中读取需要的节时，不能以节的名称作为定位标准，
;正确的方法是按照IMAGE_OPTIONAL_HEADER32结构中的数据目录字段定位。
 
;要到节头的地方，只要在指向NT头这里。再把这个位置加上NT头的大小这时这个值就是指向节头的起始位置了。就可以根据
;NT头里的节数目就可以循环读取各节头指示的东东 [节表]
;其实PE文件从开始到节头结尾这里是固定的，只有从节的数据区开始就是不定的。
;所以定位各个地方时，可以用定好的结构，那也可以手写算。^_^!
assume edi:ptr IMAGE_NT_HEADERS
add edi,sizeof IMAGE_NT_HEADERS
assume esi:ptr IMAGE_SECTION_HEADER