[系统安全5] PE格式讲解
0x01 MS-DOS头
MS-DOS头部的字段重点关注e_magic与最后一个e_lfanew是需要关注的。
第一个e_magic字段的值为4D5A,作用是可以作为判断这个文件是否是PE文件。
最后一个e_lfanew字段可以引导我们找到新的EXE文件头,从而进一步判断这个可执行文件是否为PE文件。
如果从这个文件开头用PIMAGE_DOS_HEADER解析,e_magic成员不是IMAGE_DOS_SIGNATURE,那么就不是一个PE文件。
MS-DOS头结构:
typedef struct _IMAGE_DOS_HEADER {// DOS .EXE header
WORD e_magic; //[1] Magic number
WORD e_cblp; //[2] Bytes on last page of file
WORD e_cp; //[3] Pages in file
WORD e_crlc; //[4] Relocations
WORD e_cparhdr; //[5] Size of header in paragraphs
WORD e_minalloc; //[6] Minimum extra paragraphs needed
WORD e_maxalloc; //[7] Maximum extra paragraphs needed
WORD e_ss; //[8] Initial (relative) SS value
WORD e_sp; //[9] Initial SP value
WORD e_csum; //[10] Checksum
WORD e_ip; //[11] Initial IP value
WORD e_cs; //[12] Initial (relative) CS value
WORD e_lfarlc; //[13] File address of relocation table
WORD e_ovno; //[14] Overlay number
WORD e_res[4]; //[15] Reserved words
WORD e_oemid; //[16] OEM identifier (for e_oeminfo)
WORD e_oeminfo; //[17] OEM information; e_oemid specific
WORD e_res2[10]; //[18] Reserved words
LONG e_lfanew; //[19] File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
1-19的含义如下:
1)【重要】MZ标志位:MS-DOS可执行文件的标识位(也叫做魔数),表示这是一个MS-DOS下的可执行文件。
2)文件末页字节数:在可执行页(页大小为512B)最后一页的字节数,如果其值为0,则表示最后一页被全部占用(即有效值为0x200=512)。
3)文件页数:可执行文件中的页数(包括最后一页)。
4)重定位:DOS stub 中重定位项的数目,可能为0。
5)区段中头部大小:程序的数据起始于头部之后,此字段可以用来计算出相应的的文件偏移(包括重定位项)。如果头部大小不是512B的倍数,一些操作系统或程序可能会执行失败。
6)最小附加内存段需求:除了代码大小外最少需分配的内存段大小,如果无法分配相应内存,则程序不能启动。
7)最大附加内存段需求:除了代码大小外最多分配的内存段大小。通常操作系统为程序保留所有剩余的常规内存,但是此字段会对此做出限制。
8)初始SS值:用来初始化SS(堆栈段)以启动可执行文件。
9)初始SP值:用来初始化SP(堆栈指针寄存器)的值。
10)校验和:可执行文件的校验和(或直接置为0)
11)初始IP值:初始化与启动可执行文件相关的IP寄存器值(程序入口点)
12)初始化CS值:初始化与启动可执行文件相关的CS段(与上一个字段组成CS:IP)。
13)重定位表偏移:重定位表的偏移。
14)附加数:代码付加数(0x0则代表仅有主程序)。
15)保留:保留4个WORD大小的空间留作他用。
16)OEM标识:OEM厂商的ID。
17)OEM信息:OEM厂商的信息。
18)保留:保留10个WORD大小的空间留作他用
19)【重要】新文件头地址:新的EXE文件偏移地址
0x02 PE文件头:
PE头位置DOS Stub后面,由MS-DOS头中的e_lfanew字段指向的结构。
PE文件头是Windows NT内核下判断可执行文件的唯一有效结构,它由3个字段组成,结构如下:
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature; //PE标识
IMAGE_FILE_HEADER FileHeader; //文件头
IMAGE_OPTIONAL_HEADER32 OptionalHeader; //扩展头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
其中3个字段构成了PE文件的基本头部结构。
2.1 Signature字段
Signature字段是PE文件头的表示,其值始终为0x50450000。
表示字符“PE\0\0”,十六进制为00004550h。
Win32SDK中宏定义的值:
#define IMAGE_NT_SIGNATURE 0x00004550 // PE00
2.2 IMAGE_FILE_HEADER结构
IMAGE_FILE_HEADER结构中包含了PE的概览信息。
typedef struct _IMAGE_FILE_HEADER {
WORD Machine; // 1)运行平台
WORD NumberOfSections; //【重要】2)区段(section)数目
DWORD TimeDateStamp; //3)时间日期标记
DWORD PointerToSymbolTable; //4)COFF符号指针,这是程序调试信息
DWORD NumberOfSymbols; //5)符号数
WORD SizeOfOptionalHeader; //【重要】6)扩展头大小,IMAGE_OPTIONAL_HEADER的长度
WORD Characteristics; //7)文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
上述结构说明:
1)Machine:用于说明此文件可以运行于哪种CPU上,在不同的平台上PE文件的Machine中的值是不一样的。
2)NumberOfSections:区段的数量
3)TimeDateStamp:表示时间
4)PointerToSymbolTable:指向COFF符号表偏移的指针,由于其已经被DEBUG替代,因此COFF符号表在现今的PE文件中已较少应用(如果符号表不存在,则字段值为0)
5)NumberOfSymbols:符号表中符号的数量,由于COFF符号表是一个大小固定的结构,因此只有通过这个字段才能计算出COFF符号表结构的结尾。
6)SizeOfOptionalHeader:在IMAGE_FILE_HEADER结构后面的扩展头大小。一般情况下,这个结构的大小在32位的系统中是0x00E0,而在64位系统下则为0x00F0,但是这两个值为常用的最小值,不排除在人为修改后或系统升级后此值有变动的可能。
7)Characteristics:此字段用以表示PE文件的属性,可通过几个值的运算得到。普通EXE文件的值为0x010F,DLL文件的值为0x0210。
2.3 IMAGE_OPTIONAL_HEADER结构
IMAGE_OPTIONAL_HEADER这个结构与IMAGE_FILE_HEADER结构并起来统称为“PE文件头结构“。
typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//
WORD Magic; //1)标志位
BYTE MajorLinkerVersion; //2)链接器主版本号
BYTE MinorLinkerVersion; //3)链接器子版本号
DWORD SizeOfCode; //4)所有代码段的总大小
DWORD SizeOfInitializedData; //5)所有已初始化数据块大小
DWORD SizeOfUninitializedData; //6)未初始化数据块大小
DWORD AddressOfEntryPoint; //7)代码入口点地址
DWORD BaseOfCode; //8)代码段的起始RVA
DWORD BaseOfData; //9)数据段的起始RVA
//
// NT additional fields.
//
DWORD ImageBase; //10)程序默认的载入基址
DWORD SectionAlignment; //11)映像文件在内存中的区段对齐值
DWORD FileAlignment; //12)映像文件在磁盘上的区段对齐大小
WORD MajorOperatingSystemVersion;//13)要求的OS最低主版本号
WORD MinorOperatingSystemVersion;//14)要求的OS最低子版本号
WORD MajorImageVersion; //15)由程序作者指定的该程序主版本号
WORD MinorImageVersion; //16)由程序作者指定的该程序子版本号
WORD MajorSubsystemVersion; //17)所需子系统主版本号
WORD MinorSubsystemVersion; //18)所需子系统子版本号
DWORD Win32VersionValue; //19)保留,通常为00
DWORD SizeOfImage; //20)映射文件装入内存后的总大小(从Image Base到最后一个区段的总大小)。
DWORD SizeOfHeaders; //21)DOS头、PE头和区块表的尺寸之和
DWORD CheckSum; //22)映像文件的校验和
WORD Subsystem; //23)PE文件所期望的子系统值,可以用来鉴别程序是命令行操作程序还是图形交互程序
WORD DllCharacteristics; //24)DLL标志位
DWORD SizeOfStackReserve; //25)初始化栈大小
DWORD SizeOfStackCommit; //26)初始化实际提交栈大小,在EXE中栈初始内存大小(默认4KB)
DWORD SizeOfHeapReserve; //27)初始化堆大小,在EXE中进程堆保留的内存(默认1MB)
DWORD SizeOfHeapCommit; //28)初始化实际提交栈大小,在EXE中指派的堆内存大小(默认4KN)
DWORD LoaderFlags; //29)调试相关,默认0x00
DWORD NumberOfRvaAndSizes; //30)数据目录表数量,一般为0x00000010(16个)
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; //数据目录表
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
2.4 数据目录表
数据目录是PE文件中各种数据结构的索引目录,由数个相同的IMAGE_DATA_DIRECTORY结构体组成,其中包含了很多PE文件正常加载执行不可缺少的数据结构。
定义如下:
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress; //数据块的起始RVA地址
DWORD Size; //数据块的长度
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
0x3 区段表
PE文件头的数据目录表后是区段表,区段表用来描述位于其后各个区段的各种属性。PE文件最少要有一个区段才能被加载运行。
区段表是由数个首尾相连的IMAGE_SECTION_HEADER结构体数组构成,可以使用IMAGE_FIRST_SECTION32(NtHeader)这个宏找到第一个区段表所在的位置。
3.1 IMAGE_SECTION_HEADER结构
IMAGE_SECTION_HEADER结构里包含了可以详细描述该区段属性的字段信息,例如区段名、长度、属性等内容,如下所示:
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 1)区段名
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc; // 2)区段大小
DWORD VirtualAddress; // 3)区段的RVA地址
DWORD SizeOfRawData; // 4)文件中的区段对齐大小
DWORD PointerToRawData; // 5)区段在文件中的偏移
DWORD PointerToRelocations; // 6)重定位的偏移(用于OBJ文件)
DWORD PointerToLinenumbers; // 7)行号表的偏移(用于调试)
WORD NumberOfRelocations; // 8)重定位表项数量(用于OBJ文件)
WORD NumberOfLinenumbers; // 9)行号表项数量
DWORD Characteristics; // 10)区段的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
上面的结构说明如下:
1)Name:区段名,是一个长度为8字节的ASCII字符串数组,一般情况下区段名都以“.”开始
2)VirtualSize:实际被使用的区段大小(即区段在未做对齐处理前的大小),此字段在OBJ文件中为0x00000000。
3)VirtualAddress:此区段载入内存后的RAV,这个地址是按照内存页对齐的(通常为PE头结构中SectionAlignment字段的整数倍)
4)SizeOfRawData:此区段在磁盘中的体积,这个地址是按照文件页对齐的(通常为PE头结构中FileAlignment字段的整数倍)
5)PointerToRawData:此区段在文件中的偏移。
6)PointerToRelocaltions:此区段重定位表的偏移地址,它指向IMAGE_RELOCATION结构数组。
7)PointerToLinenumbers:行号表在文件中的偏移
8)NumberOfRelocations:此区段重定位表项的数量
9)NumberOfLinenumbers:行号表项的数量
10)Characteristics:区段属性,用以描述此区段的读写情况、状态等属性。
3.2 区段名功能约定
虽然区段名是可以自定义,但是微软对实现各种功能区段的名词还是有一个约定俗称的命名标准。
.text:代码段,里面的数据全都是代码
.data:可读写的数据段,存放全局变量或静态变量
.rdata:只读数据区
.idata:导入数据区,存放导入表信息
.edata:导出数据区,导出表信息
.rsrc:资源区段,存放程序用到的所有资源,如图表,菜单等
.bss:未初始化数据区
.crt:用于支持C++运行时库所添加的数据
.tls:存储线程局部变量
.reloc:包含重定位信息
.sdata:包含相对于可被全局指针定位的可读写数据
.srdata:包含相对于可被全局指针定位的只读数据
.pdata:包含异常表
.debug$S:包含OBJ文件中的Codeview格式符号
.debug$T:包含OBJ文件中的Codeview格式类型的符号
.debug$P:包含使用预编译头时的一些信息
.drectve:包含编译时的一些链接命令
.didat:包含延迟装入的数据
这些区段名一般都是由编译器在自动编译连接时生成的,但是我们是可以自己定义区段名的。
在VS中,可以用以下代码控制编译器数据区段的名称:
#pragma data_seg("YourName");
3.3 地址转换
地址转换工具:FFI、Stud PE与Load PE等
0x4 导出表
导出表是PE文件为其他应用程序提供API的一种函数示例导出方式。Windows下存在导出表的可执行文件可以指定自身的一些变量、函数以及类,并将其导出,以便提供给其他第三方程序使用。
4.1 IMAGE_EXPORT_DIRECTORY
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics; // 1) 保留,恒为0x00000000
DWORD TimeDateStamp; // 2) 时间戳,导出表创建的时间(GMT时间)
WORD MajorVersion; // 3) 主版本号:导出表的主版本号
WORD MinorVersion; // 4) 子版本号:导出表的子版本号
DWORD Name; // 5) 指向模块名称的RVA,指向模块名(导出表所在模块的名称)的ASCII字符的RVA
DWORD Base; // 6) 导出表用于输出API函数索引值的基数(函数索引值=导出函数索引值-基数)
DWORD NumberOfFunctions; // 7) EAT 导出地址表中的成员个数
DWORD NumberOfNames; // 8) ENT 导出名称表中的成员个数
DWORD AddressOfFunctions; // 9) EAT 函数地址表的相对虚拟地址(RVA),每一个非0的项都对应一个被导出的函数名称或序号
DWORD AddressOfNames; // 10) ENT 函数名称表的相对虚拟地址(RVA),每一个非0的项都对应一个被导出的函数地址或序号
DWORD AddressOfNameOrdinals; // 11) 指向导出序列号的数组,导出序号表的相对虚拟地址(RVA)
} IMAGE_EXPORT_DIRECTORY,*PIMAGE_EXPORT_DIRECTORY;
4.2 识别导出表
导出表由3部分构成,分别是名称表、函数表或序号表,其中函数表与序号表是必须要有的,而名称表则是可选的。
总结公式:
导出表Offset = 导出表RVA - 有导出表的区段RVA + 有导出表的区段Offset
知道导出表的Offset与RAV后,我们就可以计算出一个参照值,以方便后续的其他地址运算。参照值的计算公式如下:
导出表地址计算参照值(差值) = 导出表RVA - 导出表Offset
0x5 导入表
导入表机制是PE文件从其他第三方程序导入API,以供本程序调用的机制。
5.1 IMAGE_IMPORT_DESCRIPTOR结构
IMAGE_IMPORT_DESCRIPTOR(导入表)负责引导系统找到真正保存有导入信息的其他两个结构,这两个结构分别为IMAGE_THUNK_DATA与IMAGE_IMPORT_BY_NAME。
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
DWORD Characteristics;
DWORD OriginalFirstThunk; // 1) 指向输入名称表(INT)的RVA
} DUMMYUNIONNAME;
DWORD TimeDateStamp; // 2)时间标识
DWORD ForwarderChain; // 3) 转发链,如果不转发则此值为0
DWORD Name; // 4)指向导入映射文件的名字
DWORD FirstThunk; // 5)指向输入地址表(IAT)的RVA
} IMAGE_IMPORT_DESCRIPTOR;
1)OriginalFirstThunk:包含指向INT的RVA,INT是一个IMAGE_THUNK_DATA结构的数组
2)TimeDataStamp:一个32位的时间标识
3)ForwarderChain:控制导入表转发器Forwarders的索引值
4)Name:指向导入映像文件的名字
5)FirstThunk:指向导入地址表(IAT)的RVA
在一般情况下,对于导入表我们只需要关注它的两个字段,分别是OriginalFirstThunk和FirstThunk,这两个字段分别指向了保存导出名称与导出地址的IMAGE_THUNK_DATA结构数组。
5.2 识别导入表
这一章没看明白,不做笔记
0x6 资源
windows下程序中的各种界面(数据)组成的部分称为资源,比如菜单、图标、快捷键、版本信息以及其他格式化的二进制资源。
数据目录中IMAGE_DIRECTORY_ENTRY_RESOURCE项指向此结构。
0x7 异常
PE文件中的异常目录用于描述异常处理相关的异常处理函数、SHE相关的地址等信息,这些信息通常位于名为.pdata的区段中,数据目录中IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。
0x8 安全
数据目录里的IMAGE_DIRECTORY_ENTRY_SECURITY项指向此结构,此结构被称为安全目录或属性证书目录,这个目录里一般保存着此映像文件的数字签名,以证实此映像文件的可信程度。
0x9 基址重定位
数据目录的IMAGE_DIRECTORY_ENTRY_BASERELOC项指向此结构,由于在Windows系统中DLL(动态链接库)文件并不是每次都能加载到预设的基址(ImageBase)上,因此基址重定位主要应用于DLL文件中。
9.1 基址重定位表结构
一般情况下重定位位于一个名为.reloc的区块内,重定位结构是由多个IMAGE_DIRECTORY_ENTRY_BASERELOC子结构组成的。
9.2 识别基址重定位表
重定位项数目 = (SizeOfBlock - IMAGE_DIRECTORY_ENTRY_BASERELOC)/2
0x10 调试
数据目录的IMAGE_DIRECTORY_ENTRY_DEBUG项指向此结构,此结构也叫做调试目录,它往往保存在一个名为.debug的区段里,主要负责协助第三方程序调试本程序,并为其提供调试数据块的位置与大小。
0x11 特殊结构数据(版权)
数据目录的IMAGE_DIRECTORY_ENTRY_ARCHITECTURE指向此结构,在微软的官方描述中,此结构为保留字段,必须为0。
0x12 全局指针
数据目录的IMAGE_DIRECTORY_ENTRY_GLOBALPTR项指向此结构
0x13 TLS
数据目录的IMAGE_DIRECTORY_ENTRY_TLS项指向此结构,TLS变量往往保存在一个名为.tls的区段里。
TLS分为变量与回调函数两部分,其中变量又分为静态模式与动态模式,动态模式是指用TlsAlloc、TlsFree、TlsSetValue与TlsGetValue这几个系统提供的API并使用TLS变量的方式。静态模式是指用Visual C++中提供的__declspec(thread)关键字来声明的TLS变量。
13.1 TLS的回调函数
由于TLS回调函数会优先于程序运行,因此会给调试程序过程带来很多的不变,如果采用默认加载方式,TLS回调函数会在调试器中断在OEP(程序入口点)之前执行完毕。
TLS的结构(x86/x64)
TLS结构是由IMAGE_TLS_DIRECTORY32结构组成的,通常这个结构于.data区段中,以下是IMAGE_TLS_DIRECTORY32结构的声明:
typedef struct _IMAGE_TLS_DIRECTORY32 {
DWORD StartAddressOfRawData; //1)TLS模板在内存中起始RVA地址,模板是线程建立时被用于初始化TLS的数据,系统为每个线程建立一个副本
DWORD EndAddressOfRawData; //2)TLS模板在内存中结束RVA地址
PDWORD AddressOfIndex; //3)存放TLS索引的位置
PIMAGE_TLS_CALLBACK *AddressOfCallBacks;//4)指向一个以0x00000000结尾的TLS回调数组,为0则无回调数组
DWORD SizeOfZeroFill; //5)用于指定非零化数据后面空白空间的大小
DWORD Characteristics; //6)保留
} IMAGE_TLS_DIRECTORY32;
typedef IMAGE_TLS_DIRECTORY32 *PIMAGE_TLS_DIRECTORY32;
0x14 载入配置(x86/x64)
数据目录的IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG项指向此结构,加载配置结构最早是被应用在Windows NT操作系统中的。通常用来描述一些因为太大或太复杂而不适合在PE头或选项头中描述的特征。
0x15 绑定导入表
数据目录的IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT项指向此结构,绑定导入的目的在于减少的加载时间。
0x16 导入地址表
数据目录的IMAGE_DIRECTORY_ENTRY_IAT项指向此结构,其本身就是一个IMAGE_THUNK_DATA结构体数组。在程序加载后,这个结构体数组会依据导入项信息保存其导入函数的真正地址。
0x17 延迟加载表
数据目录的IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT项指向此结构,延迟加载的作用与绑定导入是大致一样的,本质上都是为了加快PE文件的加载速度而设定的。
0x18 COM描述符
数据目录的IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR项指向此结构,根据其功能的不用,COM描述符通常位于一个名为.cormeta或.sxdata的区段里。
如果区段名为.cormeta,则代表此处保存的信息是与公共语言运行时环境(CLR)相关的信息。
如果区段名为.sxdata,则代表此区段内保存有异常句柄列表,此列表内包含每个句柄的COFF符号索引。
参考文章
《黑客免杀攻防学习笔记》——PE文件结构1
http://blog.csdn.net/wuyangbotianshi/article/details/17379895
《黑客免杀攻防学习笔记》——PE文件结构2
http://blog.csdn.net/wuyangbotianshi/article/details/17380835
黑客免杀攻防学习笔记》——PE文件结构3
http://blog.csdn.net/wuyangbotianshi/article/details/17381113
《黑客免杀攻防》 第七章 PE文件格式详解 阅读笔记
http://blog.csdn.net/dalerkd/article/details/40931221
PE文件结构及其加载机制
http://www.cnblogs.com/bokernb/articles/6116512.html
深入剖析PE文件
http://lwglucky.blog.51cto.com/1228348/283812/
注: RAV 代表相对虚拟地址。RVA是虚拟空间中到参考点的一段距离
黑客免杀攻防勘误
http://a1pass.lofter.com/post/b21d8_4a5b475?act=qbbloglofter_20150506_01
