[原创]手写一个PE文件
手写一个PE文件,首先要对PE文件有一个基本的了解。这里使用的工具是hex workshop6.5。
一、开始为一个结构体,我们来看一下:
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of file WORD e_cp; // Pages in file WORD e_crlc; // Relocations WORD e_cparhdr; // Size of header in paragraphs WORD e_minalloc; // Minimum extra paragraphs needed WORD e_maxalloc; // Maximum extra paragraphs needed WORD e_ss; // Initial (relative) SS value WORD e_sp; // Initial SP value WORD e_csum; // Checksum WORD e_ip; // Initial IP value WORD e_cs; // Initial (relative) CS value WORD e_lfarlc; // File address of relocation table WORD e_ovno; // Overlay number WORD e_res[4]; // Reserved words WORD e_oemid; // OEM identifier (for e_oeminfo) WORD e_oeminfo; // OEM information; e_oemid specific WORD e_res2[10]; // Reserved words LONG e_lfanew; // File address of new exe header } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
首先e_magic应为0x5a4d,ANSI对应为“MZ”。还有一个关键的就是e_lfanew,指向IMAGE_NT_HEADER的开始位置。根据
由于存储的方式是地位存放低字节,高位存放高字节,所以开始本来是0x5A4D,结果变成了4D5A,到D8000000的时候,这个结构体结束。
后面是一段DOS的程序,然后是IMAGE_NT_HEADER结构,D800000000(其实真正的数据时0000‘00d8),指向后面的SIGNATURE,即00004550.ANSI为“PE00”,表示PE的有效性。我们可以使用ctrl+G,然后输入十六进制数据“000000D8”,直接跳转到该位置。
下面,我们再来看看 IMAGE_NT_HEADER的结构
typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_HEADER OptionalHeader; } IMAGE_NT_HEADERS;
为了编程方便,windows为DOS文件标记和PE文件标记都定义了宏标识。
#define IMAGE_DOS_HEADER 0x5A4D //MZ #define IMAGE_NT_SIGNATURE 0x00004550 // PE00
二、了解了PE的文件结构,我们就可以来写一个PE文件
特别要注意位置的相对性,因为hex workshop是可调节大小的。
这样,第一个结构体就差最后一个数据了,那就是e_lfanew的值(我这里写了,为42000000,实际为00000042,即下一行的开始)。
42000000之后的数据就代表了dos程序,虽然是几个0。而42000000(实际是0000‘0042),指向的是下一行的开始,即IMAGE_NT_HEADERS的开始部分。
而且只要这个位置的值是ANSI的PE00,则表示这个文件时一个PE文件:
这样,一个PE文件就完成了,我们保存为pe.exe,等待下一步的验证。
三、PE的验证
在王艳萍的windows程序设计中,有涉及到PE文件的验证,我们就以书中代码设计一个程序,用来验证程序是否是PE文件。我对其中代码进行了修改,代码如下:
void CCheckDlg::OnButton1() { CFileDialog dlg(TRUE); if(dlg.DoModal()!=IDOK) return; HANDLE hFile=::CreateFile(dlg.GetFileName(),GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); if(hFile==INVALID_HANDLE_VALUE) { MessageBox("无效文件","validpe",MB_OK); } IMAGE_DOS_HEADER dosHeader; IMAGE_NT_HEADERS32 ntHeader; BOOL bValid=FALSE; DWORD dwRead; ::ReadFile(hFile,&dosHeader,sizeof(dosHeader),&dwRead,NULL); if(dwRead==sizeof(dosHeader)) { if(dosHeader.e_magic==IMAGE_DOS_SIGNATURE) { if(::SetFilePointer(hFile,dosHeader.e_lfanew,NULL,FILE_BEGIN)!=-1) { ::ReadFile(hFile,&ntHeader,sizeof(ntHeader),&dwRead,NULL); if(ntHeader.Signature==IMAGE_NT_SIGNATURE) bValid=TRUE; } } } if(bValid) MessageBox("是一个PE格式的文件","提示",MB_OK); else { MessageBox("不是一个PE格式的文件","提示",MB_OK); } ::CloseHandle(hFile); return; }
工程下载:https://files.cnblogs.com/tk091/PECheck.rar
