PE结构是Windows下可执行文件的规范结构,可执行文件的运载、运行内存遍布、执行等都依赖于PE结构,而在逆向分析手机软件时,为了更好地有目地、更有效地掌握程序流程,务必把握PE结构。
PE(Portable Executable),就可以移植的执行体。在Windows平台(包含Win 9x、Win NT、Win CE……)下,全部的可执行文件(包含EXE文档、DLL文件、SYS文件、OCX文档、COM文件……)均应用PE文档结构。这种应用PE文档结构的可执行文件也称之为PE文档。
一般的程序猿或许沒有必需把握PE文档结构,由于其大多数是开发设计服务型、效益性、辅助的手机软件,例如MIS、HIS、CRM等手机软件。可是针对学习培训黑客编程和学习安全性程序编写的Hacker、Cracker和Programmer的人来讲,把握PE文档结构的常识就特别关键了。
1. PE文档结构全景图片
Windows系统下的可执行文件中包括着各种各样数据信息,包含编码、数据信息、資源等。尽管Windows系统下的可执行文件中包括着如此诸多种类的数据信息,可是其储放全是井然有序、结构化的,这彻底依赖于PE文档结构对各种各样信息的管理方法。一样,PE结构是由多个繁杂的结构体组成的,并不是仅仅的一个结构体这么简单,它的结构如同系统文件的结构是由好几个结构体构成的。
PE结构包括的结构独特DOS头、PE标志、文件头、可选头、文件目录结构、节表等。要把握PE结构务必对PE结构有一个总体上的了解,要知道PE结构分成哪几个一部分,这种一部分大约是起什么作用的。拥有宏观经济上的定义之后,就可以深层次地对PE结构的每个结构体开展仔细的学了。下边得出一张图,让各位对PE结构有一个大致的掌握,如下图1所显示。
图1 PE结构一览图
从图1中可以看得出,PE结构分成4绝大多数,在其中每一部位又完成了细分化,存有多个小的一部分。从数据库管理的方面看来,可以把PE文档大概分成两一部分,DOS头、PE头和节表归属于PE文档的数据库管理结构或数据存储结构结构一部分,而节表数据信息才算是PE文档真真正正的数据信息一部分,在其中包括着编码、数据信息、資源等內容。
在开展逆向分析时,是对其编码、数据信息、資源等实际数据信息做好剖析,也就是图1的“节表数据信息”一部分。程序流程在存储空间中或文档中的机构结构是怎样整体规划的,并没去实际掌握,而这一部分內容恰好是图1的上边3一部分內容。
2. PE结构各一部分介绍
依据图1得出的PE结构一览图先来大概了解一下每一部分的功效。
(1)DOS头
DOS头分成两一部分,分别是“MZ头顶部”和“DOS底单”。MZ头顶部是真真正正的DOS头顶部,因为其逐渐处的2个字节数为“MZ”,因而DOS头还可以称为MZ头。该一部分用以程序流程在DOS系统软件下载入,它的结构被理解为IMAGE_DOS_HEADER。
DOS残余是一段简易的程序流程,适用于輸出“This program cannot be run in DOS mode.”相近的提醒字符串数组。
为何PE结构的最初部位有那样一段DOS头顶部呢?关键是为了更好地该可执行程序流程可以兼容DOS系统软件。一般来说,Win32下的PE程序流程不可以在DOS下运作,因而留下了这种一个简便的DOS程序流程用以提醒“不可以运作于DOS方式下”。
(2)PE头
PE头顶部储存着Windows系统载入可执行文件的重要信息。PE头顶部由IMAGE_ NT_HEADERS界定。从该结构体的定义名字可以看得出,IMAGE_NT_HEADERS由好几个结构体组成,包含IMAGE_NT_SIGNATRUE、IMAGE_FILE_HEADER和IMAGE_OPTIO NAL_HEADER三一部分。PE头顶部在PE文档中的地方并不是稳定一致的,PE头顶部的部位由DOS头顶部的某一字段名得出。
(3)节表
程序流程的机构依照各特性的差异而被储存在不一样的节中,在PE头顶部以后便是一个二维数组结构的节表。叙述节表的结构体是IMAGE_SECTION_HEADER,假如PE文档中有N个节,那麼节表便是由N个IMAGE_SECTION_HEADER构成的二维数组。节表中存放了每个节的特性、文档部位、运行内存部位等相应的信息内容。
(4)节表数据信息
PE文档的真真正正程序流程一部分就储存在节数据信息中。在PE结构中,有几个节表,就相匹配有几个节表的数据信息。依据节表的特性、详细地址等信息内容,程序流程的信息就遍布在节表特定的部位中。