一、介绍
PE文件,即Portable Executable文件,是一种标准的文件格式,主要用于微软的Windows操作系统上。这种格式被用来创建可执行程序(如.exe文件)、动态链接库(.DLL文件)、设备驱动(.SYS文件)、ActiveX(.OCX文件)以及其他类型的可执行模块。
PE文件格式设计得非常灵活和强大,它允许程序在不同版本的Windows上运行,从而实现了一定程度的可移植性。PE文件格式是Windows系统加载和执行程序的基础,它允许操作系统将文件加载到内存中并控制其执行环境,同时提供了调试、安全性和资源管理等功能。了解PE文件的结构对于开发人员、反病毒工程师、逆向工程师以及安全研究人员来说非常重要。
二、PE文件解析
2.1 DOS头
DOS部分包含DOS MZ文件头和DOS块。
DOS MZ文件头
DOS MZ文件头就是一个结构体IMAGE_DOS_HEADER,用于保持与MS-DOS的兼容性,其定义如下所示:
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE headerWORD e_magic; // Magic number 2字节,魔术数,对于PE文件应该是“MZ”WORD e_cblp; // Bytes on last page of file 最后一页的字节数WORD e_cp; // Pages in file 页面数WORD e_crlc; // Relocations 重定位项数WORD e_cparhdr; // Size of header in paragraphs 头部段数WORD e_minalloc; // Minimum extra paragraphs needed 最小额外段数WORD e_maxalloc; // Maximum extra paragraphs needed 最大额外段数WORD e_ss; // Initial (relative) SS value 初始(SS)选择器WORD e_sp; // Initial SP value 初始(SP)WORD e_csum; // Checksum 校验和WORD e_ip; // Initial IP value 初始IPWORD e_cs; // Initial (relative) CS value 初始CS选择器WORD e_lfarlc; // File address of relocation table PE头部相对于DOS头部的偏移量WORD e_ovno; // Overlay number 重叠编号WORD e_res[4]; // Reserved words 储存保留字段WORD e_oemid; // OEM identifier (for e_oeminfo) OEM标识符WORD e_oeminfo; // OEM information; e_oemid specific OEM信息WORD e_res2[10]; // Reserved words 更多储存保留字段DWORD e_lfanew; // File address of new exe header PE签名相对于DOS头部的偏移量} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
总共64字节(0x40),它有很多成员,但我们并不需要去深入的理解每个成员的含义和作用,这是因为这个结构体是给16位平台看的,而我们现在的环境大部分都是32位和64位的,所以现在的平台不在需要这个完整的结构体了,只需要其中的两个成员e_magic和e_lfanew。
你可以尝试在16进制的编辑器中去编辑某个EXE文件的DOS MZ文件头,除了e_magic和e_lfanew两个成员,其他的以0x00填充,然后保存文件,你会发现修改后的文件还是可以正常运行的。保留这两个成员的原因是因为它们代表着所说的PE指纹,操作系统也是根据这个来识别是否是PE文件的,所以不能更改、删除(e_magic是一种标识,e_lfanew则表示PE文件头的位置)。
DOS块
DOS块就是夹在DOS MZ文件头和PE文件头之间的内容,这里面的内容可以根据自己的需要随意的修改和添加,并不会影响文件的正常运行。
2.2 PE头
PE头整体就是如下这个结构体:
typedef struct _IMAGE_NT_HEADERS {DWORD Signature; // PE标识IMAGE_FILE_HEADER FileHeader; // 标准PE头IMAGE_OPTIONAL_HEADER32 OptionalHeader; // 扩展PE头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
第一个成员就是PE标识,该标识不能被破坏,因为操作系统在启动一个程序的时候会检测这个标识。
标准PE头
标准PE头是PE头的第二个成员,它是如下所示的结构体:
typedef struct _IMAGE_FILE_HEADER {WORD Machine; // 可以运行在什么样的CPU上WORD NumberOfSections; // 表示节的数量DWORD TimeDateStamp; // 编译器填写的时间戳DWORD PointerToSymbolTable; // 调试相关DWORD NumberOfSymbols; // 调试相关WORD SizeOfOptionalHeader; // 扩展PE头的大小WORD Characteristics; // 文件属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
总共20个字节(0x14),其第一个成员Machine表示可以运行在什么样的CPU上,如果它的值位0x0则表示可以运行在任意的CPU上,支持在Intel 386以及后续的型号CPU运行则值为0x14C,支持64位的CPU则值为0x8664。
第二个成员NumberOfSections表示当前PE文件中节的数量,也就是节表中有几个结构体;第三个成员TimeDateStamp表示编译器编译的时候插入的时间戳,与文件属性里面的创建时间和修改时间是无关的。
第四、第五个成员是调试相关的,暂时不去了解;第六个成员SizeOfOptionalHeader表示扩展PE头的大小,默认情况下32位PE文件对应值为0xE0,64位PE文件对应值为0xF0。
第七个成员Characterstics用来记录当前PE文件的一些属性,该成员是16位大小,用于标识PE文件的特性。每个位代表一个特定的标志,通过位操作可以检查文件是否具有某个特征。下面列出了一些常见的标志位:
- IMAGE_FILE_RELOCS_STRIPPED(0x0001): 重定位信息已被删除,通常出现在最终的可执行文件中。
- IMAGE_FILE_EXECUTABLE_IMAGE(0x0002):文件是可执行的。
- IMAGE_FILE_LINE_NUMS_STRIPPED(0x0004):源代码行号信息已被删除。
- IMAGE_FILE_LOCAL_SYMS_STRIPPED(0x0008):本地符号已被删除。
- IMAGE_FILE_AGGRESIVE_WS_TRIM(0x0010):文件使用激进的工作集修剪策略。
- IMAGE_FILE_LARGE_ADDRESS_AWARE(0x0020):应用程序能处理大于2GB的地址空间,在32位系统中启用此标志才能使用超过2GB的虚拟地址空间。
- IMAGE_FILE_BYTES_REVERSED_LO(0x0080):低字节顺序被反转。
- IMAGE_FILE_BYTES_32BIT_MACHINE(0x0100):文件是为32位机器编译的。
- IMAGE_FILE_DEBUG_STRIPPED(0x0200):调试信息已被删除。
- IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP(0x0400):文件可以从交换设备运行。
- IMAGE_FILE_NET_RUN_FROM_SWAP(0x0800):文件可以从网络运行。
- IMAGE_FILE_SYSTEM(0x1000):文件是一个系统文件。
- IMAGE_FILE_DLL(0x2000):文件是一个动态链接库(DLL)。
- IMAGE_FILE_UP_SYSTEM_ONLY(0x4000):文件只能在用户处理器上运行。
- IMAGE_FILE_BYTES_REVERSED_HI(0x8000):高字节顺序被反转。
在处理PE文件时,可以通过按位与(&)操作符检查Characteristics字段是否设置了某个标志。例如,要检查文件是否为可执行文件,可以使用Characteristics & IMAGE_FILE_EXECUTABLE_IMAGE的结果是否非零。同样地,可以组合多个标志来同时检查多个条件,例如,检查文件是否既可执行又是动态链接库,可以使用Characteristics & (IMAGE_FILE_EXECUTABLE_IMAGE | IMAGE_FILE_DLL)。
扩展PE头
扩展PE头在32位和64位环境下是不一样的,这里只介绍32位扩展PE头。如下结构体就是32位的扩展PE头:
typedef struct _IMAGE_OPTIONAL_HEADER {WORD Magic; // PE32:10B PE32+:20BBYTE MajorLinkerVersion; // 链接器版本号BYTE MinorLinkerVersion; // 链接器版本号DWORD SizeOfCode; // 所有代码节的总和(文件对齐后的大小),编译器填的(没用)DWORD SizeOfInitializedData; // 包含所有已经初始化数据的节的总大小(文件对齐后的大小),编译器填的(没用)DWORD SizeOfUninitializedData; // 包含未初始化数据的节的总大小(文件对齐后的大小),编译器填的(没用)DWORD AddressOfEntryPoint; // 程序入口DWORD BaseOfCode; // 代码开始的基址,编译器填的(没用)DWORD BaseOfData; // 数据开始的基址,编译器填的(没用)DWORD ImageBase; // 内存镜像基址DWORD SectionAlignment; // 内存对齐DWORD FileAlignment; // 文件对齐WORD MajorOperatingSystemVersion; // 标识操作系统版本号,主版本号WORD MinorOperatingSystemVersion; // 标识操作系统版本号,次版本号WORD MajorImageVersion; // PE文件自身的版本号 WORD MinorImageVersion; // PE文件自身的版本号WORD MajorSubsystemVersion; // 运行所需子系统版本号WORD MinorSubsystemVersion; // 运行所需子系统版本号DWORD Win32VersionValue; // 子系统版本的值,必须为0DWORD SizeOfImage; // 内存中整个PE文件的映射的尺寸DWORD SizeOfHeaders; // 所有头加节表按照文件对齐后的大小,否则加载会出错DWORD CheckSum; // 校验和WORD Subsystem; // 子系统,驱动程序(1)、图形界面(2) 、控制台/DLL(3)WORD DllCharacteristics; // 文件特性DWORD SizeOfStackReserve; // 初始化时保留的栈大小 DWORD SizeOfStackCommit; // 初始化时实际提交的大小 DWORD SizeOfHeapReserve; // 初始化时保留的堆大小DWORD SizeOfHeapCommit; // 初始化时实践提交的大小 DWORD LoaderFlags; // 调试相关DWORD NumberOfRvaAndSizes; // 目录项数目IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; // 表,结构体数组
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
扩展PE头的成员有很多,但我们不需要每个都记住,大概了解一些即可,重点关注如下几个成员:
成员Magic标识当前PE文件是32位还是64位,32位时该值对应0x10B,64位时该值对应0x20B。
成员AddressOfEntryPoint表示当前程序入口的地址,这个成员要与成员ImageBase相加才能得出真正的入口地址,成员ImageBase用来表示内存镜像基址,也就是PE文件在内存中按内存对齐展开后的首地址。
成员SizeOfImage表示内存中整个PE文件映射的大小,可比实际的值大(内存对齐之后的大小,也就表示必须是SectionAlignment的整数倍)。
成员CheckSum表示校验和,是用来判断文件是否被修改的,它的计算方法就是文件的两个字节与两个字节相加,最终的值(不考录溢出情况)就是校验和。
成员DllCharacteristics,它用来表示DLL文件或可执行文件的某些高级属性;它的数据宽度是16位(2字节),以下是常见的标志位:
- RESERVED0(0x0001)和RESERVED1(0x0002):保留位,必须为0.
- IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE(0x0040):指示DLL支持ASLR(地址空间布局随机化)。这意味着DLL在每次加载时会被加载到不同的地址,从而增加攻击者预测其在内存中位置的难度,提高安全性。
- IMAGE_DLLCHARACTERISTICS_FORCE_INTEGRITY(0x0080):指示所有针对此DLL的代码完整性检查都是强制性的。这可以防止未经授权的修改。
- IMAGE_DLLCHARACTERISTICS_NX_COMPAT(0x0100):指示DLL与DEP(数据执行保护)兼容。DEP是一种硬件功能,阻止在标记为不可执行的内存区域中执行代码,有助于防止缓冲区溢出攻击。
- IMAGE_DLLCHARACTERISTICS_NO_ISOLATION(0x0200):指示DLL不使用应用程序隔离,如AppContainer或Job Objects。
- IMAGE_DLLCHARACTERISTICS_NO_SEH(0x0400):指示DLL不使用SEH(结构化异常处理)。如果设置了这个标志,那么任何尝试从这个DLL中抛出异常的代码都会失败,并导致进程终止。
- IMAGE_DLLCHARACTERISTICS_NO_BIND(0x0800):指示加载器不应该绑定到这个DLL的导入。这通常用于延迟加载的DLL,以减少启动时间。
- IAMGE_DLLCHARACTERISTICS_APPCONTAINER(0x1000):指示DLL是为AppContainer环境设计的。AppContainer是Windows8及更高版本中的一种隔离技术。
- IMAGE_DLLCHARACTERISTICS_WDM_DRIVER(0x2000):指示DLL是一个WDM(Windows Driver Model)驱动程序。
- IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE(0x8000):指示DLL是为终端服务器环境设计的,它可以处理多个会话并行运行的情况。
最后一个成员DataDirectory,占用128个字节,为一个IMAGE_DATA_DIRECTORY structure结构体数组(16个)。
typedef struct _IMAGE_DATA_DIRECTORY {DWORD VirtualAddress;DWORD Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
这个结构体有两个成员,一个成员占用4个字节,也就是8个字节。这个数组有16个数据,也就是16*8=128字节。
2.3 PE节表
在PE中,节数据有几个,分别对应着什么类型以及其他相关的属性都是由PE节表来决定的,PE节表是一个结构体数组,结构体定义如下所示:
#define IMAGE_SIZEOF_SHORT_NAME 8
typedef struct _IMAGE_SECTION_HEADER {BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // ASCII字符串(节名),可自定义,只截取8个字节,可以8个字节都是名字union { // Misc,双字,是该节在没有对齐前的真实尺寸,该值可以不准确DWORD PhysicalAddress; // 真实宽度,这两个值是一个联合结构,可以使用其中的任何一个DWORD VirtualSize; // 一般是取后一个} Misc; DWORD VirtualAddress; // 在内存中的偏移地址,加上ImageBase才是在内存中的真正地址DWORD SizeOfRawData; // 节在文件中对齐后的尺寸DWORD PointerToRawData; // 节区在文件中的偏移DWORD PointerToRelocations; // 调试相关DWORD PointerToLinenumbers; // 调试相关 WORD NumberOfRelocations; // 调试相关 WORD NumberOfLinenumbers; // 调试相关 DWORD Characteristics; // 节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
代码中的注释可以大致了解到每个成员的作用,其中有两个成员来描述节的大小,分别是没有对齐前的真实尺寸和对齐后的宽度,这时候会出现一种情况就是对齐前的真实尺寸大于对齐后的宽度,这就是存在全局变量没有赋予初始值导致的,在文件存储中全局变量没有赋予初始值也就不占空间,但是内存中是必须要赋予初始值的,这时候宽度就大了一些,所以在内存中节是谁大就按照谁去展开。
与其他结构体一样,PE节也有属性,这就是成员Characteristics,其数据宽度是32位(4字节),其每一数据位对应的属性如下所示:
//
// Section characteristics.
//
// IMAGE_SCN_TYPE_REG 0x00000000 // Reserved.
// IMAGE_SCN_TYPE_DSECT 0x00000001 // Reserved.
// IMAGE_SCN_TYPE_NOLOAD 0x00000002 // Reserved.
// IMAGE_SCN_TYPE_GROUP 0x00000004 // Reserved.
#define IMAGE_SCN_TYPE_NO_PAD 0x00000008 // Reserved.
// IMAGE_SCN_TYPE_COPY 0x00000010 // Reserved.#define IMAGE_SCN_CNT_CODE 0x00000020 // Section contains code.
#define IMAGE_SCN_CNT_INITIALIZED_DATA 0x00000040 // Section contains initialized data.
#define IMAGE_SCN_CNT_UNINITIALIZED_DATA 0x00000080 // Section contains uninitialized data.#define IMAGE_SCN_LNK_OTHER 0x00000100 // Reserved.
#define IMAGE_SCN_LNK_INFO 0x00000200 // Section contains comments or some other type of information.
// IMAGE_SCN_TYPE_OVER 0x00000400 // Reserved.
#define IMAGE_SCN_LNK_REMOVE 0x00000800 // Section contents will not become part of image.
#define IMAGE_SCN_LNK_COMDAT 0x00001000 // Section contents comdat.
// 0x00002000 // Reserved.
// IMAGE_SCN_MEM_PROTECTED - Obsolete 0x00004000
#define IMAGE_SCN_NO_DEFER_SPEC_EXC 0x00004000 // Reset speculative exceptions handling bits in the TLB entries for this section.
#define IMAGE_SCN_GPREL 0x00008000 // Section content can be accessed relative to GP
#define IMAGE_SCN_MEM_FARDATA 0x00008000
// IMAGE_SCN_MEM_SYSHEAP - Obsolete 0x00010000
#define IMAGE_SCN_MEM_PURGEABLE 0x00020000
#define IMAGE_SCN_MEM_16BIT 0x00020000
#define IMAGE_SCN_MEM_LOCKED 0x00040000
#define IMAGE_SCN_MEM_PRELOAD 0x00080000#define IMAGE_SCN_ALIGN_1BYTES 0x00100000 //
#define IMAGE_SCN_ALIGN_2BYTES 0x00200000 //
#define IMAGE_SCN_ALIGN_4BYTES 0x00300000 //
#define IMAGE_SCN_ALIGN_8BYTES 0x00400000 //
#define IMAGE_SCN_ALIGN_16BYTES 0x00500000 // Default alignment if no others are specified.
#define IMAGE_SCN_ALIGN_32BYTES 0x00600000 //
#define IMAGE_SCN_ALIGN_64BYTES 0x00700000 //
#define IMAGE_SCN_ALIGN_128BYTES 0x00800000 //
#define IMAGE_SCN_ALIGN_256BYTES 0x00900000 //
#define IMAGE_SCN_ALIGN_512BYTES 0x00A00000 //
#define IMAGE_SCN_ALIGN_1024BYTES 0x00B00000 //
#define IMAGE_SCN_ALIGN_2048BYTES 0x00C00000 //
#define IMAGE_SCN_ALIGN_4096BYTES 0x00D00000 //
#define IMAGE_SCN_ALIGN_8192BYTES 0x00E00000 //
// Unused 0x00F00000#define IMAGE_SCN_LNK_NRELOC_OVFL 0x01000000 // Section contains extended relocations.
#define IMAGE_SCN_MEM_DISCARDABLE 0x02000000 // Section can be discarded.
#define IMAGE_SCN_MEM_NOT_CACHED 0x04000000 // Section is not cachable.
#define IMAGE_SCN_MEM_NOT_PAGED 0x08000000 // Section is not pageable.
#define IMAGE_SCN_MEM_SHARED 0x10000000 // Section is shareable.
#define IMAGE_SCN_MEM_EXECUTE 0x20000000 // Section is executable.
#define IMAGE_SCN_MEM_READ 0x40000000 // Section is readable.
#define IMAGE_SCN_MEM_WRITE 0x80000000 // Section is writeable.
一个EXE文件的16进制图例子