深入解析PE文件结构 - 完整教学文档<\/h1>

0. 概述<\/h2>
PE文件(Portable Executable File Format)是Windows下可执行程序的标准格式，包括.exe、.dll、.sys等文件。PE文件分为32位(PE32)和64位(PE32+)两种版本。<\/p>

1. PE文件基本结构<\/h2>

PE文件由四个主要部分组成：<\/p>

DOS头<\/strong>：保持对DOS系统的兼容，并定位真正的PE头<\/li>
NT头<\/strong>：包含PE文件标识、PE文件头和可选头<\/li>
节表<\/strong>：描述PE文件后续节的属性<\/li>

节<\/strong>：实际包含代码、数据等内容，每个节有独立的内存权限<\/li> <\/ol>
2. 地址概念<\/h2>
2.1 地址类型<\/h3>

VA (Virtual Address)<\/strong>：虚拟地址，绝对内存地址<\/li>
RVA (Relative Virtual Address)<\/strong>：相对虚拟地址，相对于内存映像头的偏移<\/li>
FOA (File Offset Address)<\/strong>：文件偏移地址，在磁盘文件中的偏移<\/li> <\/ul>
2.2 地址转换公式<\/h3>
VA = RVA + ImageBase <\/code><\/pre> 3. DOS头详解<\/h2> DOS头结构体定义在winnt.h中，大小为64字节(0x40)。关键字段：<\/p> e_magic<\/strong>：MZ标识，固定为0x5A4D('MZ')<\/li> e_lfanew<\/strong>：指向NT头的偏移<\/li> <\/ul> 3.1 DOS存根<\/h3> DOS头后跟一段DOS程序，称为DOS存根，通常显示"This program cannot be run in DOS mode."然后退出。<\/p> 3.2 实验验证<\/h3> 只有e_magic和e_lfanew两个字段是必需的，其他字段可以置零而不影响程序运行。<\/p> 4. NT头详解<\/h2> NT头由三部分组成：<\/p> 4.1 PE标识<\/h3> 固定为"PE\0\0"四个字节(0x50450000)。<\/p> 4.2 文件头(IMAGE_FILE_HEADER)<\/h3> 关键字段：<\/p> Machine<\/strong>：CPU类型，如0x014C(x86)、0x8664(x64)<\/li> NumberOfSections<\/strong>：节的数量<\/li> SizeOfOptionalHeader<\/strong>：可选头的大小<\/li> Characteristics<\/strong>：文件属性标志<\/li> <\/ul> 4.3 可选头(IMAGE_OPTIONAL_HEADER32)<\/h3> 虽然名为"可选"，但实际是必需的。关键字段：<\/p> Magic<\/strong>：标识文件类型(0x010B为PE32)<\/li> AddressOfEntryPoint<\/strong>：程序入口点RVA<\/li> ImageBase<\/strong>：建议装载基址<\/li> SectionAlignment<\/strong>：内存中对齐值(默认4KB)<\/li> FileAlignment<\/strong>：文件中对齐值<\/li> SizeOfImage<\/strong>：映像总大小<\/li> DataDirectory<\/strong>：数据目录表<\/li> <\/ul> 5. 数据目录表<\/h2> 数据目录表位于可选头末尾，包含16个数据目录项，每个项描述一个重要数据结构的位置和大小。<\/p> 5.1 导出表<\/h3> 描述模块(.dll)中的导出函数，支持按名称和序号两种导出方式。<\/p> 5.2 导入表<\/h3> 描述PE文件依赖的模块和函数，包含：<\/p> INT (Import Name Table)<\/strong>：导入名称表<\/li> IAT (Import Address Table)<\/strong>：导入地址表<\/li> <\/ul> IAT在加载前与INT相同，加载后被填充为实际函数地址。<\/p> 5.3 重定位表<\/h3> 解决模块基址变化时的地址修正问题，包含需要重定位的位置信息。<\/p> 6. 节表与节操作<\/h2> 6.1 节表结构(IMAGE_SECTION_HEADER)<\/h3> 每个节表项40字节，描述一个节的属性：<\/p> Name<\/strong>：节名称<\/li> VirtualSize<\/strong>：节在内存中的实际大小<\/li> VirtualAddress<\/strong>：节的RVA<\/li> SizeOfRawData<\/strong>：节在文件中的大小<\/li> PointerToRawData<\/strong>：节在文件中的偏移<\/li> Characteristics<\/strong>：节属性(如可读、可写、可执行)<\/li> <\/ul> 6.2 地址转换示例<\/h3> 将VA转换为FOA的步骤：<\/p> 计算RVA = VA - ImageBase<\/li> 确定RVA所属的节<\/li> 计算节RVA与FOA的差值<\/li> FOA = RVA - 差值<\/li> <\/ol> 6.3 节操作技术<\/h3> 空白区添加代码<\/strong>：利用节内对齐填充空间<\/li> 扩大节<\/strong>：修改节大小属性，增加文件数据<\/li> 新增节<\/strong>：在节表后添加新节表项<\/li> 修正NumberOfSections和SizeOfImage<\/li> 在文件末尾添加节数据<\/li> <\/ul> <\/li> 合并节<\/strong>：将多个节合并为一个<\/li> <\/ol> 7. 实验与工具<\/h2> 推荐工具：<\/p> LordPE：查看和编辑PE文件结构<\/li> 010 Editor：二进制文件编辑<\/li> IDA Pro：反汇编分析<\/li> <\/ul> 8. 参考<\/h2> 《逆向工程核心原理》<\/li> 滴水逆向教程<\/li> Microsoft PE\/COFF规范<\/li> <\/ul> 通过深入理解PE文件结构，可以更好地进行软件分析、漏洞挖掘和逆向工程工作。<\/p>

深入解析PE文件结构 - 完整教学文档<\/h1>

0. 概述<\/h2> PE文件(Portable Executable File Format)是Windows下可执行程序的标准格式，包括.exe、.dll、.sys等文件。PE文件分为32位(PE32)和64位(PE32+)两种版本。<\/p>

2. 地址概念<\/h2>

3.1 DOS存根<\/h3> DOS头后跟一段DOS程序，称为DOS存根，通常显示"This program cannot be run in DOS mode."然后退出。<\/p>

3.2 实验验证<\/h3> 只有e_magic和e_lfanew两个字段是必需的，其他字段可以置零而不影响程序运行。<\/p>

4. NT头详解<\/h2> NT头由三部分组成：<\/p>

4.1 PE标识<\/h3> 固定为"PE\0\0"四个字节(0x50450000)。<\/p>

5. 数据目录表<\/h2> 数据目录表位于可选头末尾，包含16个数据目录项，每个项描述一个重要数据结构的位置和大小。<\/p>

5.1 导出表<\/h3> 描述模块(.dll)中的导出函数，支持按名称和序号两种导出方式。<\/p>

5.3 重定位表<\/h3> 解决模块基址变化时的地址修正问题，包含需要重定位的位置信息。<\/p>

6. 节表与节操作<\/h2>

8. 参考<\/h2> 《逆向工程核心原理》<\/li> 滴水逆向教程<\/li> Microsoft PE\/COFF规范<\/li> <\/ul> 通过深入理解PE文件结构，可以更好地进行软件分析、漏洞挖掘和逆向工程工作。<\/p>

0. 概述<\/h2>
PE文件(Portable Executable File Format)是Windows下可执行程序的标准格式，包括.exe、.dll、.sys等文件。PE文件分为32位(PE32)和64位(PE32+)两种版本。<\/p>

3.1 DOS存根<\/h3>
DOS头后跟一段DOS程序，称为DOS存根，通常显示"This program cannot be run in DOS mode."然后退出。<\/p>

3.2 实验验证<\/h3>
只有e_magic和e_lfanew两个字段是必需的，其他字段可以置零而不影响程序运行。<\/p>

4. NT头详解<\/h2>
NT头由三部分组成：<\/p>

4.1 PE标识<\/h3>
固定为"PE\0\0"四个字节(0x50450000)。<\/p>

5. 数据目录表<\/h2>
数据目录表位于可选头末尾，包含16个数据目录项，每个项描述一个重要数据结构的位置和大小。<\/p>

5.1 导出表<\/h3>
描述模块(.dll)中的导出函数，支持按名称和序号两种导出方式。<\/p>

5.3 重定位表<\/h3>
解决模块基址变化时的地址修正问题，包含需要重定位的位置信息。<\/p>

8. 参考<\/h2>

《逆向工程核心原理》<\/li>
滴水逆向教程<\/li>
Microsoft PE\/COFF规范<\/li> <\/ul>
通过深入理解PE文件结构，可以更好地进行软件分析、漏洞挖掘和逆向工程工作。<\/p>