PE文件結構與函數導出表——詳解與實例
隨着windows系統從Xp升級到Win7、Win8, 從32位升級到64位,PE文件結構在整體未變的情況下發生了一些小的變動,一方面是推薦的程序裝載地址未採用,另一方面,導出函數序號不再是簡單的升序,而是一定程度上的進行了亂序。本文首先對PE文件結構進行了詳盡的解說,接着介紹瞭如何得出函數導出表,整個過程採用SysWoW64目錄下的wininet.dll實例進行說明。在介紹過程中,明確指出了Win7、Win8等新系統相對Xp帶來的區別。
文章鏈接:http://blog.csdn.net/typ2004/article/details/44227597
第一部分
1、DOS頭
DOS頭共64字節,最後一個雙字代表PE頭的文件地址。
2、PE頭
WinNT.h 中 PE 頭由三部分構成
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature; //PE ASCII
IMAGE_FILE_HEADER FileHeader; //標準頭
IMAGE_OPTIONAL_HEADER32 OptionalHeader; //可選頭
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
第一部分PE標識
是DOWRD大小的PE標識。
第二部分標準頭
是20個字節的PE標準頭。
具體結構爲
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections; //PE中節的數量
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader; //PE可選頭的長度
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
第三部分可選頭
第三部分是PE可選頭
其中 0x12ch 的DWORD長的 ImageBase(0x63000000)爲程序的建議裝載地址,在XP系統中可能會使用此地址,但在Win7、Win8等系統中,此地址廢棄。
其中 0x16ch 的DWORD長的NumberOfRvaAndSizes(0x00000010,通常爲此值)爲下面數據目錄結構的項目數量。
注:對於64位系統來說,文件中NumberOfRvaAndSizes的位置比32位的系統靠後16個字節(前面SizeOfStackReserver等4個值在64位系統中爲8字節,32位中爲4字節)。
之後的8*IMAGE_NUMBEROF_DIRECTORY_ENTRIES(8*16)大小的字段爲數據目錄字段,定義了導出表、導入表、資源表、異常表等各類地址和大小(共16項地址和大小對)。其中,可以看到0x170h處的地址0x3D44即是導出表的虛擬地址。
typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress; //地址
DWORD Size; //大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;
PE可選頭的具體結構爲
typedef struct _IMAGE_OPTIONAL_HEADER {
//
// Standard fields.
//
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;
//
// NT additional fields.
//
DWORD ImageBase;
DWORD SectionAlignment; //內存中對齊粒度
DWORD FileAlignment; //文件中對齊粒度
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
3、節表
PE頭後緊跟着節目錄表。
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
union {
DWORD PhysicalAddress;
DWORD VirtualSize;
} Misc;
DWORD VirtualAddress;
DWORD SizeOfRawData;
DWORD PointerToRawData;
DWORD PointerToRelocations;
DWORD PointerToLinenumbers;
WORD NumberOfRelocations;
WORD NumberOfLinenumbers;
DWORD Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
節點名:.text
虛擬大小:00180454
虛擬偏移:00001000
實際大小:00180600
實際偏移:00000400
文件特徵:60000020
節點名:.orpc
虛擬大小:0000009E
虛擬偏移:00182000
實際大小:00000200
實際偏移:00180A00
文件特徵:60000020
節點名:.wpp_sf
虛擬大小:00009E3F
虛擬偏移:00183000
實際大小:0000A000
實際偏移:00180C00
文件特徵:60000020
節點名:.data
虛擬大小:0000755C
虛擬偏移:0018D000
實際大小:00003E00
實際偏移:0018AC00
文件特徵:C0000040
節點名:.idata
虛擬大小:00002444
虛擬偏移:00195000
實際大小:00002600
實際偏移:0018EA00
文件特徵:40000040
節點名:.didat
虛擬大小:0000057C
虛擬偏移:00198000
實際大小:00000600
實際偏移:00191000
文件特徵:C0000040
節點名:.rsrc
虛擬大小:0002BE40
虛擬偏移:00199000
實際大小:0002C000
實際偏移:00191600
文件特徵:40000040
節點名:.reloc
虛擬大小:0000F8BC
虛擬偏移:001C5000
實際大小:0000FA00
實際偏移:001BD600
文件特徵:42000040
4、各節
節表之後便是各節,需要注意的是,從節表到第一個節直接用0填充,其他節之間同樣用0填充,各節只需要對齊到PE可選頭的文件對齊粒度即可(本例中爲0x0200)。
第二部分
函數導出表
1、導出目錄
從上面已經知道0x3D44即是導出表的虛擬地址,其大小爲0x255F。
依次查看各節的【虛擬偏移,虛擬大小),發現導出表位於.text 節中,.text節的 (虛擬偏移-實際偏移)=0x0C00,所以導出表的實際偏移爲 0x3D44-0x0C00=0x3144。
導出目錄的具體結構爲
typedef struct _IMAGE_EXPORT_DIRECTORY {
DWORD Characteristics;
DWORD TimeDateStamp;
WORD MajorVersion;
WORD MinorVersion;
DWORD Name; //指向該導出表的文件名字符串
DWORD Base;
DWORD NumberOfFunctions; //所有的導出函數數目
DWORD NumberOfNames; //以函數名導出的函數個數
DWORD AddressOfFunctions; // 導出函數地址表 RVA from base of image
DWORD AddressOfNames; // 導出名稱地址表 RVA from base of image
DWORD AddressOfNameOrdinals; // 導出序號地址表 RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
從此結構可以看出,導出函數數目爲0x0143,以函數名導出的函數個數爲0x0123,導出函數地址表的地址爲0x3d6c-0x0c00=0x316c,導出函數名稱地址表的地址爲0x4278-0x0c00=0x3678,導出序號表地址爲0x4704-0x0c00=0x3b04。
2、導出函數地址表
由地址0x316c開始遍歷,0x0FC6A0, 0x154D40, 0x154E30, 0x11C180, 0x11C600, 0x0FEF30, 0x081290等等,即爲地址列表。
3、導出函數名稱地址表
由地址0x3678開始遍歷,得到0x4956, 0x496c, 0x4980等等虛擬偏移,對應的實際偏移爲0x3d56, 0x3d6c, 0x3d80等等,查找這些位置的名稱字符串如下。
4、導出序號地址表
導出序號 AddressOfNameOrdinals 指向的也是到處序號列表地址,其中的每個序號,與導出函數名稱一一對應,代表了這個函數名稱對應的函數在導出函數列表裏序號。
本例中地址爲0x3b04的導出序數表的第一項爲0x0006,代表AppCacheCheckManifest 對應函數地址的下標爲6(從0開始),即地址0x081290。
需要注意的是,這個下標只有在>=0時纔有效,並且,當函數名對應的有效函數地址數目(下表>=0)達到 NumberOfNames的時候,之後的有效函數就是無名稱函數。
5、導出函數在內存中的地址
如果在Xp系統中,導出函數AppCacheCheckManifest 在內存的地址只需加上推薦的程序裝在地址 ImageBase(1.2PE頭的可選頭裏的字段)即可。
但是在Win7、Win8等系統中,導出函數在內存中的地址應加上 真正的程序裝載地址。這個地址可以用 (DWORD) LoadLibrary(DllFilePath)求得。
至此完成~~