标签:情况下 rom date 输入 有一个 col inf 标识 内存映射文件
可执行文件的格式是操作系统本身执行机制的反映,理解它有助于对操作系统的深刻理解,掌握可执行文件的数据结构及其一些机理,是研究软件安全的必修课。`PE(Portable Executable File Format)`是目前 windows 平台上的主流可执行文件格式。PE 文件衍生于早期的 COFF 文件格式,描述 PE 格式及 COFF 文件的主要地方在 winnt.h 这个头文件,其中有一节叫 Image Format,如下:
该节给出了 DOS MZ 格式和 windows 3.1 的 NE 格式文件头,之后就是 PE 文件的内容,在这个头文件中,几乎能找到关于 PE 文件的每一个数据结构的定义、枚举类型、常量定义。winnt.h 这个头文件是 PE 文件定义的最终决定者。DLL 和 EXE 文件之间的区别完全是语义上的,它们使用完全相同的 PE 格式。唯一的区别就是用一个字段标识出这个文件是 EXE 还是 DLL。同时也包括其它的 DLL 扩展,比如 OCX 控件和控制面板程序(CPL 文件)。另外,64 位 windows 只是对 PE 格式做了一些简单的修饰,新格式叫 PE32+,没有新的结构加进去,其余的改变只是简单地将以前的 32 位字段扩展成64位,比如 `IMAGE_NT_HEADERS`,如下:
结构的选择依赖于用户正在编译的模式(尤其是 `_WIN64` 是否被定义),在具体学习 PE 之前,先大概清楚下 PE 格式布局是怎样子的,如下:
PE 文件使用的是一个平面地址空间,所有代码和数据都被合并在一起,组成一个很大的结构,文件的内容被分割为不同的区块,区块包含代码和数据,各个区块按页边界来对齐,区块没有大小限制,是一个连续结构,每个块都有它自己在内存中的一套属性。PE 文件是由 PE 加载器加载到内存中的,这个 PE 加载器也就是 windows 加载器,它并不是将 PE 文件作为单一内存映射文件装入到内存中,而是去遍历 PE 文件,决定将哪一部分进行映射,这种映射方式是将文件较高的偏移位置映射到较高的内存地址,当磁盘文件装入到内存中,其数据结构布局是一致的,但是数据之间的相对位置可能会改变,如下:
下面需要理清两个概念,那就是 **模块** 和 **基地址**,当 PE 文件通过 windows 加载器加载到内存后,内存中的版本被称为模块(Module),映射文件的起始地址被称为模块句柄(hModule),可以通过模块句柄来访问在内存中其它的数据结构,这个初始地址也被称为基地址(ImageBase)。在 32 位 windows 系统中可以直接调用 `GetModuleHandle` 以取得指向 DLL 的指针,通过指针访问该 DLL Module 的内容,函数原型为:`HMODULE WINAPI GetModuleHandle(LPCTSTR lpModuleName)`
功能:获取一个应用程序或动态链接库的模块句柄。
参数:传递一个可执行文件或 DLL 文件名字符串
返回值:若执行成功,则返回模块的句柄,也就是加载的基地址,若返回零,则表示失败。如果传递参数为 NULL,则返回调用的可执行文件的基地址。
注意事项:只有在当前进程中,这个句柄才会有效,也就是说已映射到调用该函数的进程内,才会正确得到模块句柄。
1 #include <windows.h> 2 #include <iostream> 3 4 int main() 5 6 { 8 HMODULE hModule = GetModuleHandle(NULL); 9 10 std::cout << hModule << std::endl; 11 12 return 0; 14 }
PE文件加载的基地址(ImageBase):EXE 默认基地址为 `0x00400000H`,DLL 默认基地址为 `0x10000000H`,这个值可以在链接应用时使用链接程序的 `/BASE` 选项设定,或者通过 REBASE 应用程序进行设置。说完基地址,再来说下相对虚拟地址,由于 PE 文件中里的东西可以载入到空间的任何位置,所以不能依赖于 PE 的载入点,必须有一个方法来指定地址而不依赖于 PE 载入点的地址,所以出现相对虚拟地址(RVA)概念,RVA 只是内存中的一个简单的相对于 PE 文件装入地址的偏移位置,例如,假设一个 EXE 文件从地址 `0x400000H` 处装入,并且它的代码区块开始于 `0x401000H`,代码区块的 RVA 就是:`0x401000H - 0x400000H = 0x1000H`,在这里,`0x401000H` 是实际的内存地址,这个地址被称为虚拟内存地址(VA),另外也可以把虚拟地址想象为加上首选装入地址的RVA。
当PE文件储存在磁盘上,某个数据的位置相对于文件头的偏移量,称为文件偏移地址或物理地址。文件偏移地址从PE文件的第一个字节开始计数,起始值为0,用十六进制文本编辑器打开文件,里头显示的就是文件偏移地址。
在这个结构体中,有两个字段非常重要,分别是第一个和最后一个,其它的不重要,其中第一个 e_magic 字段需要被设置为 0x5A4DH。它也被称为魔术数字。
这个值有个宏定义,名为 `IMAGE_DOS_SIGNATURE`,它的 ASCII 值为 MZ,是 MS-DOS 的最初创建者之一 `Mark Zbikowski` 字母的缩写。
e_lfanew 字段是真正PE文件头的相对偏移(RVA),那么,这个字段在哪呢?
上图已经说明了,为了验证是否正确,如下:
在 3CH 偏移处,显示 0x00000110H(由于 Intel CPU 属于 Little-Endian 类,字符存储时低位在前,高位在后,反序排列,将顺序恢复后便是 0x00000110H),这个是 e_lfanew 字段所存储的值,它占4 个字节。后面就是 PE 头了。
在一个有效的 PE 文件里,Signature 字段被设置为 0x00004550H,ASCII 码字符是 PE00
宏定义为 `IMAGE_NT_SIGNATURE`
那么这两个重要的字段(e_lfanew 和 Signature)有什么用呢?这个在以后解析PE文件,判断一个文件是否是一个 PE 文件时提供重要依据,即判断这两个字段的值是否为 0x5A4DH 和 0x00004550H,你也可以用它们的宏定义,分别为 `IMAGE_DOS_SIGNATURE` 和 `IMAGE_NT_SIGNATURE`,如果相等,则为一个 PE 文件,如果不相等,则不是一个 PE 文件。
1 #include <windows.h> 2 #include <iostream> 3 4 int main() 5 { 6 // 1.首先须打开一个文件 7 HANDLE hFile = CreateFile( 8 TEXT("test.png"), 9 GENERIC_ALL, 10 NULL, 11 NULL, 12 OPEN_EXISTING, 13 NULL, 14 NULL 15 ); 16 // 2.判断文件句柄是否有效,若无效则提示打开文件失败并退出 17 if (hFile == INVALID_HANDLE_VALUE) 18 { 19 std::cout << "打开文件失败!" << std::endl; 20 CloseHandle(hFile); 21 exit(EXIT_SUCCESS); 22 } 23 // 3.若打开文件成功,则获取文件的大小 24 DWORD dwFileSize = GetFileSize(hFile, NULL); 25 // 4.申请内存空间,用于存放文件数据 26 BYTE * FileBuffer = new BYTE[dwFileSize]; 27 // 5.读取文件内容 28 DWORD dwReadFile = 0; 29 ReadFile(hFile, FileBuffer, dwFileSize, &dwReadFile, NULL); 30 // 6.判断这个文件是不是一个有效的PE文件 31 // 6.1 先检查DOS头中的MZ标记,判断e_magic字段是否为0x5A4D,或者是IMAGE_DOS_SIGNATURE 32 DWORD dwFileAddr = (DWORD)FileBuffer; 33 auto DosHeader = (PIMAGE_DOS_HEADER)dwFileAddr; 34 if (DosHeader->e_magic != IMAGE_DOS_SIGNATURE) 35 { 36 // 如果不是则提示用户,并立即结束 37 MessageBox(NULL, TEXT("这不是一个有效PE文件"), TEXT("提示"), MB_OK); 38 delete FileBuffer; 39 CloseHandle(hFile); 40 exit(EXIT_SUCCESS); 41 } 42 // 6.2 若都通过的话再获取NT头所在的位置,并判断e_lfanew字段是否为0x00004550,或者是IMAGE_NT_SIGNATURE 43 auto NtHeader = (PIMAGE_NT_HEADERS)(dwFileAddr + DosHeader->e_lfanew); 44 if (NtHeader->Signature != IMAGE_NT_SIGNATURE) 45 { 46 // 如果不是则提示用户,并立即结束 47 MessageBox(NULL, TEXT("这不是一个有效PE文件"), TEXT("提示"), MB_OK); 48 delete FileBuffer; 49 CloseHandle(hFile); 50 exit(EXIT_SUCCESS); 51 } 52 // 7.若上述都通过,则为一个有效的PE文件 53 MessageBox(NULL, TEXT("这是一个有效PE文件"), TEXT("提示"), MB_OK); 54 delete FileBuffer; 55 CloseHandle(hFile); 56 // 8.结束程序 57 return 0; 58 }
以上代码就是简单实现判断一个文件是不是有效的 PE 文件。在上述代码中,运用了 CreateFile()、GetFileSize()、ReadFile() 来获取文件内容,得到文件的基址 dwFileAddr,只需将该变量转换成 `PIMAGE_DOS_HEADER` 类型,那么就能获取到NT头的开始位置,NT头的位置可同 (PIMAGE_NT_HEADERS)((PIMAGE_DOS_HEADER)dwFileAddr->e_lfanew + dwFileAddr) 获取,有了这个,后面的工作就变得简单多了。
该结构体描述的是文件的一般性质,有 7 个字段,共占 20 个字节,20 相当于十六进制的 14H,下图已标出实际位置,如下:
由上图可以看出,该文件创建时间为 2018-12-05 / 11:41:09。
1 // 获取文件头 2 auto FileHeader = NtHeader->FileHeader; 3 // 接下来就是解析各字段 4 std::cout << "运行平台:0x" << std::hex << FileHeader.Machine << std::endl; 5 std::cout << "区块数目:0x" << std::hex << FileHeader.NumberOfSections << std::endl; 6 std::cout << "文件创建日期和时间:0x" << std::hex << FileHeader.TimeDateStamp << std::endl; 7 std::cout << "IMAGE_OPTIONAL_HEADER32结构大小:0x" << std::hex << FileHeader.SizeOfOptionalHeader << std::endl; 8 std::cout << "文件属性:0x" << std::hex << FileHeader.Characteristics << std::endl;
将上述代码插入到 return 0; 之前,运行如下:
再将上面文件创建日期和时间进行转换,代码如下:
1 // 获取文件头 2 auto FileHeader = NtHeader->FileHeader; 3 // 进行时间转换 4 tm * FileCreateTime = gmtime((time_t*)&FileHeader.TimeDateStamp); 5 // 接下来就是解析各字段 6 std::cout << "运行平台:0x" << std::hex << FileHeader.Machine << std::endl; 7 std::cout << "区块数目:0x" << std::hex << FileHeader.NumberOfSections << std::endl; 8 std::cout << "文件创建日期和时间:" << std::dec << FileCreateTime->tm_year + 1900 << "-" 9 << FileCreateTime->tm_mon + 1<< "-" 10 << FileCreateTime->tm_mday << " " 11 << FileCreateTime->tm_hour + 8 << ":" 12 << FileCreateTime->tm_min << ":" 13 << FileCreateTime->tm_sec << std::endl; 14 std::cout << "IMAGE_OPTIONAL_HEADER32结构大小:0x" << std::hex << FileHeader.SizeOfOptionalHeader << std::endl;
上面是用到了tm的结构,以及 gmtime 这个函数进行转换,在用之前需要包含头文件 time.h,运行如下:
不过还是要注意下,首先 tm_year 这个值为十六进制,需转成十进制,而且要加上 1900,因为时间是从 1900 开始算,它的值为偏移,其次月是从 0 开始算的,所以要加 1,最后是时区问题,因为我这里位于东八区,所以小时需加上 8。另外关于调试的那两个字段,没有必要去对它深究,因为微软的VS已用了新的 Debug 格式,这个只是用来设置 COFF 符号,跟 COFF 符号有关,一般这个值都为 0,所以不探讨它。关于运行平台代码和文件属性代码可以去网上查表就行,这里就省略。
上图展示的是 `IMAGE_OPTIONAL_HEADER32` 结构体各字段,这个结构体相对来说就比较大,我已经分析好了,这个是 32 位的,64 位的大体结构没变,只是有几个字段改成的 ULONGLONG 类型,那么它在实际内部是怎么样的呢?下面这张图是验证上面图片所叙述的。
上图所标记的,为 `IMAGE_OPTIONAL_HEADER32` 结构所有成员,你也注意到了,在结尾处,有 .text,说明已经到了该结构体的末尾了,算了一下,恰好占了 224 个字节,这个值其实在 `IMAGE_FILE_HEADER` 中倒数第二个字段已经指出了,值为 0xE0,这个值相当于十进制中的 224。为了更好的说明,我用序号标记了各个字段,其中有一些为透明,一是没地方标,二是能看清实际数值大小,这样便于分析。
以下是各字段解析:
同样,将上述代码放置最后,对扩展头进行解析,因字段太多,没一一列举,运行后如下:
对于该结构的最后一个字段,它是一个数组,这个数组有 16 个成员,代表的是目录表中的项,遍历它也不是很难,代码如下:
运行后如下:
将上述与 LoadPE 对照,看下是否正确,如下:
从上面可以看出,已经成功遍历出目录表中每项的 RVA 和大小。
(本小节完)
标签:情况下 rom date 输入 有一个 col inf 标识 内存映射文件
原文地址:https://www.cnblogs.com/importthis/p/10192440.html