lPE文件格式分析及修改.docVIP

PE文件格式分析及修改 /jiamijiemi/gongjujiqiao/2008-11-04/shtml PE 的意思是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”（可移植的执行体）意味着此文件格式是跨Win32平台的；即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。 PE文件在文件系统中，与存贮在磁盘上的其它文件一样，都是二进制数据，对于操作系统来讲，可以认为是特定信息的一个载体，如果要让计算机系统执行某程序，则程序文件的载体必须符合某种特定的格式。要分析特定信息载体的格式，要求分析人员有数据分析、编码分析的能力。在Win32系统中，PE文件可以认为.exe、.dll、.sys 、.scr类型的文件，这些文件在磁盘上存贮的格式都是有一定规律的。 一、PE格式基础 下表列出了PE的总体结构 DOS MZ headerDOS stubPE headerSection tableSection 1Section 2…Section n 一个完整的PE文件，前五项是必定要有的，如果缺少或者数据出错，系统会拒绝执行该文件如下图 ? 图1 文件头格式错误 ? 图2 格式数据错误 ? 图3 代码错误 DOS MZ header部分是DOS时代遗留的产物，是PE文件的一个遗传基因，一个Win32程序如果在DOS下也是可以执行，只是提示：“This program cannot be run in DOS mode.”然后就结束执行，提示执行者，这个程序要在Win32系统下执行。 DOS stub 部分是DOS插桩代码，是DOS下的16位程序代码，只是为了显示上面的提示数据。这段代码是编译器在程序编译过程中自动添加的。 PE header 是真正的Win32程序的格式头部，其中包括了PE格式的各种信息，指导系统如何装载和执行此程序代码。Section table部分是PE代码和数据的结构数据，指示装载系统代码段在哪里，数据段在哪里等。对于不同的PE文件，设计者可能要求该文件包括不同的数据的Section。所以有一个Section Table 作为索引。Section多少可以根据实际情况而不同。但至少要有一个Section。如果一个程序连代码都没有，那么他也不能称为可执行代码。在Section Table后，Section数目的多少是不定的。 二、程序的装入 当我们在explorer.exe（资源管理器）中双击某文件，执行一个可执行程序，系统会根据文件扩展名启动一个程序装载器，称之为Loader。Loader会首先检查DOS MZ Header，如果存在，就继续寻找PE header，如果这两项都不存在，就认为是DOS 16位代码，如果只存在DOS MZ Header，而其中又指示了而其中又指示了PE Header 的位置，那么Loader 就判定此文件不一个有效的PE文件，拒绝执行。 如果DOS Header 和PE Header都正常有效，那么Loader就会根据PE Header 及Section Table的指示，将相应的代码和数据映射到内存中，然后根据不同的Section进行数据的初始化，最后开始执行程序段代码。 三、PE格式高级分析 下面我们以一个真实的程序为例详细分析PE格式，分析PE格式最好有PE分析器，常用的软件是Lord PE，也有其它的分析工具和软件如PE Editor 、Stud PE等。 先分析一下磁盘文件的内容，这里我们使用UltraEdit32（UE）工具，这是一个实用的文件编辑器，可以编辑文本和二进制文件。 ? 图4 PE文件开始的磁盘数据 在文件的一开始有两位16进制数据4D 5A，其对应的ASCII字符是MZ，这个标志就是DOS MZ Header 的标志。下面是通过Load PE列出 的DOS MZ Header 1. DOS Header 数据结构名称 值 e_magic: 0x5A4D-‘MZ’ e_cblp: 0x0090 e_cp: 0x0003 e_crlc: 0x0000 e_cparhdr: 0x0004 e_minalloc: 0x0000 e_maxalloc: 0xFFFF e_ss: 0x0000 e_sp: 0x00B8 e_csum: 0x0000 e_ip: 0x0000 e_cs: 0x0000 e_lfarlc: 0x004