pe文件格式内容详细.pptVIP

OriginalFirstThunk FirstThunk都指向谁？ IMAGE_IMPORT_BY_NAME typedef struct _IMAGE_IMPORT_BY_NAME{ WORD Hint;// 函数输出序号 BYTE Name1[1];//输出函数名称 } IMAGE_IMPORT_BY_NAME,*PIMAGE_IMPORT_BY_NAME 序号 函数名 44 GetMessage OriginalFirstThunk FirstThunk都指向谁？ 44 GetMessage 装载器首先读入IMAGE_IMPORT_DESCRIPTOR，获得需要加载的动态库User32.DLL。 在DOS环境下有四种基本的可执行文件格式 批处理文件，以.BAT结尾的文件 设备驱动文件，是以.SYS结尾的文件，如CONFIG.SYS COM文件，是以.COM结尾的纯代码文件 没有文件头部分，缺省情况下总是从0x100H处开始执行，没有重定位项，所有代码和数据必须控制在64K以内 EXE文件，是以.EXE结尾的文件 文件以英文字母“MZ”开头，通常称之为MZ MZ文件有一个文件头，用来指出每个段的定义，以及重定位表。.EXE文件摆脱了代码大小最多不能超过64K的限制，是DOS下最主要的文件格式 在Windows 3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE 在Win32位平台可执行文件格式：可移植的可执行文件(Portable Executable File)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头 EXE文件的格式 安装在硬盘上的程序没运行-静态 加载到内存-动态 MZ文件格式-Mark Zbikowski .EXE文件由三部分构成：文件头、重定位表和二进制代码 允许代码、数据、堆栈分别处于不同的段，每一段都可以是64KB. EXE文件的格式 偏移 大小(字节) 描述 00 2 EXE文件类型标记： 4D5Ah(ASCII字符MZ) 02 2 文件最后一个扇区的字节数 04 2 文件的总扇区(页)数 文件的大小=(总扇区数-1)×512+最后一个扇区的字节数 06 2 重定位项的个数 08 2 EXE文件头的大小(16字节的倍数) 0A 2 最小分配数(16字节的倍数) 0C 2 最大分配数(16字节的倍数) 0E 2 初始化堆栈段(SS初值) 10 2 初始化堆栈指针(SP初值) 12 2 补码校验和 14 2 初始代码段指针(IP初值) 16 2 初始代码段段地址(CS初值) 18 2 定位表的偏移地址(第一个重定位项的偏移量) 1A 2 连接程序产生的覆盖号 确定MZ文件的大小 以大小为512B的页为存储单位 确定代码的开始处 执行代码的入口地址 重定位表的指针链表 比如调用C的库函数 加载EXE文件 调用C的库函数 程序编译后： 0000:0000 9 call far 1234:5678 程序加载器的重定位工作，就是将程序中需要重定位的地方，都加上程序的加载地址。 这个程序被加载到了内存中的1111段处。那么完成重定位后，代码应该是这样： 1111:0000 9 call far 2345:5678 NE文件格式 NE是New Excutable的缩写，是16位Windows可执行文件的标准格式，这种格式基本上没用了 NE在MZ文件头之后添加了一个以“NE”开始的文件头 EXE文件的格式 PE文件格式 Win32可执行文件，如*.EXE、*.DLL、*.OCX等，都是PE格式 PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式 由于大量的EXE文件被执行，且传播的可能性最大，因此，Win32病毒感染文件时，基本上都会将EXE文件作为目标 EXE文件的格式 计算机病毒也是程序或者程序代码， 而且也是可执行的，否则无法感染、 破坏、隐藏等，其病毒文件也是遵循 PE的格式结构。 PE文件格式 一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下： ①用户点击或系统自动运行HOST程序； ②装载HOST程序到内存； ③通过PE文件中的AddressOfEntryPoint+ImageBase，定位第一条语句的位置(程序入口)； ④从第一条语句开始执行(这时执行的其实是病毒代码)； ⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； ⑥HOST程序继续执行。 问题在于：计算机病毒怎会