PE解析.精简清晰.详细备注+结构说明.

Mr.Yang

起因是想研究一下ASLR.找了一圈发现易并没有这相关的资料,就开始研究PE头.


论坛上的PE类源码并没有多少 很多还是调用各种模块或声明一堆自定义数据类型.不管用得着还是用不着的 都一起塞进去.


这样的方式太臃肿 扣源码太麻烦.感觉除了做PE分析器以外.其实很多东西都是用不着的 大多数情况下 只需要取出特定的值.


所以写了一个简单的例子并付上详细备注+结构说明.大家要使用的时候 调整一下直接取出所需的内容就行了.

  

子程序名	返回值类型	公开	备 注
PE解析	整数型
参数名	类 型	参考	可空	数组	备 注
BIN	字节集

变量名	类 型	静态	数组	备 注
DOS	字节集
e_magic	短整数型
e_lfanew	整数型
Signature	整数型
FileHeader	字节集
OptionalHeader	字节集
NumberOfSections	短整数型
ImageBase	整数型
SectionTable	字节集
i	整数型

如果真 (取字节集长度 (BIN) ＜ 1024) ' 完整PE头=DOS头(64)+NT头[PE魔数(4)+文件头(20)+可选头(224)]+节表(节头*40)
返回 (0) ' 错误文件
' //
' DOS头结构
' e_magic（2 字节）：
' 固定为 "MZ"，值为 0x5A4D，是 PE 文件的标识符，标记该文件为 DOS 可执行文件。
' e_cblp（2 字节）：
' 表示文件的最后页面的字节数。对于大部分 PE 文件，通常设置为 512（0x200），这意味着文件的最后一页的大小为 512 字节。
' e_cp（2 字节）：
' 页数。表示文件的页面总数，每页通常是 512 字节。
' e_crlc（2 字节）：
' 重定位项的数量。用于 DOS 可执行文件的重定位，通常为 0。
' e_cparhdr（2 字节）：
' 程序头的大小。在 DOS 可执行文件中，程序头通常占用 16 字节（0x10）。
' e_minalloc（2 字节）：
' 程序运行时最小内存分配。表示 DOS 程序所需的最小内存。
' e_maxalloc（2 字节）：
' 程序运行时最大内存分配。表示 DOS 程序所需的最大内存。
' e_ss（2 字节）：
' 程序的堆栈段地址。
' e_sp（2 字节）：
' 程序的堆栈指针地址。
' e_csum（2 字节）：
' 程序的校验和。用于确保文件未损坏，通常为 0。
' e_ip（2 字节）：
' 程序的初始指令指针。
' e_cs（2 字节）：
' 程序的初始代码段。
' e_lfarlc（2 字节）：
' 重定位表的偏移量。指示该表在文件中的位置。
' e_ovno（2 字节）：
' 保留字段，通常为 0。
' e_res（8 字节）：
' 保留字段，通常为 0。
' e_oemid（2 字节）：
' OEM 标识符，通常为 0。
' e_oeminfo（2 字节）：
' OEM 信息，通常为 0。
' e_res2（20 字节）：
' 保留字段，通常为 0。
' e_lfanew（4 字节）：
' 该字段存储 PE 头的偏移地址（即 PE 头的位置）。PE 头紧跟在 DOS 头之后。
DOS ＝ 取字节集中间 (BIN, 1, 64)
e_magic ＝ 取字节集数据 (DOS, #短整数型, 1)
e_lfanew ＝ 取字节集数据 (DOS, #整数型, 61)
如果真 (e_magic ≠ 23117 或 e_lfanew ≤ 0) ' 非EXE文件
返回 (0)
' //
' NT头
Signature ＝ 取字节集数据 (BIN, #整数型, e_lfanew ＋ 1) ' PE魔数=4
FileHeader ＝ 取字节集中间 (BIN, e_lfanew ＋ 5, 20) ' 文件头=20
OptionalHeader ＝ 取字节集中间 (BIN, e_lfanew ＋ 25, 224) ' 可选头(32位)=224 可选头(64位)=240
如果真 (Signature ≠ 17744 或 取字节集长度 (FileHeader) ≠ 20 或 取字节集长度 (OptionalHeader) ≠ 224) ' 17744=PE头起始标识
返回 (0)
' //
' 文件头结构
' Machine：2 字节，指示目标机器架构。
' NumberOfSections：2 字节，节的数量。
' TimeDateStamp：4 字节，文件的时间戳。
' PointerToSymbolTable：4 字节，符号表的指针（通常为 0）。
' NumberOfSymbols：4 字节，符号的数量（通常为 0）。
' SizeOfOptionalHeader：2 字节，可选头的大小。
' Characteristics：2 字节，文件的特性。
NumberOfSections ＝ 取字节集数据 (FileHeader, #短整数型, 3)
' //
' 可选头结构(32位)
' Magic 短整数型 2 字节 魔数，固定值为 0x10B（对于 32 位）或 0x20B（对于 64 位）。
' MajorLinkerVersion 字节型 1 字节 链接器主版本号。
' MinorLinkerVersion 字节型 1 字节 链接器次版本号。
' SizeOfCode 整数型 4 字节 代码段的大小（字节数）。
' SizeOfInitializedData 整数型 4 字节 初始化数据段的大小（字节数）。
' SizeOfUninitializedData 整数型 4 字节 未初始化数据段的大小（字节数）。
' AddressOfEntryPoint 整数型 4 字节 入口点地址，程序开始执行的地址。
' BaseOfCode 整数型 4 字节 代码段的基地址。
' BaseOfData 整数型 4 字节 数据段的基地址。
' ImageBase 整数型 4 字节 映像基地址，指定程序加载到内存的起始地址。
' SectionAlignment 整数型 4 字节 节对齐大小。
' FileAlignment 整数型 4 字节 文件对齐大小，文件的字节对齐要求。
' MajorOperatingSystemVersion 短整数型 2 字节 操作系统主版本号。
' MinorOperatingSystemVersion 短整数型 2 字节 操作系统次版本号。
' MajorImageVersion 短整数型 2 字节 映像的主版本号。
' MinorImageVersion 短整数型 2 字节 映像的次版本号。
' MajorSubsystemVersion 短整数型 2 字节 子系统主版本号。
' MinorSubsystemVersion 短整数型 2 字节 子系统次版本号。
' Win32VersionValue 整数型 4 字节 保留字段，通常为 0。
' SizeOfImage 整数型 4 字节 映像的大小，表示程序加载到内存后的总大小。
' SizeOfHeaders 整数型 4 字节 头部的总大小，通常是 DOS 头、PE 头和节表的总大小。
' CheckSum 整数型 4 字节 校验和，文件校验和，通常为 0。
' Subsystem 短整数型 2 字节 子系统类型（如控制台程序、图形界面程序等）。
' DllCharacteristics 短整数型 2 字节 动态链接库的特性，标识是否是 DLL 文件。
' SizeOfStackReserve 整数型 4 字节 堆栈的保留大小。
' SizeOfStackCommit 整数型 4 字节 堆栈的提交大小。
' SizeOfHeapReserve 整数型 4 字节 堆的保留大小。
' SizeOfHeapCommit 整数型 4 字节 堆的提交大小。
' LoaderFlags 整数型 4 字节 加载器标志，通常为 0。
' NumberOfRvaAndSizes 整数型 4 字节 数据目录的数量，表示 PE 文件中数据目录的数量。
' DataDirectory 数组 8 字节 * 16 数据目录，包含数据目录的地址和大小（16 个数据目录）。
ImageBase ＝ 取字节集数据 (OptionalHeader, #整数型, 29)
' //
' 节表
SectionTable ＝ 取字节集中间 (BIN, e_lfanew ＋ 249, NumberOfSections × 40) ' 节头=40
变量循环首 (0, NumberOfSections － 1, 1, i)
' 节表结构
' 节名（8 字节）：节的名称，通常是 ASCII 字符。
' 虚拟地址（4 字节）：节在内存中的虚拟地址。
' 文件偏移（4 字节）：节在文件中的偏移位置。
' 节大小（4 字节）：节的大小。
' 特性（4 字节）：描述节的属性，如是否可执行、是否可读、是否可写等。
到文本 (取字节集中间 (SectionTable, 1 ＋ i × 40, 8)) ' 节名
变量循环尾 ()
返回 (ImageBase)

.版本 2<br /> <br /> .子程序 PE解析, 整数型<br /> .参数 BIN, 字节集<br /> .局部变量 DOS, 字节集<br /> .局部变量 e_magic, 短整数型<br /> .局部变量 e_lfanew, 整数型<br /> .局部变量 Signature, 整数型<br /> .局部变量 FileHeader, 字节集<br /> .局部变量 OptionalHeader, 字节集<br /> .局部变量 NumberOfSections, 短整数型<br /> .局部变量 ImageBase, 整数型<br /> .局部变量 SectionTable, 字节集<br /> .局部变量 i, 整数型<br /> <br /> .如果真 (取字节集长度 (BIN) ＜ 1024) ' 完整PE头=DOS头(64)+NT头[PE魔数(4)+文件头(20)+可选头(224)]+节表(节头*40)<br /> 返回 (0) ' 错误文件<br /> .如果真结束<br /> ' //<br /> ' DOS头结构<br /> ' e_magic（2 字节）：<br /> ' 固定为 "MZ"，值为 0x5A4D，是 PE 文件的标识符，标记该文件为 DOS 可执行文件。<br /> ' e_cblp（2 字节）：<br /> ' 表示文件的最后页面的字节数。对于大部分 PE 文件，通常设置为 512（0x200），这意味着文件的最后一页的大小为 512 字节。<br /> ' e_cp（2 字节）：<br /> ' 页数。表示文件的页面总数，每页通常是 512 字节。<br /> ' e_crlc（2 字节）：<br /> ' 重定位项的数量。用于 DOS 可执行文件的重定位，通常为 0。<br /> ' e_cparhdr（2 字节）：<br /> ' 程序头的大小。在 DOS 可执行文件中，程序头通常占用 16 字节（0x10）。<br /> ' e_minalloc（2 字节）：<br /> ' 程序运行时最小内存分配。表示 DOS 程序所需的最小内存。<br /> ' e_maxalloc（2 字节）：<br /> ' 程序运行时最大内存分配。表示 DOS 程序所需的最大内存。<br /> ' e_ss（2 字节）：<br /> ' 程序的堆栈段地址。<br /> ' e_sp（2 字节）：<br /> ' 程序的堆栈指针地址。<br /> ' e_csum（2 字节）：<br /> ' 程序的校验和。用于确保文件未损坏，通常为 0。<br /> ' e_ip（2 字节）：<br /> ' 程序的初始指令指针。<br /> ' e_cs（2 字节）：<br /> ' 程序的初始代码段。<br /> ' e_lfarlc（2 字节）：<br /> ' 重定位表的偏移量。指示该表在文件中的位置。<br /> ' e_ovno（2 字节）：<br /> ' 保留字段，通常为 0。<br /> ' e_res（8 字节）：<br /> ' 保留字段，通常为 0。<br /> ' e_oemid（2 字节）：<br /> ' OEM 标识符，通常为 0。<br /> ' e_oeminfo（2 字节）：<br /> ' OEM 信息，通常为 0。<br /> ' e_res2（20 字节）：<br /> ' 保留字段，通常为 0。<br /> ' e_lfanew（4 字节）：<br /> ' 该字段存储 PE 头的偏移地址（即 PE 头的位置）。PE 头紧跟在 DOS 头之后。<br /> DOS ＝ 取字节集中间 (BIN, 1, 64)<br /> e_magic ＝ 取字节集数据 (DOS, #短整数型, 1)<br /> e_lfanew ＝ 取字节集数据 (DOS, #整数型, 61)<br /> .如果真 (e_magic ≠ 23117 或 e_lfanew ≤ 0) ' 非EXE文件<br /> 返回 (0)<br /> .如果真结束<br /> ' //<br /> ' NT头<br /> Signature ＝ 取字节集数据 (BIN, #整数型, e_lfanew ＋ 1) ' PE魔数=4<br /> FileHeader ＝ 取字节集中间 (BIN, e_lfanew ＋ 5, 20) ' 文件头=20<br /> OptionalHeader ＝ 取字节集中间 (BIN, e_lfanew ＋ 25, 224) ' 可选头(32位)=224 可选头(64位)=240<br /> .如果真 (Signature ≠ 17744 或 取字节集长度 (FileHeader) ≠ 20 或 取字节集长度 (OptionalHeader) ≠ 224) ' 17744=PE头起始标识<br /> 返回 (0)<br /> .如果真结束<br /> ' //<br /> ' 文件头结构<br /> ' Machine：2 字节，指示目标机器架构。<br /> ' NumberOfSections：2 字节，节的数量。<br /> ' TimeDateStamp：4 字节，文件的时间戳。<br /> ' PointerToSymbolTable：4 字节，符号表的指针（通常为 0）。<br /> ' NumberOfSymbols：4 字节，符号的数量（通常为 0）。<br /> ' SizeOfOptionalHeader：2 字节，可选头的大小。<br /> ' Characteristics：2 字节，文件的特性。<br /> NumberOfSections ＝ 取字节集数据 (FileHeader, #短整数型, 3)<br /> ' //<br /> ' 可选头结构(32位)<br /> ' Magic 短整数型 2 字节 魔数，固定值为 0x10B（对于 32 位）或 0x20B（对于 64 位）。<br /> ' MajorLinkerVersion 字节型 1 字节 链接器主版本号。<br /> ' MinorLinkerVersion 字节型 1 字节 链接器次版本号。<br /> ' SizeOfCode 整数型 4 字节 代码段的大小（字节数）。<br /> ' SizeOfInitializedData 整数型 4 字节 初始化数据段的大小（字节数）。<br /> ' SizeOfUninitializedData 整数型 4 字节 未初始化数据段的大小（字节数）。<br /> ' AddressOfEntryPoint 整数型 4 字节 入口点地址，程序开始执行的地址。<br /> ' BaseOfCode 整数型 4 字节 代码段的基地址。<br /> ' BaseOfData 整数型 4 字节 数据段的基地址。<br /> ' ImageBase 整数型 4 字节 映像基地址，指定程序加载到内存的起始地址。<br /> ' SectionAlignment 整数型 4 字节 节对齐大小。<br /> ' FileAlignment 整数型 4 字节 文件对齐大小，文件的字节对齐要求。<br /> ' MajorOperatingSystemVersion 短整数型 2 字节 操作系统主版本号。<br /> ' MinorOperatingSystemVersion 短整数型 2 字节 操作系统次版本号。<br /> ' MajorImageVersion 短整数型 2 字节 映像的主版本号。<br /> ' MinorImageVersion 短整数型 2 字节 映像的次版本号。<br /> ' MajorSubsystemVersion 短整数型 2 字节 子系统主版本号。<br /> ' MinorSubsystemVersion 短整数型 2 字节 子系统次版本号。<br /> ' Win32VersionValue 整数型 4 字节 保留字段，通常为 0。<br /> ' SizeOfImage 整数型 4 字节 映像的大小，表示程序加载到内存后的总大小。<br /> ' SizeOfHeaders 整数型 4 字节 头部的总大小，通常是 DOS 头、PE 头和节表的总大小。<br /> ' CheckSum 整数型 4 字节 校验和，文件校验和，通常为 0。<br /> ' Subsystem 短整数型 2 字节 子系统类型（如控制台程序、图形界面程序等）。<br /> ' DllCharacteristics 短整数型 2 字节 动态链接库的特性，标识是否是 DLL 文件。<br /> ' SizeOfStackReserve 整数型 4 字节 堆栈的保留大小。<br /> ' SizeOfStackCommit 整数型 4 字节 堆栈的提交大小。<br /> ' SizeOfHeapReserve 整数型 4 字节 堆的保留大小。<br /> ' SizeOfHeapCommit 整数型 4 字节 堆的提交大小。<br /> ' LoaderFlags 整数型 4 字节 加载器标志，通常为 0。<br /> ' NumberOfRvaAndSizes 整数型 4 字节 数据目录的数量，表示 PE 文件中数据目录的数量。<br /> ' DataDirectory 数组 8 字节 * 16 数据目录，包含数据目录的地址和大小（16 个数据目录）。<br /> ImageBase ＝ 取字节集数据 (OptionalHeader, #整数型, 29)<br /> ' //<br /> ' 节表<br /> SectionTable ＝ 取字节集中间 (BIN, e_lfanew ＋ 249, NumberOfSections × 40) ' 节头=40<br /> .变量循环首 (0, NumberOfSections － 1, 1, i)<br /> ' 节表结构<br /> ' 节名（8 字节）：节的名称，通常是 ASCII 字符。<br /> ' 虚拟地址（4 字节）：节在内存中的虚拟地址。<br /> ' 文件偏移（4 字节）：节在文件中的偏移位置。<br /> ' 节大小（4 字节）：节的大小。<br /> ' 特性（4 字节）：描述节的属性，如是否可执行、是否可读、是否可写等。<br /> 到文本 (取字节集中间 (SectionTable, 1 ＋ i × 40, 8)) ' 节名<br /> .变量循环尾 ()<br /> 返回 (ImageBase)

yuzhong

111111111111111111111111111111111

创业者Deng

感谢分享，很给力！~

小芬子

清晰.详细备注+结构

kiss0459

跟你学到了

神话1999

        感谢分享，很给力！~

619725484

6666666666666666666

大刀

学习一下~！~

xiaobaibk47

#在这里快速回复#这个厉害了支持一下

ncmania

这个厉害了支持一下