PE格式的理解（待补充）

PE文件格式

一、基本结构

1、DOS头一般到节区头成为PE头部分，其下称为PE体。文件的内容一般可分为代码（.text）、数据（.data）、资源（.rsrc）,分别保存。

2、PE头与各节区的尾部存在一个区域，称为NULL填充，为了提高效率，计算机使用“最小基本单位”这一概念，文件/内存中节区的起始位置应该在各文件/内存最小单位的整数倍上。

3、RVA+ImageBase=VA

4、当DLL加载到进程虚拟内存指定位置时，可能该位置已经被占用，则需要使用重定位方式加载到其他空白的地方。

5、文件结束处有其他区域，是一些混杂的区域，包括重分配信息、符号表信息、行号信息以及字串表数据

二、PE头

1、DOS头：IMAGE_DOS_HEADER结构体中重要成员：e_magic:DOS签名（MZ)（文件开始为4D5A）、e_lfanew:指示NT头的偏移（根据不同文件有可变值）(Notepad.exe为000000E0小端序标识法)。

2、DOS存根：位于DOS头下方，是个可选项，大小不固定。多数由编译器或者汇编器自动生成。

3、NT头：IMAGE_NT_HEADERS重要成员：签名结构体（50450000h--“PE”00）、文件头和可选头，结构体大小为F8.

4、NT头：文件头：Machine（machine码）、NumberOfSections、SizeOfOptionalHeader、Characteristics（记住2000h和0002h两个值）

5、NT头：可选头：Magic、AddressOfEntryPoint、ImageBase、SectionAlignment/FileAlignment、SizeOfImage、SizeOfHeaders、Subsystem（区分文件）、NumberOfRvaAndSizes（数组大小）、DataDirectory（重要成员：EXPORT/IMPORT/RESOURCR/TLS Direction）

6、节区头

三、载入PE

1、PE被执行时，装载器为进程分配虚拟地址空间，在此情况下，并不是把完整的PE文件载入到磁盘中，而是做一个简单的内存映射。

2、PE装载器在内核中创建进程对象和主进程对象以及其他的内容。

3、PE装载器搜索输入表，装载应用程序所用的动态链接库，方式类似于应用程序的装载。

4、PE装载器执行PE文件首部所指定地址的代码，开始执行应用程序。

四、RVA TO RAW

RAW=RVA-VirtualAddress+PointToRawData

例子1：RVA=5000,求File Offset？

5000位于第一节区.text，假设基址为01000000则RAW=5000-1000+400=4400（这边需要文件和内存之间的映射关系）

例子2：RVA=13314，求File Offset

13314位于第三个节区.rsrc，RAW=13314-b000+8400=10714

五、IAT

1、IAT导入地址表：是一种表格，记录程序正在使用哪些库中的哪些函数。

2、DLL：加载DLL方式：显示链接，程序使用DLL加载，使用完毕后释放内存；隐式连接，程序开始时即一同加载DLL，程序终止时释放占用的内存。

3、DLL重定位：使得我们无法对实际地址硬编码，同时PE头中表示地址的是VA而不是RVA。

六、常用工具

1、PEID：通过搜索特征串搜索识别，不同语言编译的程序有固有的启动代码（可参见http://www.cnblogs.com/miaohj/p/5274211.html），被壳处理过的程序会留下与壳相关的软件信息，通过这些可以识别。下载地址：http://down.52pojie.cn/Tools/PEtools/

2、OllyDbg（OD）：可视化用户模式调试器，结合了动态调试和静态调试的功能。通过OD脱壳的方式介绍也可参见http://www.cnblogs.com/miaohj/p/5274211.html 。同时也可参见http://www.52pojie.cn/thread-234739-1-1.html的简单教程。下载地址：http://down.52pojie.cn/Tools/Debuggers/

3、IDA Pro（IDA）：静态反汇编工具。特性：交互和多处理器。能够详细分析文件各模块功能以及模块之间的复杂调用，准确分析函数的调用规范、参数和临时变量等信息。具体使用方式会在之后的学习中给出。下载地址：http://www.52pojie.cn/thread-319763-1-1.html