免杀基础之一文学废PE文件格式

前言

PE文件的全称是Portable Executable ，意为可移植的可执行文件，常见的有EXE，DLL，SYS，COM，OCX，PE文件是微软Windows操作系统上的程序文件。

简单来理解，就是一种数据结构。我们知道知道CPU只认识二进制数，所以可执行文件保存在磁盘中都是以二进制数保存的，不过为了查看，所以市面上的编辑器都是用16进制显示的，比如下面这样，使用010Editer打开一个PE文件：

PE文件结构如下：

有的数据结构是用来执行的代码，有的数据结构是用来保存数据。

基础知识

基地址（ImageBase）：当PE文件通过Windows加载器载入内存后，内存中的版本称为模块，映射文件的起始地址称为模块句柄，可通过模块句柄访问内存中其他数据结构，这个内存起始地址就称为基地址。
虚拟地址（VA）：在Windows系统中，PE文件被系统加载到内存后，每个程序都有自己的虚拟空间，这个虚拟空间的内存地址称为虚拟地址。
相对虚拟地址(RVA)：可执行文件中，有许多地方需要指定内存中的地址。例如，应用全局变量时需要指定它的地址。为了避免在PE文件中出现绝对内存地址引入了相对虚拟地址，它就是在内存中相对于PE文件载入地址的偏移量。

它们之间的关系：虚拟地址（VA） = 基地址（Image Base）+相对虚拟地址（RVA）

文件偏移地址（Offset）：当PE文件存储在磁盘中时，某个数据的位置相对于文件头的偏移量称为文件偏移地址（File Offset）。文件偏移地址从PE文件的第一个字节开始计数，起始值为0

PE 头解析

MS—DOS头解析

首先是DOS头和DOS存根，它们的存在主要是用来兼容DOS系统。当我们的程序运行在DOS系统的时候，就会运行DOS存根中的代码，代码内容就是输出一段字符串告诉用户，这个程序不能在16位系统运行。

而DOS头保存了程序的信息，DOS头的定义如下：

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE headerWORD   e_magic;                     // Magic numberWORD   e_cblp;                      // Bytes on last page of fileWORD   e_cp;                        // Pages in fileWORD   e_crlc;                      // RelocationsWORD   e_cparhdr;                   // Size of header in paragraphsWORD   e_minalloc;                  // Minimum extra paragraphs neededWORD   e_maxalloc;                  // Maximum extra paragraphs neededWORD   e_ss;                        // Initial (relative) SS valueWORD   e_sp;                        // Initial SP valueWORD   e_csum;                      // ChecksumWORD   e_ip;                        // Initial IP valueWORD   e_cs;                        // Initial (relative) CS valueWORD   e_lfarlc;                    // File address of relocation tableWORD   e_ovno;                      // Overlay numberWORD   e_res[4];                    // Reserved wordsWORD   e_oemid;                     // OEM identifier (for e_oeminfo)WORD   e_oeminfo;                   // OEM information; e_oemid specificWORD   e_res2[10];                  // Reserved wordsLONG   e_lfanew;                    // File address of new exe header} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

这里面有用的信息就两个：

第一个成员e_magic，作为判断是否为PE文件的一个表示，如果不是"MZ"（16进制0x5A4D)，那就不是PE文件，如果是还要看PE头标识。
最后一个成员e_lfanew，指定PE头的开始位置距离文件的偏移，它的数值就是NT头的开始地址。如下图，这里是E8，那么NT头开始地址就是E8的地方。

PE头结构如下：

注意：e_magic是word类型，占两个字节;Signature是dword类型，占四个字节。

Signature表示是否是PE，vs中有一个宏来定义它：

PE头其实由两部分组成，一个是标准PE文件头，一个是可选头。

先说标准PE头：

标准PE头

在VS中继续跟进查看PE文件头结构体：

typedef struct _IMAGE_FILE_HEADER {WORD    Machine;  //运行平台，在不同平台上，其值也不一样WORD    NumberOfSections; //区段数据数量DWORD   TimeDateStamp; //文件什么时候被创建的DWORD   PointerToSymbolTable; //指向符号表的偏移指针DWORD   NumberOfSymbols; //符号表中的符号数量WORD    SizeOfOptionalHeader; //文件头扩展头的大小WORD    Characteristics; //PE文件的属性
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

下面做一些重点介绍：

Machine:

微软也给出了相应平台的宏定义：

NumberOfSections:

用loadPE打开一个PE文件，可以看到其区段：

常用区段：
.text: 代码段，里面的数据都是代码，有的编译器也叫做code段，其实都是宏定义的；
.data：数据段（可读写），存放全局变量和静态变量；
.rdata:数据段（只读）；
.idata:导入数据区段，存放导入表数据信息；
.edata:导出数据区段，存放导出表数据信息；
.rsrc：资源段；
.bss:存放未初始化数据；
.crt:c++ 运行时库 runtime；
.reloc：重定位；
.tls：线程局部存储。

Characteristics：

PE文件的属性，相应宏定义如下：

扩展PE头

其结构体成员如下：

typedef struct _IMAGE_ROM_OPTIONAL_HEADER {WORD   Magic; //文件类型的标识 32位的PE还是64位PEBYTE   MajorLinkerVersion; //链接器主版本号BYTE   MinorLinkerVersion;//链接器子版本号DWORD  SizeOfCode; //区段的总大小DWORD  SizeOfInitializedData; //已初始化数据段的大小DWORD  SizeOfUninitializedData;//未初始化数据段的大小DWORD  AddressOfEntryPoint; // 程序入口RVADWORD  BaseOfCode; //代码段机址RVADWORD  BaseOfData;//数据段基址RVADWORD  BaseOfBss;//入口点，文件在内存中的首选装入地址DWORD  GprMask;DWORD  CprMask[4];DWORD  GpValue;
} IMAGE_ROM_OPTIONAL_HEADER, *PIMAGE_ROM_OPTIONAL_HEADER;typedef struct _IMAGE_OPTIONAL_HEADER64 {WORD        Magic;BYTE        MajorLinkerVersion;BYTE        MinorLinkerVersion;DWORD       SizeOfCode;DWORD       SizeOfInitializedData;DWORD