MyException - 我的异常网
当前位置:我的异常网» VC/MFC » 【原创&交流】PE文件格式的一些研究,该如何解决

【原创&交流】PE文件格式的一些研究,该如何解决

www.MyException.Cn  网友分享于:2013-01-13  浏览:24次
【原创&交流】PE文件格式的一些研究
链接:PE文件格式的一些研究

  最近抽空对PE文件格式做了一些研究。众所周知,PE文件格式是Windows平台下可执行文件的格式。为什么要研究PE文件格式?可能有人认为,做这件事就是一件重复造轮子的事,因为之前已经有无数人做过这样的事。但是有些事不是简单地以是不是重复造轮子来衡量的。研究PE文件格式对加深程序本质的认识和理解程序的构成都有很大的好处。美籍匈牙利科学家冯•诺依曼最新提出程序存储的思想,具体到研究PE文件格式,或许可以是运行程序所需的指令和数据是以怎样的组织结构存贮在文件的,在运行时程序是怎样被加载的,数据是怎样初始化的。

  一个完整的PE文件结构一般由五大部分组成。如下图:



   
  最开头的是部分是DOS部首,DOS部首由两部分组成:DOS的MZ文件标志和DOS stub(DOS存根程序)。之所以设置DOS部首是微软为了兼容原有的DOS系统下的程序而设立的。
  紧接着的是真正的PE文件头。值得注意的是PE文件头中的IMAGE_OPTIONAL_HEADER32是一个非常重要的结构,PE文件中的导入表、导出表、资源、重定位表等数据的位置和长度都保存在这个结构里。

  PE文件结构中可研究的内容很多,暂时讲解这么多,有兴趣的朋友可以阅读《Windows图形编程》中的第一章和《程序员的自我修养》的5.6节。

  研究PE文件格式,最好的方法我觉得还是自己动手写一个PE文件解释类。看了《Windows图形编程》中的第一章,加深自己对PE文件结构的理解,我决定在袁峰大侠(《Windows图形编程》一书作者)编写PE文件解释类KPEFile的基础上增加一些接口。KPEFile类的构造函数是通过提供模块句柄来获取PE文件信息的,我发现这对运行中的程序是有用的,但对解析一个静态的exe文件并不有效。

  编程实现分析一个PE文件,网上一般有两种做法:一是打开exe文件,然后利用Dbghelp库的一个函数ImageRvaToVa来获取你要打开结构的指针;另一种做法也大同小异,也是打开exe文件,自己计算所有获取信息的结构的偏移地址。我采用的是第二种做法。

  下面是重要部分代码:

C/C++ code


/*! 
* @brief tString类主要是为了兼容unicode字符集和多字节字符集
*
*   
*/

#ifdef UNICODE

#define tString  std::wstring

#else

#define tString  std::string 

#endif

/*! @struct stImportDll
* @brief 导入的DLL的信息结构体
*
*   
*/
struct stImportDll
{
    /* @brief 导入的DLL名
    *
    *   
    */
    tString m_strDllName; 
    /* @brief 导入的DLL中的函数
    *
    *   
    */
    std::vector<tString> m_vecStrFunname; //
};

/*!
*  @brief KPEFile类构造函数
*
*  @param [in]strBinPath exe文件全路径,主要是获取DOS部首和PE文件头的位置
*  \return 
*/
KPEFile::KPEFile( tString strBinPath )
{
    DWORD dwRead = 0;
    m_pModule = NULL;

    // 打开exe文件
    HANDLE hFile = CreateFile(
        strBinPath.c_str(), //PE文件名
        GENERIC_READ, 
        FILE_SHARE_READ,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL);

    if(hFile == INVALID_HANDLE_VALUE)
    {
        return;
    }

    // 获取文件大小
    DWORD dwSize = GetFileSize(hFile,NULL);
    if (dwSize == 0xFFFFFFFF){
        return ;
    }

    // 开辟读取缓冲区
    m_pModule = (LPBYTE)VirtualAlloc( NULL,dwSize,MEM_COMMIT,PAGE_READWRITE);

    // 读取文件
    ReadFile(hFile,m_pModule,dwSize,&dwRead,NULL);
    if( dwRead != dwSize)
        return ;
    // 关闭文件
    CloseHandle(hFile);

    // 获取DOS部首和PE文件头的位置
    m_pDosHeader = (PIMAGE_DOS_HEADER)m_pModule;
    m_pNTHeader = (PIMAGE_NT_HEADERS)(m_pModule + m_pDosHeader->e_lfanew);
}

/*!
*  @brief 由虚拟地址获取偏移距离
*
*  @param [in]VirtualAddr 虚拟地址
*  \return 
*/
DWORD KPEFile::VirtualToRaw(DWORD VirtualAddr)
{
    int i;
    PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)((LPBYTE)m_pNTHeader + sizeof(IMAGE_NT_HEADERS));
    for( i = 0; i < m_pNTHeader->FileHeader.NumberOfSections; i++)
    {
        if (VirtualAddr >= pSectionHeader->VirtualAddress 
            && VirtualAddr < pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize)
            return pSectionHeader->PointerToRawData + (DWORD)VirtualAddr - (DWORD)pSectionHeader->VirtualAddress;
        pSectionHeader ++;
    }
    return 0;
}

/*!
*  @brief 获取所有的导入表
*
*  @param [in]vecImportDll 导入的DLL的信息结构体
*  \return 
*/
BOOL KPEFile::GetAllImportSymbol(std::vector<stImportDll> &vecImportDll)
{
    if((m_pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress==0)
        ||(m_pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size==0))
        return FALSE;

    DWORD ITableRAoffset = VirtualToRaw(m_pNTHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);

    PIMAGE_IMPORT_DESCRIPTOR pImport = (PIMAGE_IMPORT_DESCRIPTOR)(m_pModule+ITableRAoffset);

    if (pImport==NULL)
        return FALSE;

    DWORD Nameoffset ;    
    DWORD OFToffset ;
    DWORD Funcoffset;
    while((Nameoffset = VirtualToRaw(pImport->Name))!= 0)
    {
        stImportDll ImportDll;
        LPCSTR szDllName = reinterpret_cast<LPCSTR>(m_pModule + Nameoffset);

#ifdef UNICODE
        TCHAR szwszDllName[MAX_PATH];
        ::MultiByteToWideChar(CP_ACP,MB_PRECOMPOSED,szDllName,-1,szwszDllName,MAX_PATH);

        ImportDll.m_strDllName = szwszDllName;
#else

        ImportDll.m_strDllName = szDllName;

#endif

        PIMAGE_THUNK_DATA32 pThunk;
        OFToffset = VirtualToRaw(pImport->OriginalFirstThunk);
        pThunk = (PIMAGE_THUNK_DATA)(m_pModule + OFToffset);

        for (int i = 0;pThunk->u1.Function;i++)
        {
            if (pThunk->u1.Ordinal&IMAGE_ORDINAL_FLAG32)
         {
             // 按序号导入不予处理
             break;
         }
            else
         {

             PIMAGE_IMPORT_BY_NAME pFuncName;
             Funcoffset = VirtualToRaw(pThunk->u1.AddressOfData);
             pFuncName = (PIMAGE_IMPORT_BY_NAME)(m_pModule + Funcoffset);

#ifdef UNICODE
             TCHAR szwFunctionName[MAX_PATH];
             ::MultiByteToWideChar(CP_ACP,MB_PRECOMPOSED,reinterpret_cast<LPCSTR>(pFuncName->Name),-1,szwFunctionName,MAX_PATH);
             tString strFuncname = szwFunctionName;
             ImportDll.m_vecStrFunname.push_back(strFuncname);

#else
             tString strFuncname = reinterpret_cast<LPCSTR>(pFuncName->Name); 
             ImportDll.m_vecStrFunname.push_back(strFuncname);
#endif
         }
            pThunk++;
        }


        vecImportDll.push_back(ImportDll);
        pImport++;
    }
    return TRUE;
}


文章评论

总结2014中国互联网十大段子
总结2014中国互联网十大段子
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员和编码员之间的区别
程序员和编码员之间的区别
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
鲜为人知的编程真相
鲜为人知的编程真相
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
程序员的鄙视链
程序员的鄙视链
一个程序员的时间管理
一个程序员的时间管理
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
那些争议最大的编程观点
那些争议最大的编程观点
老程序员的下场
老程序员的下场
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
如何成为一名黑客
如何成为一名黑客
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
代码女神横空出世
代码女神横空出世
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
中美印日四国程序员比较
中美印日四国程序员比较
 程序员的样子
程序员的样子
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
Java程序员必看电影
Java程序员必看电影
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
编程语言是女人
编程语言是女人
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
我的丈夫是个程序员
我的丈夫是个程序员
旅行,写作,编程
旅行,写作,编程
程序员都该阅读的书
程序员都该阅读的书
10个调试和排错的小建议
10个调试和排错的小建议
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
漫画:程序员的工作
漫画:程序员的工作
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
程序员应该关注的一些事儿
程序员应该关注的一些事儿
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
为什么程序员都是夜猫子
为什么程序员都是夜猫子
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有