PE结构学习

1、PE结构简介
本论坛PE的解析的帖子以及教程非常多，我这里只是介绍一下学习的过程与思路，具体的内容还是需要自己去记忆与理解。结合PEtool或者其他的PE解析工具以及下载链接中的PDF文件，首先将pe的每个字段所在位置，整体分布，由一个宏观的把握。PE字段的命名有一定的规律，了解了文件偏移，虚拟地址，相对虚拟地址这些概念之后，一部分字段就可以猜测出含义，部分没有规律的，可以百度。
PE文件总览 https://pan.baidu.com/s/1oAkP0TG  密码: smxa

2、滴水逆向2015-03-16期课后做业
模拟一个PE文件在内存中的加载过程
1)、把一个PE文件读入内存缓冲区File->FileBuffer
2)、PE文件的拉伸，FileBuffer->ImageBuffer
3)、PE文件的还原，开辟另一块空间，把ImageBuffer重新还原成文件刚加载进内存时的样子
4)、PE文件的转存，把3得到的结果转存为文件，看看是否可以运行

3、大体思路如下：
1)、把一个PE文件读入内存缓冲区File->FileBuffer
首先读取文件大小，根据文件大小开辟缓冲区，把缓冲区初始化0，然后把PE文件代码写入缓冲区，具体函数如下：
ReadPEFile

[C++] 纯文本查看 复制代码

LPVOID ReadPEFile(LPSTR lpszFile)
{
	FILE *pFile =NULL;
	//DWORD fileSize=0;
	LPVOID pFileBuffer=NULL;
	//打开文件
	pFile=fopen(lpszFile,"rb");
	if (!pFile)
	{
		printf("无法打开EXE文件!");
		return NULL;
	}
	//读取文件大小
	fseek(pFile,0,SEEK_END);
	fileSize=ftell(pFile);
	fseek(pFile,0,SEEK_SET);
	//分配缓冲区
	pFileBuffer=malloc(fileSize);
	if (!pFileBuffer)
	{
		printf("分配空间失败！");
		fclose(pFile);
		return NULL;
	}
	//将文件数据读取到缓冲区
	size_t n=fread(pFileBuffer,fileSize,1,pFile);
	if(!n)
	{
		printf("读取数据失败！");
		free(pFileBuffer);
		fclose(pFile);
		return NULL;
	}
	//关闭文件
	fclose(pFile);
	return pFileBuffer;
}

返回指向缓冲区的指针

2)、PE文件的拉伸
拉伸前我们首先需要对PE文件的节表有一点的了解，PE文件的节表为一个结构体，具体如下：
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;    //内存中偏移地址
    DWORD   SizeOfRawData;    //PE文件中对其之后的大小
    DWORD   PointerToRawData;//为PE块区在PE文件中偏移
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;    //块区的属性：可读、可写..
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
首先我们要开辟一个新空间，大小为可选PE头中的SizeOfImage这个参数的值，然后一个节一个节的copy过去，FileBuffer中的PointerToRawData对应ImageBuffer中的VirtualAddress，copy的大小为SizeOfRawData，具体函数如下：
CopyFileBufferToImageBuffer

[C++] 纯文本查看 复制代码

LPVOID CopyFileBufferToImageBuffer()
{
	LPVOID pFileBuffer=NULL;
	LPVOID pImageBuffer=NULL;
	PIMAGE_DOS_HEADER pDosHeader=NULL;
	PIMAGE_NT_HEADERS pNTHeader=NULL;
	PIMAGE_FILE_HEADER pPEHeader=NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader=NULL;
	PIMAGE_SECTION_HEADER pSectionHeader=NULL;
	pFileBuffer =ReadPEFile(FILEPATH);
	if(!pFileBuffer)
	{
		printf("文件读取失败\n");
		return 0;
	}
	//判断是否是有效的MZ标志
	if(*((PWORD)pFileBuffer)!=IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		free(pFileBuffer);
		return 0;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;

	if(*((PDWORD)((DWORD)pFileBuffer+pDosHeader->e_lfanew))!=IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		free(pFileBuffer);
		return 0;
	}
	pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew);
	
	pPEHeader=(PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);
	
	//可选PE头
	pOptionHeader=(PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);
	pImageBuffer=malloc(pOptionHeader->SizeOfImage);
	//初始化新空间
	memset(pImageBuffer,0,pOptionHeader->SizeOfImage);
	//copy头文件到新空间
	memcpy(pImageBuffer,pFileBuffer,pOptionHeader->SizeOfHeaders);
	pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);

	//copy节
	for (int i=0;i<pPEHeader->NumberOfSections;i++,pSectionHeader++)
	{
		memcpy((void*)((DWORD)pImageBuffer+pSectionHeader->VirtualAddress),
			(void*)((DWORD)pDosHeader+pSectionHeader->PointerToRawData),pSectionHeader->SizeOfRawData);
	
	}
	//返回pImageBuffer
	return pImageBuffer;
}

3)、PE文件的还原和保存
这一个没什么好说的，第二步的逆过程，直接上代码
CopyImageBufferToNewBuffer

[C++] 纯文本查看 复制代码

LPVOID CopyImageBufferToNewBuffer()
{
	LPVOID pImageBuffer=NULL;
	LPVOID pNewBuffer=NULL;
	PIMAGE_DOS_HEADER pDosHeader=NULL;
	PIMAGE_NT_HEADERS pNTHeader=NULL;
	PIMAGE_FILE_HEADER pPEHeader=NULL;
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader=NULL;
	PIMAGE_SECTION_HEADER pSectionHeader=NULL;
	FILE *pFile =NULL;
	char *FILEPATH1="c:\\NOTEPAD1.EXE";

	pImageBuffer =CopyFileBufferToImageBuffer();
	pNewBuffer=malloc(fileSize);
	//初始化NewBuffer
	memset(pNewBuffer,0,fileSize);

	pDosHeader=(PIMAGE_DOS_HEADER)pImageBuffer;
	pNTHeader=(PIMAGE_NT_HEADERS)((DWORD)pDosHeader+pDosHeader->e_lfanew );
	pPEHeader=(PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4);
	pOptionHeader=(PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);
	memcpy(pNewBuffer,pImageBuffer,pOptionHeader->SizeOfHeaders);
	pSectionHeader=(PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);
	//copy 节
	for(int i=0;i<pPEHeader->NumberOfSections;i++,pSectionHeader++)
	{
		memcpy((void*)((DWORD)pNewBuffer+pSectionHeader->PointerToRawData),
			(void*)((DWORD)pImageBuffer+pSectionHeader->VirtualAddress),pSectionHeader->SizeOfRawData);
	}
	pFile=fopen(FILEPATH1,"wb");
	fwrite(pNewBuffer,fileSize,1,pFile);

	fclose(pFile);
	return 0;
}