delphi中PE文件结构
PE文件:
-----------------------------------------------------------------------
| DOS Header | 其中_lfanew 域指向4的地址
| 结构:TImageDosHeader |
文 |----------------------------------------------------------------------------------------------------------------------------------
件 | DOS stub 可执行代码 | 不定长
头 |----------------------------------------------------------------------------------------------------------------------------------------------------
部 | | PE标志 |
| |--------------------------------------------------------------------------------------------------------------------
| PE Header | PE基本信息 | 其中NumberOfSection域决定8的元素个数
| 结构:TImageNtHeaders | 结构:TImageFileHeader |
| |--------------------------------------------------------------------------------------------------------------------
| | PE 可选头部 | 其中SizeOfHeaders域是1和8占用的总空间,也是9的相对地址:DataDirectory域
| | 结构:TImageOptionalHeader | 包含了16个有用的数据表首地址
---------------------------------------------------------------------------------------------------------------------------------------------------------
Section table (字表) | 不定长
结构: array[] of TImageSection Header |
------------------------------------------------------------------------------------------------------------------------------------------------------------
…………………… |
…………………… |
------------------------------------------------------------------------------
DOS Header结构:
PImageDosHeader =^ TImageDosHeader;
_IMAGE_DOS_HEADER = packed record
e_magic: Word; { 常设为“MZ” }
e_cblp: Word; { Bytes on last page of file }
e_cp: Word; { Pages in file }
e_crlc: Word; { Relocations }
e_cparhdr: Word; { Size of header in paragraphs }
e_minalloc: Word; { Minimum extra paragraphs needed }
e_maxalloc: Word; { Maximum extra paragraphs needed }
e_ss: Word; { Initial (relative) SS value }
e_sp: Word; { Initial SP value }
e_esum: Word; { Check sum }
e_ip: Word; { Initial (relative CS value }
e_cs: Word; { Initial (relative CS value }
e_lfarlc: Word; { File address of relocation table }
e_ovno: Word; { Overlay number }
e_res: array [0..3] of Word; { Reserved words }
e_oemid: Word; { OEM identificr (fore oeminfo) }
e_oeminnfo: Word; { OEM information: e_oemid specific }
e_res2:array [0..9] of Word; { Reserved words }
_lfanew: LongInt; { PE header在文件中的偏移量 }
end;
其中只有两个域比较重要: e_magic包含字符串“MKZ”(即IMAGE_DOS_SIGNATURE, 或$5A4D), lfannew包含PE Header在文件中的偏移量。比较e_magic是否等于IMAGE_DOS_SIGNATURE验证是否为有效的DOS Header。
为了定位到PE Header(PE文件头部), 移动文件指针到_lfanew所指向的偏移。
PE header在delphi中的完整定义:
PImageNtHeaders =^ TImageNtHeaders;
_IMAGE_NT_HEADERS = packed record
Signature: DWORD; { PE标记, 值恒为$50、$45、$00、$00(即IMAGE_NT_SIGNATURE、$00004550或“PE\0\0”) }
FileHeader: TImageFileHeader; { 包含了关于文件物理分布的一般信息 }
OptionalHeader: TImageOptionalHeader; 4000 { 包含了关于PE文件逻辑分布的信息 }
end;
{ $EXTERNALSYM_IMAGE_NT_HEADERS }
TImageNtHeaders = _IMAGE_NT_HEADERS;
PE基本信息(File Header)
PImageFileHeader =^ TImageFileHeader;
_IMAGE_FILE_HEADER = packed record
Machine: Word; { 该文件运行所要求的CPU }
NumberOfSection: Word; { 文件中节的个数。 如果要在文件中增加或删除一个节,就需要修改这个值。如果要对文件加外壳,需要修改节的数目 }
TimeDateStamp: DWORD; { 文件创建日期和时间 }
PointerToSymbolTable: DWORD; { 指向符号表,用于调试 }
NumberOfSymbols: DWORD; { 存放符号表的数目 }
SizeOfOptionalHeader: Word; { 指示紧随本结构之后的IMAGE_OPTIONAL_HEADER结构大小 }
Characteristics: Word; { 关于文件信息的标记 }
end;
{ $EXTERNALSYM_IMAGE_FILEE_HEADER }
TImageFileHeader = _IMAGE_FILE_HEADER;
PE可选头部(Optional Header )
PImageOptionnalHeader =^TImageOptionalHeader;
_IMGEE_OPTIONAL_HEADER = packed record
Mageic: Word; { 可选头部,通常为$010B, 占2字节 }
MajorLinkerVersion: Byte; { 连接程序主版本号,占1字节 }
MinorLinkerVersion: Byte; { 连接程序主版本号,占1字节 }
SizeOfCode: DWORD; { 代码段的大小(经过对齐后的值), 占4字节 }
SizeOfInitializedData: DWORD; { 已经初始化数据的大小,占4字节 }
SizeOfUninitializedData: DWORD; { 未初始化数据的大小,占4字节 }
AddressOfEntryPoint: DWORD; { PE装载器准备运行的PE文件的第一个代码指令的RVA。 若需要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行。该域占4字节 }
BaseOfCode: DWORD; { 代码节开始的位置,占4字节 }
BaseOfData: DWORD; { 数据节开始的位置,占4字节 }
{ NT additional fields. }
ImageBase: DWORD; { PE文件的装载地址。对于EXE文件,该值常为$400000或$100000 }
SectionAlignment: DWORD; { 节的对齐值,例如,如果该值是$1000,那么每节的起始地址必须是$1000的倍数 }
FileAlignment: DWORD; { 文件的对齐值。例如,如果该值是$200, 那么每节的起始地址必须是@200 }
MajorOperatingSystemVersion: Word; { 要求最低操作系统版本号的主版本号,占2字节 }
MinorOperatingSystemVersion: Word; { 要求最低操作系统版本号的次版本号,占2字节 }
MajorImageVersion: Word; { 可执行文件主版本号,占2字节 }
MinorImageVersion: Word; { 可执行文件次版本号,占2字节 }
MajorSubSystemVersion: Word; { Win32子系统主版本。若PE文件是专门为Win32设计的,该子系统版本应该应该是4.0, 否则对话框不会有3维立体感 }
MinorSubSystemVeersion: Word; { Win32子系统次版本,占2字节。 }
SizeOfImage: DWord; { 内存中整个PE映像体的大小。注意:该域的值大于或等于原文件的内存空间,而不是原文件的物理顺序 }
SizeOfHeaders: DWord; { PE文件所有头部和节表占用的总空间大小,也就是PE文件第一节的相对偏移量,占4字节 }
CheckSum: DWord; { CRC检验和,一般的EXE文件可以是0,但重要的DLL文件必须有一个校验和,占4字节 }
SubSystem: Word; { 识别PE文件属于哪个子系统。对于大多数Win32程序,只有两个可能值:Windows GUI图形界面和Windows CUI控制台,占2字节 }
DHCharacteristics: Word; { PE文件的DLL特征值,一般为0,占2字节。当是$2000时表示WDM驱动程序 }
SizeOfStackReserve: DWord; { 保留的堆栈大小,占4字节 }
SizeOfHeapReserve: DWord; { 提交的堆栈大小,这个值总小于或等于SizeOfStackReserve. 占4字节 }
SizeOfHeapCommit: DWord; { 为局部Heap提交的堆栈大小,这个值总小于或等于SizeOfHeapReserve,占4字节 }
LoaderFlags: DWord; { 用于调试,一般为0 }
NumberOfRvaAndSizes: DWord; { 数据目录的项数,一般为16 }
DataDirectory:IMAGE_DATA_DIRECTORY packed array[0..IMAGE_NUMBEROF_DIRECTORY_ENTRIES -1] of TImageDataDirectory;
IMAGE_DATA_DIRECTORY结构数组。每个结构给出一个重要数据结构的RVA,例如,引入地址表、导出地址表等。数组上的元素可以是 以下值:
IMAGE_DIRECTORY_ENTRY_EXPORT = 0; { Export Directory }
IMAGE_DIRECTORY_ENTRY_IMPORT = 1; { Import Directory }
IMAGE_DIRECTORY_ENTRY_RESOURCE = 2; { Resource Directory }
IMAGE_DIRECTORY_ENTRY_EXCEPTION = 3; { Exception Directory }
IMAGE_DIRECTORY_ENTRY_SECURITY = 4; { Security Directory }
IMAGE_DIRECTORY_ENTRY_BASERELOC = 5; { Base Relocation Table }
IMAGE_DIRECTORY_ENTRY_DEBUG = 6; { Debug Directory }
IMAGE_DIRECTORY_ENTRY_COPYRIGHT = 7; { Description String }
IMAGE_DIRECTORY_ENTRY_CLOBALPTR = 8; { Machine Value (MIPS GP }
IMAGE_DIRECTORY_ENTRY_TLS = 9; { TLS Directory }
IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG = 10; { Load Configuration Directory }
IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT = 11; { Bound Import Directory in headers }
IMAGE_DIRECTORY_ENTRY__IAT = 12; { Import Address Table }
end;
DataDirectory的每个元素都是TImageDataDirectory结构类型的,其定义如下所示:
PImageDataDirectory =^TImageDataDirectory;
_IMAGE_DATA_DIRECTORY = record
VirtualAddress: DWord; { 导出表、导入表、资源表等的相对虚拟地址(RVA) }
Size: DWord; { 导出函数表、导入函数表、资源表等的字节数 }
end;
{ $EXTERNALSYM_IAMGE_DATA_DIRECTORY }
TImageDataDirectory = _IMAGE_DATA_DIRECTORY;
TImageOptionalHeader中DataDirectory的第一个元素的VirtualAddresss指向一个导出函数结构数组,该结构的定义如下:
PImageExportDirectory =^TImageEExportDirectory;
TImageExportDirectory = packed record
Characteristics: DWord; { 一般设为0 }
TimeDateStamp: DWord; { 文件生成时间 }
MajorVersion: Word; { 主版本号 }
MinorVersion: Word; { 次版本号 }
Name: DWord; { 模块中DLL名称。本域是必须的,因为文件名可能会改变。这种情况下,PE装载器将使用这个内部名字 }
Base: DWord; { 起始的函数编号,默认情况下是1,此值影响AddressOfNameOridinals数组 }
NumberOfFunctions: DWord; { 导出函数地址的数目,是AddressOfFunnctions数组中元素的个数。 }
NumberOfNames:DWord; { 导出函数名字的总数目,该值小于或等于NumberOfFunctions,是AddressOfNames、AddressOfNameOrdinals数组中元素的个数 }
AddressOfFunctions:^PDWord { 导出函数的地址数组,每个名字指针占32位(4字节) }
AddressOfNames:^PDWord; { 导出函数的名字数组,第个名字指针占32位(4字节) }
AddressOfNameOrdinals:^PWord; { 导出函数的编号数组,第个编号占16位(2字节) }
end;
DataDirectory数组R第二个元素包含引入函数表的地址。引入函数表是一个TImageImportDescriptor结构数组。每个结构包含一个被引入DLL的所有引入函数R信息。
PImageImportDescriptor =^TImageImportDescriptor;
TImageImportDescriptor = packed record
OriginalFirstThunk: DWord; { 这是FirstThunk的备份,有的模块中该域的值是0, 这时必须读取FirstThunk。 }
TimeDateStamp: DWord; { 文件建立时间 }
ForwarderChain: DWord; { 当做一条链,当程序引用一个DLL中的API,而这个API又是引用别的DLL名字的指针时才用到 }
DLLName: DWord; { DLL模块的名字, 是一个ASCII Z字符串 }
FirstThunk: DWord; { 有两种情况。如果值小于$80000000, 则表示这是一个TImportByName结构数组,包含从该DLL引入的所有函数列表(一个或多个函数);如果值大于或等于$80000000, 该值的低31位是该DLL引入函数的编号(一个函数)。因为当前模块引入其他DLL模块中的函数有两种方式:以名字引入和以编号引入 }
end;
PImportByName =^TImportByName:
TImportByName = packed record
ProcedureHint: Word; { 指示本函数在其所驻留DLL的导出表中的索引号。该值被PE装载器用来在DLL的导出表里快速查询函数。该值不是必须的,一些链接器将此值设为0 }
ProcedureName: array[0..1] of char; { 含有引入函数的函数名,这是一个ASCII Z字符串 }
end;
节表(Section Table)
PImageSectionHeader =^TImageSectionHeader;
_IMAGE_SECTION_HEADER = packed record
Name:packe array[0..IMAGE_SIZEOF_SHORT_NAME-1] of Bytee; { 节名,长度不超过8字节。仅做为标记 }
Misc:TISHMisc; { 在OBJ文件中,physcialAddress用做表示本节物理地址; 在EXE中,VirtualSize表示节的虚拟空间大小。该域占4字节 }
VirtualAddreess: DWord; { 本节的RVA(相对虚拟地址)。PE装载器将节映射至内存时会读取本值。例如,如果值是1000H, 而PE文件装在地址400000H处,那么本节就被载到401000H;在OBJ文件中无意义,占4字节。注意:该域的值表明“节”被重定位到新的内容空间中,而不是原文件的物理顺序 }
SizeOfRawData: DWord; { 经过文件对齐处理后节的大小,PE装载器提取该值来了解需映射入内存的字节数,该值大于或等于VirtualSize }
PointerToRawData: DWord; { 当前节的数据在磁盘物理文件中的实际位置 }
PointerToRelocations: DWord; { 在OBJ文件中表示该节重定位信息的相对地址,在PE文件中无意义,占4字节 }
PointerToLinenumbers: DWord; { 行号表的相对地址,占4字节 }
NumberOfRelocations: Word; { 本节要重定位的数目,占2字节 }
NumberOfLinenumbers: Word; { 本节的行号表中的数目,占2字节 }
Characteristics: DWord; { 节属性,包括节是否含有可执行代码、初始化数据、未初始数据,或是否可写、可读等,占4字节 }
end;
{ $EXTERNALSYM_IMAGE_SECTIONk_HEADER }
TImageSectionHeader = _IMAGE_SECTION_HEADER;
引入函数表(Import Table)
要列出PE文件的所有引入函数,可以按照下面的步骤:
1. 校验文件是否是有效的PE文件
2. 从DOS Header 定位到PE Header
3. 获取Optional Header中的DataDirectory值
4. 取出DataDirectory第二个元素中的VirtualAddress值,该值实际上是指向TImageImportDescriptor数组的指针。
5. 读出每个TImageImportDescriptor结构,它的DLLName域是模块的名字,它的FirstThunk有两种情况:如果最高位为0, 则FirstThunk是一个TImportByName结构数组,里面包含一个或多个引入函数的名字;如果最高位为1, 则FirstThunk是该DLL模块中一个引入函数的编号。
6. 循环第5步,直至遭到一全是0的结构。
导出表(Export Table)
通过导出函数名要获取函数地址和编号,可以按照以下步骤操作
1. 通过DOS Header定位到PE Header
2. 获取Optional Header中的DataDirectory值
3. 取出DataDirectory第一个元素中的VirtualAddress值,该值实际上是指向TimageExportDirectory数组的指针,并获取Base域的值
4. 获取导出函数名字的数组(NumberOfNames)
5. 从AddressOfNames中检索出所需要的函数名,并从AddressOfNameOrdinals读出函数的“相对编号”,“实际编号”=“相对编号”+Base-1。例如,若检索到函数名字在AddressOfNames数组的第77个元素,就可以获得AddressOfNameOridinals数组的第77个元素,就可以获得AddressOfNameOridinals数组的第77个元素作为函数“相对编号”, 77 + Base - 1是函数的“实际编号”;如果此“相对编号”是90, 那么可以获得AddressOfFunctions数组的第90个元素作为函数的入口地址。如果遍历完NumberOfNames个元素也没有检索到该函数的名字,则说明当前模块没有所要找的函数。
通过函数的编号n也可以获取函数地址,步骤如下:
1. 从DOS Header定位到PE Header
2. 获取Optional Header中的DataDirectory值
3. 取出DataDirectory第一个元素中的VirtualAddress值,该值实际上是指向TImageImportDescriptor数组的指针,并获取Base域的值。
4. 如果n-(Base-1)的值大于或等于NumberOfFunctions,则说明该函数编号无效;
5. 这样,就可以获得AddressOfFunctions数组中的第n-(Base-1)个元素的值。
通过函数的编号n获取函数名字的步骤如下:
1. 从DOS Header定位到PE Header
2. 获取Optional Header中的DataDirectory值
3. 取出DataDirectory第一个元素中的VirtualAddress值,该值实际上是指向TImageImportDescriptor数组的指针,并获取Base域的值
4. 如果n-(Base-1)的值大于或等于NumberOfFunctions,则说明该函数编号无效
5. 在AddresssOfNameOrdinals数组中搜索n-(Base-1)值,如果能搜索到,这时的索引值是i, 则NumberOfNames的第i个元素是函数的名字;如果没有找到,则说明该函数没有指定导出的名字。
重定位表
若装载器不是把程序装到程序编译时默认的基地址时,就需要这个重定位表来做一些调整。
PImageBaseRelocation =^TImageBaseRelocationn;
TImageBaseRelocation = Packed Record
VirtualAddress: DWord; { 重定位数据块起始地址 }
SizeOfBlock: DWord; { 本块的大小 }
TypeOffset: array[0..1] of Word; { 一个不定长数组,即是要定位的数据的位置,其低12位加上VirtualAddress即是重定位的数据的RVA地址 }
end;
检验PE文件的有效性
如何才能校验指定文件是否为有效PE文件呢?这可以通过检验PE文件格式里的各个数据域,或者仅校验一些关键数据域来实现。大多数情况下,没有必要校验文件里的第一个数据域,只要校验一些关键数据域有效,就 26dbb 可以确定是否是有效的PE文件了。
要验证的重要数据结构就是PE Header。PE Header实际就是一个TImageNtHeaders结构,如果TImageNtHeaders的Signature域值等于“PE\0\0”,那么这就是有效的PE文件。实际上,为了方便编程,可以使用Microsoft已定义了的常量IMAGE_NT_SIGNATURE(“PE\0\0”):
IMAGE_DOS_SIGNATURE = $5A4D;
IMAGE_OS2_SIGNATURE = $454E;
IMAGE_OS2_SIGNATURE_LE = $454C;
IMAGE_VxD_SIGNATURE = $454C;
IMAGE_NT_SIGNATURE = $4550;
接下来的问题是如何定位PE Header。 前面讲述过的DOS Header包含了一个指向PE Header的偏移量。DOS Header是一个TImageDosHeader结构,该结构中的_lfanew域就是指向PE Header的偏移量。
实现步骤如下:
1. 首先检验文件头部第一、二个字节的值是否等于IMAGE_DOS_SIGNATURE, 若是,则DOS Header有效。
2. 使用DOS Header的_lfanew来定位PE Header。注意:使用_lfanew之前, 需要检验其有效性,这可以使用IsBadReadPtr函数或把_lfanew值与文件的大小进行比较来检验
3. 检验PE Header的前四个字节的值是否等于IMAGE_NT_HEADER,若是,则该文件是一个有效的PE文件
转载于:https://www.cnblogs.com/skyblue-Mr/archive/2013/03/11/2953307.html
- 点赞
- 收藏
- 分享
- 文章举报
diaomei1934
发布了0 篇原创文章 · 获赞 0 · 访问量 72
私信
关注
- delphi中使用ADOQuery时的中文参数问题
- 通过delphi将秒数转换成日期格式
- 通过delphi将秒数转换成日期格式
- VC调用Delphi制作的动态链接库如何互相传递字符串
- Delphi 中用 GetEnvironmentVariable 获取常用系统变量
- Speed up the display of Delphi list components
- 用Delphi写ActiveX的经验
- Delphi6利用WebService 编写 SendEMail程序
- delphi 中分隔符分隔的字符串
- Delphi快速从文件流读取数据存入本地txt
- Delphi Opendialog用法
- Delphi选择指定路径作为操作路径
- [转]Delphi 12种大小写转换的方法
- 如何给ActiveX数字签名(Step by Step, Delphi)
- Delphi还是那个Delphi,变化了的只是世界
- 再执牛耳,Delphi的安卓开发,效率与性能兼而有之,比之鱼与熊掌
- Delphi的资料和教程,多多的
- delphi中TreeView使用常见问题
- 用delphi写下载程序
- delphi技巧--分离汉字和英文字母