win32下PE文件分析之NT头

接上一篇的win32下PE文件分析之DOS头

(一)win32中PE的NT:

    NT头是PE文件中标准PE头和可选PE头的总体称谓,还包含一个PE标识.下面是它在Visual C++ 6.0中WINNT.h中的定义:

typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;                        //PE标识
    IMAGE_FILE_HEADER FileHeader;           //标准PE头(也称文件头)
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //可选PE头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

    第一个是64bit的NT头定义,第二个是32bit的.这里只探讨32bit的.标准PE头也叫文件头,这不重要,知道是那么个东西就行了,个人不太喜欢动不动就用高端名词,高端名词主要是为了严谨而取出来的,但是很多时候很晦涩,通俗易懂更易让人接受.

(二).NT头中的Signature:

    这就是一个PE标识,说明这是PE的开始位置.它在PE文件中的偏移由DOS头中的最后一个成员e_lfanew决定，上一节解析了它的值为:0xE0,如图:

(三).NT头中的标准PE头:

    (1).NT头中的标准PE头数据宽度是0x14个字节,在Visual C++ 6.0中的结构定义如下:

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

    (2).代码的文件结构如下图:每个解析头函数定义分别放在不同的头文件中,方便逐个头结构的观察,为了可以多熟悉即便各个头的数据结构,每个函数中都重新从头开始解析了一遍,这样效率会降低.后面如果有空,会提供优化了的代码.(优化思路:在解析一开始,就将各个头的地址放进一个unsigned long*的全局数组里面,这样在后面是用的时候就直接调用数组里的地址,而不用每次都重新定义DOS头结构再依计算出各个结构的偏移.)

    (3).解析文件头的代码如下(代码中都只是输出部分重要的数据,博客中代码列数的限制,注释一行放不下,不美观):

    file.h

void Output_File(void* buffer)
{
	void* buf = buffer;
	//计算偏移时有用
	IMAGE_DOS_HEADER* pdos = (IMAGE_DOS_HEADER*)buf;		
	//pnt存放NT头的地址.
	IMAGE_NT_HEADERS32* pnt = (IMAGE_NT_HEADERS32*)((unsigned char*)buf + pdos->e_lfanew);	
	//pfile存放NT头中标准PE头结构所在地址.
	IMAGE_FILE_HEADER* pfile = (IMAGE_FILE_HEADER*)&pnt->FileHeader;	
	printf("\nNT Header:\n");
	//PE标识,值与PE的ascii码一一对应
	printf("PE:	%#X\n", pnt->Signature);	
	printf("File Header:\n");
	//输出程序能在哪种CPU平台上运行.
	printf("Machine:	%#X\n", pfile->Machine);
	//输出PE文件中节的数量
	printf("NumberOfSec:	%#X\n", pfile->NumberOfSections);
	//时间戳,文件的创建时间,一般有编译器填充,修改后不会影响程序运行
	printf("TimeStamp:	%#X\n", pfile->TimeDateStamp);	
	//可选PE头的大小(32bit默认是0xE0,64bit默认是0xF0)	
	printf("SizeOfOpHdr:	%#X\n", pfile->SizeOfOptionalHeader);
	//该文件的属性(标识给文件的类型,如是exe还是dll或其他)	
	printf("Characteristics:	%#X\n", pfile->Characteristics);	
}

    注释掉其他头的解析:运行结果如下:

(四).NT头中的可选PE头:

    可选PE头结构挺复杂,也最重要,32bit的和64bit的有点不同.在Visual C++ 6.0中winnt.h中定义如下:

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

    解析文件头的代码如下:

void Output_Optional(void* buffer)
{
	void* buf = buffer;
	//计算偏移时使用
	IMAGE_DOS_HEADER* pdos = (IMAGE_DOS_HEADER*)buf;	
	//pop中存放可选PE头的起始位置, 0x4是NT头中PE表示,0x14是NT头中的标准PE头,根据结构计算出可选PE头的偏移
	IMAGE_OPTIONAL_HEADER32* pop = (IMAGE_OPTIONAL_HEADER32*)((unsigned char*)buf + pdos->e_lfanew + 0x4 + 0x14);
	printf("Optional PE Header:\n");
	//说明文件的类型,010B为32bit的PE文件,020B为64bit的PE文件
	printf("Magic:				%#X\n", pop->Magic);
	//所有代码节的和,大小必须是FileAlignment的整数倍,有编译器填充,修改无影响.
	printf("SizeOfCode:			%#X\n",pop->SizeOfCode);	
	//已经初始化数据大小的和.
	printf("SizeOfinitializedData:		%#X\n",pop->SizeOfInitializedData);
	//未初始化数据大小的和.
	printf("SizeOfuninitializedData:	%#X\n",pop->SizeOfUninitializedData);	
	//程序入口OEP
	printf("AddressOfEntryPoint:		%#X\n",pop->AddressOfEntryPoint);
	//内存镜像基址
	printf("ImageBase:			%#X\n", pop->ImageBase);		
	//内存对齐			
	printf("SectionAlignment:		%#X\n", pop->SectionAlignment);	
	//文件对齐
	printf("FileAlignment:			%#X\n", pop->FileAlignment);
	//内存中整个PE文件的映射大小,可比实际的大,必须为内存对齐的整数倍			
	printf("SizeOfImage:			%#X\n", pop->SizeOfImage);
	//所有头+节表文件对齐后的大小,严格按照文件对齐.
	printf("SizeOfHeaders:			%#X\n", pop->SizeOfHeaders);
	//校验和,用来判断文件是否被篡改.比如系统的一些dll加载时会用到.			
	printf("CheckSum:			%#X\n", pop->CheckSum);							
}

    注释掉其他解析部分,运行结果如下图:

(五).说明:

    解析过程中最为麻烦的是计算偏移,多算几次,多看下结构图就好了.都是那么过来的.