🗊Презентация Структура исполняемого файла Portable Executable Часть 1

Структура исполняемого файла Portable Executable Часть 1 DOS headers, File header, Optional header, Section headers. А также RAW, RVA-адресация и выравнивание

Файл PE

DOS header e_magic == MZ. MZ == Mark Zbikowski.

DOS stub

PE-Header Signature == “PE\0\0” FileHeader содержит базовые характеристики файла OptionalHeader содержит информацию, необходимую для загрузки файла

PE-Header

File-Header Machine: идентификатор архитектуры процессора, на которой данное приложение может выполняться NumberOfSections: DWORD — количество секций в файле TimeDateStamp: WORD —дата и время создания файла PointerToSymbolTable: RAW-смещение до таблицы символов NumberOfSymbols: количество записей в таблице символов SizeOfOptionalHeader: размер Optional header Characteristics: число с характеристиками образа исполняемого файла. Каждая характеристика устанавливается как соответствующий бит.

Типы адресации RAW – абсолютный адрес

Optional-Header Magic: имеет разные значения для приложений, собранных для 32 и 64-разрядных систем SizeOfCode: общий размер всех секций кода AddressOfEntryPoint: RVA-адрес точки входа (функции старта программы) BaseOfCode: RVA-адрес на начало секции кода BaseOfData: RVA-адрес на начало секции данных ImageBase: предпочтительный базовый адрес загрузки программы SectionAligment: размер выравнивания секции при выгрузке в виртуальную память. FileAligment: размер выравнивания секции внутри файла SizeOfImage: размер файла в памяти, включая все заголовки. Должен быть кратен SectionAligment. SizeOfHeaders: размер всех заголовков (DOS, DOS-Stub, PE, Section) выравненный на FileAligment. NumberOfRvaAndSizes: количество каталогов в таблице директорий (ниже сама таблица). Всегда равно константе IMAGE_NUMBEROF_DIRECTORY_ENTRIES (16). DataDirectory – массив структур, описывающих директории данных разных типов

Выравнивание

Директории данных VirtualAddress: RVA директории данных Size: размер директории данных

Директории данных

Секции

Section-header Name: имя секции, IMAGE_SIZEOF_SHORT_NAME == 8 VirtualSize: размер секции в виртуальной памяти. VirtualAddress: RVA секции. SizeOfRawData: размер секции в файле. Должен быть кратен FileAligment PointerToRawData: RAW смещение до начала секции. Также должен быть кратен FileAligment Characteristics: битовые атрибуты доступа к секции и правила для её загрузки в виртуальную память

Вопросы?