逆向调试入门-了解PE结构文件

Posted 2022-06-23 最爱大苹果

这里的PE文件指的是PE（Portable Executable）文件，即可移植的可执行文件，是 Windows 操作系统上主流的可执行文件。

常见的 EXE、DLL、OCX、SYS、COM 等文件格式都属于 PE 文件。

小结：PE文件是一种文件框架。

本次我们只是大概了解下PE结构文件。

PE可执行文件

可以由操作系统进行加载并执行的文件称为可执行文件。

在不同的操作系统环境下可执行文件的呈现方式不一样：

1、windows：采用 PE（Portable Executable）文件结构。

2、Linux：采用 ELF（Executable and Linking Format）文件结构。

几大区块

1、DOS头

DOS头分为两部分，分别是“MZ头部”和“DOS存根”。MZ头部是真正的DOS头部，由于其开始处的两个字节为“MZ”，因此DOS头也可以叫作MZ头。该部分用于程序在DOS系统下加载，它的结构被定义为IMAGE_DOS_HEADER。

2、PE头

PE头部保存着Windows系统加载可执行文件的重要信息。

3、节表

节表中存储了各个节的属性、文件位置、内存位置等相关的信息。

4、节表数据

PE文件的真正程序部分就保存在节数据中。在PE结构中，有几个节表，就对应有几个节表的数据。根据节表的属性、地址等信息，程序的数据就分布在节表指定的位置中。 

可执行文件的装载、内存分步、执行等都依赖于PE结构。要掌握反Bingdu、免杀、权益保护、反调试、加壳脱壳等相关知识，那了解PE结构则是重中之重。