实验1 可移植可执行文件格式应用

Posted 2022-06-17 yubei11

2.1实验目的

1. 熟悉各种PE编辑查看工具，详细了解PE文件格式2. 重点分析PE文件文件头、引入表、引出表，以及资源表 

2.2实验步骤及内容

PE文件格式分析

1. 使用WinHex观察PE文件例子程序test.exe的16进制数据，在屏幕截图中使用图形编辑软件标出该PE文件基本结构的DOS头、PE文件文件头、PE文件可选文件头、数据目录表、导入表、导出表。

2.使用Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构。

3.熟悉各类PE文件格式查看和编辑工具（PEView、PE-Explore等）。

 

实验操作过程：

1.1PE文件分为几个部分，分别是：

• DOS头
• DOS Stub
• NT头（PE头）
  • 文件头
  • 可选头
• 区段头（一个数组，每个元素都是一个结构体，称之为IMAGE_SECTION_HEADER）
• .text
• .rdata
• .data
• .rsrc
• .reloc
• ...

1.2 DOS头和DOS Stub

在文件的开始有两位16进制数据4D 5A，对应ASCII字符是MZ，这是DOS MZ Header的标志，即DOS头。

 

 

DOS Stub

 

 

 

 

1.3 DOS Header，其中的e_lfanew字段的值为C0，它指向了PE Header 在磁盘文件中相对于文件开始的偏移地址，即Signature字段，长度4h。

 

 

 

 

1.4 PE文件头

 

 

 

1.5 PE可选文件头

 

 

 

1.6 数据目录表

 

 

1.7 导入表

 

 

1.8 导出表

 

 

 

2.1 使用Ollydbg对该程序进行初步调试，对test.exe程序进行操作分析。

3.1 PEView工具和PE-Explore工具

PEView工具可以查看test.exe中的具体详细信息

 

 

PE-Explore工具可以查看导入、导出表，资源数据表之类的大小，存储之类的虚拟地址之类信息以及其他详细信息