【C语言】初识PE

watermelon

元宵节快乐！前两天我的vs2013出了点毛病，实际上不影响什么使用，但是我总是感觉很不爽，使用它的“修复”功能来进行修复，结果发现没有什么用，我就卸载准备重装，卸载它以后我要重装wdk8.1。当天晚上发现虚拟机也出了毛病，修复没有什么用，应该是少了msvc的什么库，好的接着卸载重装，鉴于百度网盘的速度，要想下载vs2013，wdk8.1（这个快，从微软网站下），vmware14.0，win7 x64.iso等玩意儿，时间要好长。

由于SSDT unhook貌似要用到PE的一些知识，所以小弟我想趁这个机会认识一下PE结构，起码也要有一个印象。

由于PE文件结构知识很多，小弟的文中可能会有一些说法欠妥甚至知识型错误的地方，希望各位大大直接批评指正。
先介绍一下啥是PE文件：PE的全称是Portable Executable意思是可以移植的执行体，有挺多文件都是PE格式，比如常见的EXE，DLL，SYS等格式的文件。PE文件都遵循下图的文件结构（32位PE文件，本文只讨论32位的PE文件）：
本图片来自于：https://www.0xaa55.com/forum.php?mod=viewthread&tid=529


这些结构体在我们的winnt.h都有定义，所以我们进行学习并且实践的时候可以直接声明定义来用（直接#include <windows.h>即可）。
PE文件可以使用winhex进行查看：

我们可以看到图中圈红线的两部分：4D 5A对应的字符是MZ，这里是PE文件的DOS头开始地方，接下来我们可以看到蓝圈的50 45对应的字符是PE，说明我们这里是一个PE文件。然后PE文件每个部分每个结构各个成员的意义可以看最上面的那张PE结构图。

我主要是学习PE从以下几个方面进行的：1，打印PE文件结构的一些成员的值。2，我自己想改写一下DOS Stub部分的内容，就是把它的“This program cannot be run in DOS mode”（有没有感觉有些语法不对？）改成自己定义的字符串
3，打印我的EXE所用到输出表的函数

第一个比较好写，由于这个PE文件我们用winhex进行查看的时候他是在磁盘上的，并且winnt.h还给我们定义了他们的结构体，所以我们可以用读文件的方式来进行对相应结构体的读取，怎么对相应结构体进行读取呢？用文件偏移来移动文件指针进行读取。
第二个也是很好写，和第一个一样，只不过多了一个写文件的步骤。
比如PE文件初始时候在winhex上显示的是：


运行程序后我们对图中画红圈的字符串进行改写成自定义的（用这个东西去表白不错):


并且更改完这个以后我们的“hello world”程序还是可以正常运行的：


最让人恼火的是第三个，打印输出表的函数。
我们可以从第一张图片中看到要想找到输入表这个结构体，必经之路是IMAGE_DATA_DIRECTORY，我们通过结构体IMAGE_NT_HEADERS.OptionalHeader.DataDirectory[1]一串儿找下去即可。但是IMAGE_DATA_DIRECTORY这个结构体里面只有两个成员，有用的就是那个VirtualAddress这个RVA（相对偏移地址），这个对于我前两个问题用文件读写结构体来说是个问题。一开始我想的是使用RVA+ImageBase来进行内存读写结构体，结果程序崩溃，调试发现指针访问了无法读写的地址，后来发现进程空间，内存空间这两个东东有些区别，并且有的博客说可以用文件映射，将PE文件映射进内存后用文件映射的基址+RVA进行读写，这个方法可以的。（其实一开始我不信那个邪，一直用ImageBase+RVA来找输入表，我知道输入表里面的有些成员不好验证对不对，我就来找调试信息表，因为PEiD可以查看到调试信息表中的一些成员，结果一直不对，程序崩溃，调试显示内存访问不该访问的地址，浪费了挺多时间和白开水）

所以我们就用文件映射的基址和IMAGE_DATA_DIRECTORY中的VirtualAddress在内存中找输入表，找到输入表后我们开始进行对输入表中的函数来查找。
从第一张PE结构图中我们可以看出结构体IMAGE_IMPORT_DIRECTORY中有两个成员OriginalFirstThunk和FirstThunk后面划着线指向别的东西（IMAGE_THUNK_DATA），这两个成员是非常重要的，在PE文件没有被绑定的情况下，OriginalFirstThunk和FirstThunk是一样的。通过我查找一些资料知道了，在一开始的IAMGE_IMPORT_DIRECTORY是一个承载着DLL的数组，每一个元素是一个DLL并且以全0结尾，而我们从PE结构图中看到这个里面还包含了IMAGE_THUNK_DATA这个结构体，这个结构体指向了一个IMAGE_IMPORT_BY_NAME的结构体，而IMAGE_IMPORT_BY_NAME这个结构体里面有我们要的函数名字。所以我们在通过文件映射+RVA找到导入表iid以后通过OriginalFirstThunk或者FirstThunk来找到IAT（建议用OriginalFirstThunk，为什么可以看文末的参考资料），通过IMAGE_THUNK_DATA里的一个RVA（成员是AddressOfData）找到IMAGE_IMPORT_BY_NAME来打印最后的函数名称。
我在这里列出来IMAGE_THUNK_DATA和IMAGE_IMPORT_BY_NAME两个结构体的定义：

[C] 纯文本查看 复制代码

typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      // PBYTE 
        DWORD Function;             // PDWORD
        DWORD Ordinal;
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;

[C] 纯文本查看 复制代码

typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    CHAR   Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

最后是全部的程序实现：

[C] 纯文本查看 复制代码

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
#include <Dbghelp.h>

// 打印指定PE文件的一些信息
int PrintPEInfo()
{
	HANDLE				  hFile;
	IMAGE_DOS_HEADER	  ImageDosHeader;
	IMAGE_NT_HEADERS	  ImageNtHeader;
	IMAGE_SECTION_HEADER  *pImageSectionHeader;
	BOOL				  bStatus;
	DWORD				  dwRetSize;
	LARGE_INTEGER		  FileOffset;

	// 打开目标文件
	hFile = CreateFile(L"C:\\Users\\Administrator\\Desktop\\target.exe",
		FILE_ALL_ACCESS,
		FILE_SHARE_READ,
		NULL,
		OPEN_ALWAYS,
		FILE_ATTRIBUTE_NORMAL,
		NULL);
	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("CreateFile error:%d\n", GetLastError());
		return 1;
	}

	// 将PE文件的DOS头部的内容读到结构体ImageDosHeader中
	bStatus = ReadFile(hFile,
		&ImageDosHeader,
		sizeof(IMAGE_DOS_HEADER),
		&dwRetSize,
		NULL);
	if (bStatus == FALSE)
	{
		printf("Read image_dos_header failed:%d\n", GetLastError());
		goto cleanup;
	}

	// 打印MZ和PE头偏移量
	printf("ImageDosHeader.e_magic:%s\nImageDosHeader.e_lfanew:%X\n", &ImageDosHeader.e_magic, ImageDosHeader.e_lfanew);


	// 设置文件的读写指针
	FileOffset.QuadPart = ImageDosHeader.e_lfanew;
	bStatus = SetFilePointerEx(hFile, FileOffset, NULL, FILE_BEGIN);
	if (bStatus == FALSE)
	{
		printf("SetFilePointerEx error:%d\n", GetLastError());
		goto cleanup;
	}

	// 读取PE头
	bStatus = ReadFile(hFile,
		&ImageNtHeader,
		sizeof(IMAGE_NT_HEADERS),
		&dwRetSize,
		NULL);
	if (bStatus == FALSE)
	{
		printf("ReadFile PE error:%d\n", GetLastError());
		goto cleanup;
	}
	// 打印“PE”
	printf("ImageNtHeader.Signature:%s\n", &ImageNtHeader.Signature);
	// 打印镜像基址
	printf("ImageBase:%x\n", ImageNtHeader.OptionalHeader.ImageBase);
	// 打印区块的数量
	printf("ImageNtHeader.FileHeader.NumberOfSections:%d\n", ImageNtHeader.FileHeader.NumberOfSections);

	FileOffset.QuadPart = FileOffset.QuadPart + sizeof(IMAGE_NT_HEADERS);
	bStatus = SetFilePointerEx(hFile, FileOffset, NULL, FILE_BEGIN);
	if (bStatus == FALSE)
	{
		printf("SetFilePointerEx error:%d\n", GetLastError());
		goto cleanup;
	}

	// 用一个数组来承载描述每个区块的信息，便于到时候打印
	pImageSectionHeader = (IMAGE_SECTION_HEADER*)malloc(sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections);
	if (pImageSectionHeader == NULL)
	{
		printf("pImageSectionHeader malloc error:%d\n", GetLastError());
		goto cleanup;
	}

	bStatus = ReadFile(hFile,
		pImageSectionHeader,
		sizeof(IMAGE_SECTION_HEADER)*ImageNtHeader.FileHeader.NumberOfSections,
		&dwRetSize,
		NULL);
	if (bStatus == FALSE)
	{
		printf("Read image_section_header error:%d\n", GetLastError());
		free(pImageSectionHeader);
		goto cleanup;
	}

	// 把区块的名字打印出来
	for (int i = 0; i < ImageNtHeader.FileHeader.NumberOfSections; i++)
	{
		printf("pImageSectionHeader[%d]:%s\n", i + 1, pImageSectionHeader[i].Name);
	}
	free(pImageSectionHeader);

cleanup:
	CloseHandle(hFile);
	return 0;
}



// 改写一小部分的DOS stub
void WritePE()
{
	HANDLE hFile;
	DWORD dwRetSize;
	char buffer[1024];
	char me[] = "Watermelon is watermelon, forever is forever!";
	LARGE_INTEGER FileOffset;
	BOOL bStatus;

	hFile = CreateFile(L"C:\\Users\\Administrator\\Desktop\\target.exe",
		FILE_ALL_ACCESS,
		FILE_SHARE_WRITE,
		NULL,
		OPEN_ALWAYS,
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("[WritePE] CreateFile error:%d\n", GetLastError());
		goto cleanup;
	}

	bStatus = ReadFile(hFile,
		buffer,
		0x100,
		&dwRetSize,
		NULL);
	if (bStatus = FALSE)
	{
		printf("[WritePE] ReadFile error:%d\n", GetLastError());
		goto cleanup;
	}

	for (int i = 0; i < 0x100; i++)
	{
		if (buffer[i] == 'T' && buffer[i + 1] == 'h' && buffer[i + 2] == 'i' && buffer[i + 3] == 's')
		{
			FileOffset.QuadPart = i;
			break;
		}

	}

	// 重置文件指针
	SetFilePointerEx(hFile,
		FileOffset,
		NULL,
		FILE_BEGIN);

	bStatus = WriteFile(hFile,
		me,
		strlen(me),
		&dwRetSize,
		NULL);
	if (bStatus == FALSE)
	{
		printf("[WritePE] WriteFile error:%d\n", GetLastError());
		goto cleanup;
	}
	printf("WriteFile has done...\n");


cleanup:
	CloseHandle(hFile);
	
}


// 读取导入表，打印函数
void PrintPEFunction()
{
	HANDLE hFile = CreateFile(L"C:\\Users\\Administrator\\Desktop\\target.exe",
		GENERIC_READ,
		FILE_SHARE_READ,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("[test] CreateFile errror:%d\n", GetLastError());
		return;
	}

	// 创建文件映射，使用内存来找导入表
	HANDLE hMap = CreateFileMapping(hFile, NULL,
		PAGE_READONLY,
		0,
		0,
		NULL);

	if (hMap == INVALID_HANDLE_VALUE)
	{
		printf("[test] CreateFileMapping error:%d\n", GetLastError());
		goto clean;
	}

	UCHAR *lpBaseAddress = (UCHAR*)MapViewOfFile(hMap,
		FILE_MAP_READ, 0, 0, 0);

	if (lpBaseAddress == NULL)
	{
		printf("[test] MapViewOfFile error:%d\n", GetLastError());
		goto cleanup;
	}

	PIMAGE_DOS_HEADER pImageDosHeader = (PIMAGE_DOS_HEADER)lpBaseAddress;
	PIMAGE_NT_HEADERS pImageNtHeader = (PIMAGE_NT_HEADERS)(lpBaseAddress + pImageDosHeader->e_lfanew);

	// 获取导入表的RVA
	DWORD VirtualAddress = pImageNtHeader->OptionalHeader.DataDirectory[1].VirtualAddress;

	if (VirtualAddress == 0)
	{
		printf("VirtualAddress为0，请更换别的PE文件或者联系我：[email]starlight_chou@163.com[/email]");
		goto cleanup;
	}

	// 获取导入表地址
	PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)ImageRvaToVa(pImageNtHeader,
		lpBaseAddress,
		VirtualAddress,
		NULL);

	IMAGE_IMPORT_DESCRIPTOR iid;
	IMAGE_THUNK_DATA thunk;
	// 由于以0（NULL）结尾，所以我们在这里置零
	memset(&iid, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR));
	memset(&thunk, 0, sizeof(IMAGE_THUNK_DATA));

	// 开始进行遍历
	for (int i = 0; memcmp(pImportTable + i, &iid, sizeof(IMAGE_IMPORT_DESCRIPTOR)); i++)
	{
		// 获取dll名字，见32位PE结构表
		printf("\n第%d个DLL，名称：%s\n", i+1, (CHAR*)ImageRvaToVa(pImageNtHeader,
			lpBaseAddress,
			pImportTable[i].Name,
			NULL));
		// 开始遍历target.exe从对应的DLL中用到了那些函数(IAT)
		PIMAGE_THUNK_DATA32 pThunk = (PIMAGE_THUNK_DATA32)ImageRvaToVa(pImageNtHeader,
			lpBaseAddress,
			pImportTable[i].OriginalFirstThunk,  // 无绑定情况下和pImportTable[i].FirstThunk一样的。
			NULL);
		for (int j = 0; memcmp(pThunk + j, &thunk, sizeof(IMAGE_THUNK_DATA)); j++)
		{
			// 通过RVA最高位判断函数的导入方式，
			// 如果最高位为1，按序号导入，否则按照名称导入
			if (pThunk[j].u1.AddressOfData & IMAGE_ORDINAL_FLAG32)
			{
				printf("[%d]\t%ld", j+1, pThunk[j].u1.AddressOfData & 0xffff);
			}
			else
			{
				// 按照名称导入
				// 重新判断地址
				PIMAGE_IMPORT_BY_NAME pFuncName = (PIMAGE_IMPORT_BY_NAME)ImageRvaToVa(pImageNtHeader,
					lpBaseAddress,
					pThunk[j].u1.AddressOfData,
					NULL);
				printf("[%d]\t%ld\t%s\n", j+1, pFuncName->Hint, pFuncName->Name);
			}
		}
	}
cleanup:
	CloseHandle(hMap);
clean:
	CloseHandle(hFile);
	return;
}

int main(void)
{
	printf("\n\n#########################################\n\n");
	PrintPEInfo();
	printf("\n\n#########################################\n\n");
	WritePE();
	printf("\n\n#########################################\n\n");
	PrintPEFunction();
	printf("\n\n#########################################\n\n");

	getchar();
	return 0;
}

运行结果（更改DOS stub的那部分运行结果见上文）：

[C] 纯文本查看 复制代码

#########################################

ImageDosHeader.e_magic:MZ?
ImageDosHeader.e_lfanew:E8
ImageNtHeader.Signature:PE
ImageBase:65766572
ImageNtHeader.FileHeader.NumberOfSections:5
pImageSectionHeader[1]:.text
pImageSectionHeader[2]:.rdata
pImageSectionHeader[3]:.data
pImageSectionHeader[4]:.rsrc
pImageSectionHeader[5]:.reloc


#########################################

WriteFile has done...


#########################################


第1个DLL，名称：MSVCR120.dll
[1]     576     _configthreadlocale
[2]     500     __setusermatherr
[3]     781     _initterm_e
[4]     780     _initterm
[5]     439     __initenv
[6]     674     _fmode
[7]     575     _commode
[8]     592     _crt_debugger_hook
[9]     428     __crtUnhandledException
[10]    427     __crtTerminateProcess
[11]    559     _cexit
[12]    309     ?terminate@@YAXXZ
[13]    425     __crtSetUnhandledExceptionFilter
[14]    916     _lock
[15]    1284    _unlock
[16]    558     _calloc_crt
[17]    430     __dllonexit
[18]    1082    _onexit
[19]    788     _invoke_watson
[20]    579     _controlfp_s
[21]    634     _except_handler4_common
[22]    643     _exit
[23]    1614    exit
[24]    498     __set_app_type
[25]    438     __getmainargs
[26]    535     _amsg_exit
[27]    363     _XcptFilter
[28]    1682    getchar
[29]    1789    printf

第2个DLL，名称：KERNEL32.dll
[1]     726     GetSystemTimeAsFileTime
[2]     526     GetCurrentThreadId
[3]     522     GetCurrentProcessId
[4]     1069    QueryPerformanceCounter
[5]     877     IsProcessorFeaturePresent
[6]     871     IsDebuggerPresent
[7]     289     EncodePointer
[8]     254     DecodePointer


#########################################

实验的目标文件target.exe是一个helloworld程序：

[C] 纯文本查看 复制代码

#include <stdio.h>
#include <stdlib.h>
int main(void)
{
	printf("hello world\n");
	getchar();
	return 0;
}

参考资料：
https://www.0xaa55.com/forum.php ... 13&highlight=PE
https://www.0xaa55.com/forum.php ... 29&highlight=PE
https://bbs.pediy.com/thread-21932.htm
https://baike.baidu.com/item/pe% ... /6488140?fr=aladdin
https://baike.baidu.com/item/%E8 ... /1628932?fr=aladdin
以及众多前辈的博客和文章，由于当时没有做好记录，属实不好意思，感谢前辈们的分享。
最后附上看雪的（参考资料中的第三个连接）中的附件，可以用这个对照着PE结构表进行分析学习。

watermelon

PE知识太多了，具体学还是仔细看书：https://www.0xaa55.com/forum.php ... 98&highlight=PE
感谢站长分享！orz

tangptr@126.com

没必要做文件映射，你直接根据PE节表把所有节按相对地址对文件偏移进行手动映射就行了，你肯定要学会把解析PE功能移植到驱动编程的。
关于节表，参照IMAGE_SECTION_HEADER结构体。节表位于NT头后面，数量在文件头里。

watermelon

tangptr@126.com 发表于 2019-2-20 13:05
没必要做文件映射，你直接根据PE节表把所有节按相对地址对文件偏移进行手动映射就行了，你肯定要学会把解析 ...

小弟我清楚一些节表的概念并且在文中遍历了指定EXE的节表中含有的节的数目和名称。我当时看PE文件结构图的时候看到数据目录表（DataDirectory[1]）是描述输入表的，我就用的数据目录表来找输入表，期间用过一些方法，比如RVA和文件偏移（FileOffset）相互转化，然后用读写文件的方式来读写输入表，但是要考虑到磁盘和内存的字节对齐，最后还是感觉用文件映射和ImageRvaToVa来找输入表对我来说比较简单的。从节表来找输入表之前一直没有想到过，我得查查资料学习一下。谢谢tangptr大佬指导orz

watermelon

tangptr@126.com 发表于 2019-2-20 13:05
没必要做文件映射，你直接根据PE节表把所有节按相对地址对文件偏移进行手动映射就行了，你肯定要学会把解析 ...

有道理，我刚查了一下输入表信息一般在.idata节里面，可以试着找一下.idata节来获取输入表

watermelon

附上用文件读写来找输入表的方法：
步骤1：循环扫描区块表，找到输入表在哪个区块中。用区块的RVA（pImageSectionHeader［i］.VirtualAddress)作为start，用start与区块的大小（pImageSectionHeader［i］.SizeOfRawData)的加和作为end，判断输入表的RVA是否在这个之间（start<=IID.VirtualAddress<=end)，如果在这个区间之间，则说明输入表在当前这个区块中。
步骤2：用输入表的RVA（IID.VirtualAddress）减去start，得到输入表RVA相对于起始地址的偏移量RVA2
步骤3：用当前区块的磁盘文件偏移地址（pImageSectionHeader［i］.PointerToRawData）加上RVA2就得到了输入表在磁盘文件上的偏移地址，接下来读写IID即可

小弟只上一段寻找输入表的程序了，一些结构体的成员获取见正文哈：

[C] 纯文本查看 复制代码

iidrva = ImageNtHeader.OptionalHeader.DataDirectory[1].VirtualAddress; // IID的RVA
	// 寻找.idata节
	DWORD rva2;
	for (int i = 0; i < ImageNtHeader.FileHeader.NumberOfSections; i++)
	{
		DWORD begin = pImageSectionHeader[i].VirtualAddress;
		DWORD end = begin + pImageSectionHeader[i].SizeOfRawData;
		if (iidrva >= begin && iidrva <= end)		// 判断输入表在哪个区块中
		{
			rva2 = iidrva - begin;
			FileOffset.QuadPart = rva2 + pImageSectionHeader[i].PointerToRawData; // 输入表在磁盘文件中的偏移

			SetFilePointerEx(hFile, FileOffset, NULL, FILE_BEGIN);
			// 读取IID
			ReadFile(hFile, &iid,
				sizeof(IMAGE_IMPORT_DESCRIPTOR),
				&dwRetSize,
				NULL);
			printf("OriginalFirstThunk:%X\n", iid.OriginalFirstThunk);  // 打印OriginalFirstThunk
			printf("FirstThunk:%X\n", iid.FirstThunk);					// 打印FirstThunk
		}
	}

运行结果：（与PEiD的信息进行对比）

0xAA55

你改了Stub后还没有测试。我想看你在DOSBOX等环境下测试运行它的时候显示的内容的截图。

watermelon

0xAA55 发表于 2019-2-22 00:56
你改了Stub后还没有测试。我想看你在DOSBOX等环境下测试运行它的时候显示的内容的截图。 ...

报告！我只是在文中改了stub后用winhex看了看并且在win10上运行了一下可以运行（显示“hello world”），但是dosbox上不能运行32位程序，他显示“Illegal command”，而16位exe我用winhex看感觉不是一个PE格式，我网上查了是一个NE格式。Orz