网络安全入门实验06:PE文件的解析
目录
0.实验要求
请依据参考文档中的内容编写一个小程序,使其可以实现如下功能:
1、判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
2、请提交实验报告和你的源代码文件
1.实验思路
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)
以下图例来自老师给的资料
从这张图中可以直观的看出,PE文件首先具有一个DOS的结构头
其定义如下(来自winnt.h头文件中的定义):
typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header
WORD e_magic; // Magic number
WORD e_cblp; // Bytes on last page of file
WORD e_cp; // Pages in file
WORD e_crlc; // Relocations
WORD e_cparhdr; // Size of header in paragraphs
WORD e_minalloc; // Minimum extra paragraphs needed
WORD e_maxalloc; // Maximum extra paragraphs needed
WORD e_ss; // Initial (relative) SS value
WORD e_sp; // Initial SP value
WORD e_csum; // Checksum
WORD e_ip; // Initial IP value
WORD e_cs; // Initial (relative) CS value
WORD e_lfarlc; // File address of relocation table
WORD e_ovno; // Overlay number
WORD e_res[4]; // Reserved words
WORD e_oemid; // OEM identifier (for e_oeminfo)
WORD e_oeminfo; // OEM information; e_oemid specific
WORD e_res2[10]; // Reserved words
LONG e_lfanew; // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
其中比较重要的是第一个值e_magic和最后一个值e_lfanew
以下定义也来自winnt.h头文件
#define IMAGE_DOS_SIGNATURE 0x5A4D // MZ #define IMAGE_OS2_SIGNATURE 0x454E // NE #define IMAGE_OS2_SIGNATURE_LE 0x454C // LE #define IMAGE_VXD_SIGNATURE 0x454C // LE #define IMAGE_NT_SIGNATURE 0x00004550 // PE00
如果文件是一个PE文件,其e_magic值为0x5A4D,即MZ
即我们可以读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件
如果是PE文件,再进行接下来的操作
下面说第二个值e_lfanew,从它的英文注释中可以看出,这个值是表明了一个新的exe头部的地址
从实际来解释,即这个LONG值是一个偏移量,偏移后的位置是一个exe header
在查阅资料的过程中,也看到了有这样的解释
//Offset to start of PE header 指向PE文件头
其意思大致是相同的(其实就是一样的)
第二步:将文件指针移到这个位置,读取这个头部的信息
那么这个头部是什么呢
根据资料,这个Header实际为
typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
解释如下:
Signature 表明了文件是一个PE文件,值为PE\0\0
FileHeader 为 IMAGE_FILE_HEADER 结构体,存储了头部信息
OptionalHeader 则存储了可选头信息
查看一下 IMAGE_FILE_HEADER的定义
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;
WORD NumberOfSections;
DWORD TimeDateStamp;
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;
WORD Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
IMAGE_OPTIONAL_HEADER
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic;
BYTE MajorLinkerVersion;
BYTE MinorLinkerVersion;
DWORD SizeOfCode;
DWORD SizeOfInitializedData;
DWORD SizeOfUninitializedData;
DWORD AddressOfEntryPoint;
DWORD BaseOfCode;
DWORD BaseOfData;
DWORD ImageBase;
DWORD SectionAlignment;
DWORD FileAlignment;
WORD MajorOperatingSystemVersion;
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;
WORD MinorImageVersion;
WORD MajorSubsystemVersion;
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;
DWORD SizeOfImage;
DWORD SizeOfHeaders;
DWORD CheckSum;
WORD Subsystem;
WORD DllCharacteristics;
DWORD SizeOfStackReserve;
DWORD SizeOfStackCommit;
DWORD SizeOfHeapReserve;
DWORD SizeOfHeapCommit;
DWORD LoaderFlags;
DWORD NumberOfRvaAndSizes;
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
这里就不一一翻译了,毕竟这次的实验主要是判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
直接说一下吧
判断是否为PE文件的部分前面说了
这里用于判断为dll还是exe还是其他类型的文件的参数主要是以下两个
一个是
FileHeader里面的Characteristics
FileHeader.Characteristics与IMAGE_FILE_DLL做'&'运算后,若文件是OCX和DLL,此结果为0x2000,与其他格式的PE文件都不同(可以先将OCX和DLL筛选出来)
为什么不与IMAGE_FILE_EXECUTABLE_IMAGE做运算?因为上图红框内也标注了,DLL也是一个executable的文件,所以这里做了运算之后,EXE和DLL两个的结果是相等的,无法正确判断
然后我们就要借助于
刚刚说到的另一个重要的参数
OptionalHeader里面的ImageBase
从定义上可以看出,这个值是文件首选的在内存中加载的地址
DLL的这个值默认为0x10000000
而对于应用EXE来说,它则是0x00400000
所以我们可以通过判断ImageBase的值是否为的值是0x10000000,区分OCX和DLL文件
如果不是DLL或者OCX
直接判断ImageBase的值是否为0x00400000,判断文件是否为EXE
如果都不是,列为其他文件
总结一下:
读取一个文件,如果文件头的值为0x5A4D,则可以判断这是一个PE文件
将文件指针移到PE头的位置,读取这个头部的信息
读取PE头里面的IMAGE_FILE_HEADER 结构体的Characteristics
判断Characteristics与IMAGE_FILE_DLL做'&'运算的结果是否为IMAGE_FILE_DLL
再判断ImageBase的值是否为0x10000000,区分OCX和DLL文件
判断ImageBase的值是否为0x00400000,判断文件是否为EXE
P.S
这里要说一下,实际上,即使同为DLL或者同为EXE程序,每个程序的实际参数都是不一定的,都是可以改变的
比如来自小甲鱼PE详解的这段话:
即使同为EXE文件,是运行在64位还是32位操作系统上,也会使其中参数不一(这里一下想不起来是哪几个参数了)
即使同为DLL文件,他的ImageBase字段也有可能不一致,刚刚也说了,以上实验用作判断的ImageBase的值是“默认”的时候的值
因此,以上的判断方法,仅仅是针对普遍的EXE、DLL和其他PE文件而言
并不能保证正确判断、区分所有的PE文件
但是没有找到一个更好的方法,如果有错误或者可以改进的地方,还希望指出
2.代码实现
这里根据实验04的代码进行了一点修改,依然采取在生成的可执行文件所在的目录下遍历的方式
// EX06.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include "pch.h"
#include<iostream>
#include<Windows.h>
#include<fileapi.h>
#include<tchar.h>
#define OtherPE 3
#define isDLL 2
#define isEXE 1
#define NotPE 0
using namespace std;
int myCheck(char *FilePath)
{
//用于读取IMAGE_DOS_HEADER信息
IMAGE_DOS_HEADER myDosHeader;
HANDLE hFile = CreateFile(
FilePath,
GENERIC_READ,
FILE_SHARE_READ,
NULL,
OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL,
NULL
);
DWORD readSize = 0;
//将信息读入IMAGE_DOS_HEADER
ReadFile(hFile, &myDosHeader, sizeof(myDosHeader), &readSize, NULL);
//判断头部是否为0x5A4D,即MZ
if (myDosHeader.e_magic == 0x5A4D)
{
IMAGE_NT_HEADERS myNtHeaders;
readSize = 0;
//如果是,将指针设置到PE文件头的位置
SetFilePointer(hFile, myDosHeader.e_lfanew, NULL, FILE_BEGIN);
//读取PE文件头
ReadFile(hFile, &myNtHeaders, sizeof(myNtHeaders), &readSize, NULL);
CloseHandle(hFile);
//判断是否为DLL
if ((myNtHeaders.FileHeader.Characteristics & IMAGE_FILE_DLL) == IMAGE_FILE_DLL)
{
if (myNtHeaders.OptionalHeader.ImageBase == 1)//0x10000000
{
return isDLL;
}
return OtherPE;//OCX
}
//判断是否为EXE
else if (myNtHeaders.OptionalHeader.ImageBase == 0x00400000)
{
return isEXE;
}
//其他PE
else
{
return OtherPE;
}
}
CloseHandle(hFile);
return NotPE;
}
int main()
{
WIN32_FIND_DATA stFindFile;
HANDLE hFindFile;
char *szFilter = (char *)"*.*"; // 所有类型的文件
char szCheckFile[MAX_PATH]; // 保存检测的文件的路径
char szSearch[MAX_PATH]; // 保存完整筛选路径
int ret = 0; // 搜索的返回值
char directory[256];//保存目录值
//获取当前目录
GetCurrentDirectory(256, directory);
lstrcpy(szCheckFile, directory);//存入路径中
lstrcat(szCheckFile, "\\");// 添加'\'
lstrcpy(szSearch, directory);//存入路径中
lstrcat(szSearch, "\\");//添加'\'
lstrcat(szSearch, szFilter);//添加过滤条件
hFindFile = FindFirstFile(szSearch, &stFindFile);
if (hFindFile != INVALID_HANDLE_VALUE)
{
do
{
// 组成完整的程序的路径
lstrcat(szCheckFile, stFindFile.cFileName);
//
switch (myCheck(szCheckFile))
{
case isEXE:
cout << stFindFile.cFileName << " is a EXE File" << endl;
break;
case isDLL:
cout << stFindFile.cFileName << " is a DLL File" << endl;
break;
case OtherPE:
cout << stFindFile.cFileName << " is not EXE or DLL but a PE File" << endl;
break;
default:
cout << stFindFile.cFileName << " is not a PE File" << endl;
break;
}
// 重置文件路径
// 这里不重置szCheckFile里的值,接下来会出错
lstrcpy(szCheckFile, directory);
lstrcat(szCheckFile, "\\");
ret = FindNextFile(hFindFile, &stFindFile);
} while (ret != 0);
}
FindClose(hFindFile);
system("pause");
return 0;
}
3.实验结果
测试文件夹如下:
从系统目录随便复制了几个PE文件,和随便选择了几个其他格式文件
结果如下: