PE文件结构2 RAV 输入表与输出表 基址重定位 安全分析与恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析

在PE（Portable Executable）文件中，“区块”、"文件偏移"和"RVA（Relative Virtual Address）"是重要的概念，特别是在文件分析和逆向工程中。理解这些概念以及它们之间的转换非常重要。

区块（Section）

• PE文件被划分为多个区块，每个区块有特定的用途，如代码、数据、资源等。
• 每个区块在文件中有其对应的位置和大小，这些信息存储在节表中。

文件偏移（File Offset）

• 文件偏移是指数据在文件中的物理位置。
• 它是从文件开始到目标数据开始的字节偏移量。
• 用于直接从文件中读取数据。

相对虚拟地址（Relative Virtual Address, RVA）

• RVA是指数据在内存中加载后相对于映像基址的地址。
• 它用于运行时访问数据和代码。
• PE文件加载到内存时，操作系统根据映像基址和RVA计算实际的内存地址。

文件偏移与RVA的转换

由于PE文件在磁盘上和内存中的布局不同，因此需要在文件偏移和RVA之间进行转换。这种转换通常涉及以下步骤：

1. 从RVA到文件偏移：

   • 确定包含目标RVA的区块。
   • 使用区块的RVA和文件偏移信息（在节表中找到）来计算文件偏移。
   • 计算公式：文件偏移 = RVA - 区块的RVA + 区块的文件偏移。

2. 从文件偏移到RVA：

   • 确定包含目标文件偏移的区块。
   • 使用区块的文件偏移和RVA信息来计算RVA。
   • 计算公式：RVA = 文件偏移 - 区块的文件偏移 + 区块的RVA。

这些转换在分析PE文件时非常重要，特别是在处理重定位、导入/导出表和调试信息时。工具如IDA Pro、PE Explorer等提供了这种转换的自动化功能，帮助用户更轻松地理解和分析PE文件。

输入表

输入函数，表示被程序调用但是它的代码不在程序代码中而在dll中的函数。这些函数在磁盘上的可执行文件只是保留相关的函数信息，如函数名，dll文件名等。在程序运行前，程序是没有保存这些函数在内存中的地址。当程序运行起来时，windows加载器会把相关的dll装入内存，并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表（导入表）就是用来保存这些函数的信息的。

在PE（Portable Executable）文件格式中，输入表（Import Table）是一个重要的组成部分。输入表用于存储外部函数或变量的引用信息，这些函数或变量通常来自于动态链接库（DLL）。这一机制使得程序能够在运行时调用不包含在其自身代码段内的函数。

输入表的结构和功能

1. 结构：

   • 输入表由一个或多个输入描述符（Import Descriptor）组成，每个描述符对应一个DLL。
   • 每个输入描述符包含以下重要字段：
     • Original First Thunk（有时称为INT，Import Name Table）：指向一个数组，数组中的每个元素都是指向函数名或序号的指针。
     • Name：指向DLL名称的指针。
     • First Thunk（有时称为IAT，Import Address Table）：运行时被填充为实际的函数地址。

2. 功能：

   • 当程序启动时，加载器会读取输入表，并为每个引用的DLL加载相应的模块。
   • 加载器然后解析DLL中的每个函数或变量的地址，并将这些地址填充到IAT中。
   • 程序在运行时通过IAT调用外部函数，这意味着程序实际上是通过IAT中的地址来调用函数。

输入表的重要性

• 模块化：输入表使得程序能够使用模块化的方式加载和调用外部代码，提高了代码的重用性和程序的组织性。
• 优化：通过使用输入表，程序只需包含需要的函数引用，而不是整个外部库的代码，这有助于减少程序的总体大小。
• 动态链接：输入表是实现动态链接的关键机制，使得程序能夠在运行时加载和链接所需的DLL，从而支持更加灵活和高效的资源管理。

分析和修改输入表

• 在逆向工程和软件分析中，分析输入表可以帮助理解程序的依赖关系以及它如何与外部库交互。
• 修改输入表可以用于更改程序的行为，例如通过重定向函数调用来注入代码或进行调试。

工具如IDA Pro、PE Explorer等可以用于查看和分析PE文件的输入表，它们提供了对输入表结构的直观展示和编辑功能。

输出表

一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址， PE装载器通过输出表来修改IAT。

在PE（Portable Executable）文件格式中，导出表（Export Table）是另一个重要的组成部分，特别是对于动态链接库（DLL）。导出表使得DLL能够提供函数或变量给其他模块（如可执行文件或其他DLL）使用。简而言之，导出表定义了一个模块可以被外部访问的符号（即函数或变量）。

导出表的结构和功能

1. 结构：

   • 导出表由导出目录表（Export Directory Table）和三个主要数组组成：
     • 导出名称指针数组（Address of Names）：包含导出函数名的指针。
     • 导出序号数组（Address of Name Ordinals）：包含函数序号。
     • 导出地址表（Address of Functions）：包含函数的实际地址。

2. 功能：

   • 当其他模块（如可执行文件）需要调用DLL中的函数时，它们通过导出表中的信息来定位这些函数。
   • 可以通过函数名或序号来查找特定的函数地址。
   • 加载器根据导出表解析出函数的实际地址，以便其他模块能够正确地调用这些函数。

导出表的重要性

• 共享代码：导出表允许DLL共享其函数和变量，使得代码重用变得可能，减少了冗余。
• 模块间通信：通过导出表，不同的模块可以相互通信和交互，这对于建立复杂的应用程序至关重要。
• 动态链接：导出表是实现动态链接的关键，它允许在运行时动态地链接到所需的函数，而不是静态地在编译时确定。

分析和修改导出表

• 在逆向工程和软件分析中，分析导出表可以帮助确定DLL提供了哪些功能。
• 修改导出表可以改变模块的行为，例如通过改变导出的函数来影响依赖于这些函数的程序。

分析工具如IDA Pro、PE Explorer等可以用于查看和分析PE文件的导出表。这些工具提供了对导出表结构的直观展示，有助于理解DLL的功能和用途。

基址重定位

基址重定位（Base Relocation）是PE（Portable Executable）文件中一个重要的概念，特别是在动态链接库（DLL）和可执行文件（EXE）的加载和执行过程中。重定位处理的目的是确保程序能够在内存中的任意位置正确地执行。

什么是基址重定位？

当一个PE文件（如DLL或EXE）被加载到内存时，它通常被加载到一个预定义的基址（Base Address）。然而，如果该地址已经被占用，或者由于地址空间布局随机化（ASLR）的原因，操作系统可能会将文件加载到不同的地址。这时，文件中所有基于绝对地址的引用都必须调整，以反映新的加载地址。这个调整过程就是基址重定位。

重定位表的结构

• 重定位表：PE文件中包含一个或多个重定位表，用于存储重定位信息。每个表对应于文件的一个区块（Section）。
• 重定位条目：每个表由多个重定位条目组成。每个条目指定了一个需要修改的偏移量，以及如何修改它。

如何进行重定位

• 当PE文件加载到与其预定义的基址不同的地址时，加载器会遍历重定位表。
• 对于表中的每个条目，加载器会计算新的地址，并修改相应的内存位置以反映这个新地址。
• 这种修改通常涉及到将原始偏移量加上基址之间的差值。

重定位的重要性

• 灵活性：重定位使得PE文件能够在内存中的任何位置运行，增加了加载程序的灵活性。
• 安全性：与地址空间布局随机化（ASLR）结合使用时，基址重定位增加了系统的安全性，因为它使得预测程序在内存中的位置变得更加困难。

注意事项

• 性能开销：重定位过程会带来一定的性能开销，尤其是在有大量重定位条目的情况下。
• 固定基址：有些程序可能会请求固定的基址，这意味着它们不能被加载到其他地址。这在某些特定情况下是必要的，但会失去重定位带来的灵活性和安全性优势。

分析工具，如IDA Pro和PE Explorer，可以用来查看PE文件的重定位表，帮助开发者和安全研究人员理解和处理与基址重定位相关的问题。

相关来源：https://blog.csdn.net/billvsme/article/details/39735823