ping.exe十六进制源码分析.ppt

1、PING.EXEPING.EXE十六进制源码分析十六进制源码分析冉光宇（20124664）时间：2014年1月8日ping.exe在存储空间的结构分析：ping.exe十六进制源码示例如下：ping.exe十六进制源码整体结构表1 ping.exe源码结构序号结构名称起始偏移长度 意义1DOS残余头0000h0040hDOS文件头结构数据2DOS文件体0040h0039hDOS执行程序与数据3PE头结点00E8h00F8hPE头结点和可选头结点结构数据4PE文件段表01E0h0074hPE文件3个段表数据ping.exe十六进制源码示例DOS文件头如下：根据DOS EXE文件头结构体定义算出其

2、大小struct DOSEXEHEAD_t；ping.exe十六进制源码示例DOS文件体如下：DOS文件体由执行代码和数据部分构成执行代码0B49:00000EPUSHCS0B49:00011FPOPDS0B49:0002BA0E00MOVDX,000E0B49:0005B409MOVAH,090B49:0007CD21INT210B49:0009B8014CMOVAX,4C010B49:000CCD21INT213.2数据部分0B49:00005468Th0B49:001069732070726F6772-616D2063616E6E6Fisprogramcanno0B49:00207420

3、62652072756E-20696E20444F5320tberuninDOS0B49:00306D6F64652E0D0D0A-24mode.$ping.exe十六进制源码示例DOS文件体如下：DOS文件体由执行代码和数据部分构成ping.exe十六进制源码示例PE头结点结构定义如下：typedef struct _IMAGE_FILE_HEADER USHORT Machine;USHORT NumberOfSections;ULONG TimeDateStamp;ULONG PointerToSymbolTable;ULONG NumberOfSymbols;USHORT SizeOf

4、OptionalHeader;USHORT Characteristics;IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;由此可计算出其长度ping.exe十六进制源码示例PE头结点结构如下：ping.exe十六进制源码示例表2 PE头结点结构解析偏移长度值意义英文标签0000h0004h50 45 00 00文件标志值PEPE Sign0004h0002h4C 01适合Intel 80386及以上处理器运行Machine,i3860006h0002h04 00PE头后段表的尺寸Number Of Sections0008h0004h64 C9 5B 4A创建时间

5、 2009714-07：55：16Time Dta Stamp000Ch0004h00 00 00 00通用对象文件格式符号表在文件中的偏移Pointer To Symbol Table0010h0004h00 00 00 00 符号表数量Size Of Optional Header0014h0002hE0 00可选头大小Size Of Optional Header0016h0002h0F 01系列标志值的集合Characteristicsping.exe十六进制源码示例下面的标准域，附加域，以下面的标准域，附加域，以及数据目录、段表以此类推，及数据目录、段表以此类推，根据其所定义的结构体

6、计算根据其所定义的结构体计算其长度即可。其长度即可。ping.exe十六进制源码示例标准域与附加域：ping.exe十六进制源码示例表3 PE可选头标准域数据解析 偏移长度值意义0000h002h0B 01可执行文件 PE320002h001h09此映像主链接器版本0003h004h00此映像次链接器版本0004h004h00 28 00 00可执行代码的长度0008h004h00 26 00 00Data segment的长度000Ch004h00 00 00 00Bss segment的长度0010h004hA7 2A 00 00映像文件的起始地址0014h004h00 10 00 00代

7、码（“.text”段）的相对偏移地址0018h004h00 40 00 00未初始化数据（“.bss”段）的相对偏移地址ping.exe十六进制源码示例表4 PE可选头部附加数据解析 偏移长度值意义0000h0004h00 00 00 01Window exe文件地址空间首选基地址0004h0004h00 10 00 00装载时段能够占据的最小空间数量0008h0004h00 02 00 00映像文件首先装的最小的信息块间隔000Ch0002h06 00操作系统的主版本号000Eh0002h01 00操作系统的次版本号0010h0002h06 00应用程序的主版本号0012h0002h01 0

8、0应用程序的次版本号0014h0002h06 00子系统的主版本号0016h0002h01 00子系统的次版本号0018h0004h00 00 00 00WIN32版本值001Ch0004h00 80 00 00映像文件将使用的内存空间大小。0020h0004h00 04 00 00文件头数据长度ping.exe十六进制源码示例0024h0004hB9 7B 00 00效验和0028h0002h03 00标识可执行文件目标子系统，WIN32 Console002Ah0002h40 81一个DLL映像是否为进程和线程的初始化及终止包含入口点的标记002Ch0004h00 00 04 00栈空间的

9、保留值0030h0004h00 20 00 00栈空间的申请值0034h0004h00 00 10 00堆空间的保留值0038h0004h00 10 00 00堆空间的申请值003Ch0004h00 00 00 00加载标志0040h0004h10 00 00 00标志接下来的DataDirectory数组0044h不定不确定数据目录表示文件中其它可执行信息重要组成部分的位置。ping.exe十六进制源码示例数据目录：ping.exe十六进制源码示例表5 数据目录数据解析 偏移长度值意义与可能的段命令0000h0004h00 00 00 000号数据目录Export Table相对虚拟地址00

10、04h0004h00 00 00 000号数据目录长度0008h0004hB4 30 00 001号数据目录Import Table相对虚拟地址000Ch0004hA0 00 00 001号数据目录长度0010h0004h00 60 00 002号数据目录Resource Table相对虚拟地址0014h0004h18 08 00 002号数据目录长度0018h0004h00 00 00 003号数据目录Exception Table相对虚拟地址001Ch0004h00 00 00 003号数据目录长度0020h0004h00 00 00 004号数据目录Certificate Table相对

11、虚拟0024h0004h00 00 00 004号数据目录长度0028h0004h00 70 00 005号数据目录Relocation Table相对虚拟地址002Ch0004h20 02 00 005号数据目录长度0030h0004h30 11 00 006号数据目录Debug Data相对虚拟地址ping.exe十六进制源码示例0034h0004h1C 00 00 006号数据目录长度0038h0004h00 00 00 007号数据目录Architecture-specific data相对虚拟地址003Ch0004h00 00 00 007号数据目录长度0040h0004h00 00

12、 00 008号数据目录Machine Value(MIPS GP)相对虚拟地址0044h0004h00 00 00 008号数据目录长度0048h0004h00 00 00 009号数据目录TLS Table相对虚拟地址004Ch0004h00 00 00 009号数据目录长度0050h0004hA8 11 00 0010号数据目录Load Configuration Table相对虚拟地址0054h0004h40 00 00 0010号数据目录长度ping.exe十六进制源码示例0058h0004h80 02 00 0011号数据目录Bound Import Table相对虚拟地址005C

13、h0004h94 00 00 0011号数据目录长度0060h0004h00 10 00 0012号数据目录 Import Address Table相对虚拟地址0064h0004h08 01 00 0012号数据目录长度0068h0004h00 00 00 0013号数据目录Delay Import Descriptor相对虚拟地址006Ch0004h00 00 00 0013号数据目录长度0070h0004h00 00 00 0014号数据目录COM+Runtime Header相对虚拟地址0074h0004h00 00 00 0014号数据目录长度0078h0004h00 00 00 0

14、015号数据目录Reserved相对虚拟地址007Ch0004h00 00 00 0015号数据目录长度ping.exe十六进制源码示例段表：ping.exe十六进制源码示例表6 段表结构 入口表偏移字节数意义英文标签0000h08h逻辑分段的段名串SECTION NAME0008h04h本段实际占用字节数VirtualSize000Ch04h本段进入内存后的内存地址偏移VirtualAddress0010h 04h本段分配的字节数SizeOfRawData0014h 04h本段在文件中的逻辑地址偏移PointerToRelocations0018h04h保留，00000000hPointer

15、ToLinenumbers001Ch04h保留，00000000hNumberOfRelocations001Eh02h保留，0000hNumberOfRelocations0020h02h保留，0000hNumberOfLinenubers0024h04h本段加载标志值Characteristicsping.exe十六进制源码示例表7 段表数据解析 偏移名称长度值 意义0000.text08h2E 74 65 78 74 00 00 00逻辑分段的段名串000804h72 26 00 00本段实际占用的字节数000C04h00 10 00 00本段进入内存后的地址偏移001004h00 28

16、 00 00本段分配的字节数001404h00 04 00 00本段在文件中的逻辑地址偏移001804h00 00 00 00保留，00000000h001C04h00 00 00 00保留，00000000h002004h00 00 00 00保留，00000000h002404h20 00 00 60本段加载标志值ping.exe十六进制源码示例0028.data08h2E 64 61 74 61 00 00 00逻辑分段的段名串0030 04hA0 16 00 00本段实际占用的字节数0034 04h00 40 00 00本段进入内存后的地址偏移0038 04h00 02 00 00 本段分配的字节数003C 04h00 2C 00 00本段在文件中的逻辑地址偏移0040 04h00 00 00 00保留，00000000h0044 04h00 00 00 00保留，00000000h0048 04h00 00 00 00保留，00000000h004C 04h40 00 00 C0本段加载标志值ping.exe十六进制源码示例0050.rsrc08h2E 72 73 72 63