slinkinone Sep 14 2015 at 15:33

PE (Portable Executable): На странных берегах

18 min

150K

Assembler*Development for Windows*

From sandbox

+27

Comments 22

EvilsInterrupt Sep 14 2015 at 15:40

А чем Ваш мануал лучше того что написано на wasm.ru?

slinkinone Sep 14 2015 at 15:47

При подаче материала я попытался объяснить всё более нагялядно, посредством абстраций, диаграмм и схем. Мне кажется, для первого знакомства как раз такая манера изложнения будет наиболее удачной, т.к. формирует в голове своего рода «картинку», которую легче воспринимать.

EvilsInterrupt Sep 14 2015 at 15:54

Я думаю Вам нужно озвучить это. Потому что информации про PE формат более чем достаточно.

slinkinone Sep 14 2015 at 16:21

Добавил в описание пометку о характере статьи.

CodeRush Sep 14 2015 at 16:27

Если из статьи слить воду и убрать «Сомалийские острова», ее можно сократить примерно втрое.
Кому действительно нужно писать свой парсер PE32 — обратите внимание на открытую реализацию в radare2.

+12

MacIn Sep 14 2015 at 18:22

x86 же.

slinkinone Sep 14 2015 at 20:43

Спасибо, исправил.

artem_kovardin Sep 14 2015 at 18:50

А есть что-то похожее, только для elf?

slinkinone Sep 14 2015 at 20:46

Пока нет.

Ununtrium Sep 14 2015 at 19:00

Для не-системщиков материал интересный, но ощущение что написан для детей.

Wedmer Sep 16 2015 at 06:03

Через игру большая часть материала лучше усваивается.

Koval97 Jan 23 2022 at 21:22

Согласен. Тут сам Бог велел писать несколько серьёзных глав, учитывая что читатель определенно подкован. Оправдываться представлянием о неком "среднестатистическом читателе" - чистое лицемерие в данном случае.

bolk Sep 14 2015 at 19:42

Если данная сигнатура не равна MZ, то файл не загрузится.

Во времена DOS работала так же сигнатура ZM. Не знаю, работает ли одна до сих пор.

morgot Jan 26 2022 at 00:15

Нет, винда не даст такое запустить. Проверил на ХР-10.

Точно такое было? Может речь о проверке сигнатуры на 'ZM' ? для оптимизации часто делают что-то вида CMP WORD PTR [Тут адрес дос хидера], 'ZM' (т.к. ворды в памяти хранятся перевернутыми).

bolk Jan 26 2022 at 09:36

Точно, вот, посмотрите: https://ru.wikipedia.org/wiki/MZ_(формат)

morgot Jan 26 2022 at 18:59

Спасибо, не знал.

В любом случае, на всей линейке NT (современной) это уже убрали.

Bombus Sep 14 2015 at 21:13

Кажется не хватает про Relocation table.

TrueBers Sep 14 2015 at 23:28

Вместо тысячи слов...

+16

Deamhan Sep 21 2015 at 14:35

На самом деле статья описывает «идеальные» PE, точно соответствующие документации от MS. В «живой природе» обитает множество PE-шников, этой документации соответствующих лишь частично, но при этом работоспособных. Наиболее распространённый пример: OriginalFirstThunk == NULL (результат упаковки UPX-ом). Подобные случаи, пожалуй, наиболее интересны.

fsmoke Jun 25 2018 at 13:17

Сейчас читаю эту статью (освежить память по PE) — нашел ошибки.

TimeDateStamp: WORD — число хранящее дату и время создания файла.
PointerToSymbolTable: DWORD — смещение (RAW) до таблицы символов, а SizeOfOptionalHeader — это размер данной таблицы. Данная таблица призвана служить для хранения отладочной информации, но отряд не заметил потери бойца с самого начала службы. Чаще всего это поле зачищается нулями.
SIzeOfOptionHeader: WORD — размер опционального заголовка (что следует сразу за текущим) В документации указано, что для объектного файла он устанавливается в 0…

Очевидно вместо первого вхождения SizeOfOptionalHeader должно быть NumberOfSymbols, а второе вхождение — дык вообще с опечатками: заменить «SIzeOfOptionHeader» на SizeOfOptionalHeader.

Это происходит из-за размера выравнивания. 0x28 “не дотягивает” до 0x50 и как следствие, будет выгружена секция, а остальное пространство в размере 0x50-0x28 занулится. А если размер секции был бы больше размера выравнивания, то что? Например sectionSize = 0x78, а sectionAligment = 0x50, т.е. остался без изменений. В таком случае, секция занимала бы в памяти 0xA0 (0xA0 = 0x28 * 0x04) байт.

Какие 0x28 * 0x04 — очевидно же что 0x50 * 2 — выравнивание на то и выравнивание, что фиксирован размер блока и если 0x78 не влезает в 0x50 — процедура вычисления будет выглядеть на сишечке примерно (0x78 / 0x50 + 1) * 0x50. Откуда здесь всплыло 0x28 из первого примера неясно. Ошибка вводящая в заблуждение по поводу выравнивания имхо(особенно для неокрепших).

Дальше читаю. Если найду ещё — напишу…

fsmoke Jun 25 2018 at 14:47

RVA >= sectionVitualAddress && RVA < ALIGN_UP(sectionVirtualSize, sectionAligment)

опечатки

fsmoke Jun 25 2018 at 20:28

Внимание! Если вы взяли к примеру 2-ой элемент в таблице ординалов, это не значит 2 — это ординал для таблиц имён и адресов. Индексом является значение, хранящееся во втором элементе массива ординалов.

Вот это вообще непонятно что — в массиве ординалов хранятся ординалы, а не индексы! И ординал, который лежит в по индексу 2 будет однозначно соответствовать фции, которая лежит по индексу 2 с именем, которое лежит по индексу 2.

Количество значений в таблицах имён (NumberOfNames) и ординалов равны и не всегда совпадают с количеством элементов в таблице адресов (NumberOfFunctions).

Исходя из документации, которую Вы же и указали оно всегда совпадает…

DWORD NumberOfNames
The number of elements in the AddressOfNames array. This value seems always to be identical to the NumberOfFunctions field, and so is the number of exported functions.

И вот ещё:

To find all the information about the fourth function, you need to look up the fourth element in each array.

Show the best of all time