PE文件的基本结构图

• 第一个字段4D 5A被定义成字符“MZ”作为识别标志，后面的一些字段指明了入口地址、堆栈位置和重定位表位置等。
• 对于PE文件来说，有用的是最后的e_lfanew字段，这个字段指出了真正的PE文件头在文件中的位置，这个位置总是以8字节为单位对齐的。
  

判断是否是PE文件

1.使用Winhex工具，从文件头4D 5A（MZ）开始，跳转3C（即偏移3C）；
2.跳转后可读取到数据为0000 00B0；
3.再跳转到地址0000 00B0；
4.若该地址数据为50 45（即PE）就为PE文件。

导入表

导入表结构:

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            
        DWORD   OriginalFirstThunk; // 指向 导入名称表INT（ImportNameTable）的RVA
    } DUMMYUNIONNAME;
    DWORD   TimeDateStamp;                  
    DWORD   ForwarderChain;                 
    DWORD   Name;                   // 指向 DLL名称的地址 RVA
    DWORD   FirstThunk;             // 指向 导入地址表IAT（ImportAddressTable）的RVA
} IMAGE_IMPORT_DESCRIPTOR;
typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

导入表&桥1&桥2位置

注意！WinHex右往左读
如：
读值：2084
使用软件：PEditor、WinHex
1.WinHex打开，PE头偏移80H得到导入表的RVA。
2.根据节表（可用PEditor查看）,将RVA转成FOA,WinHex跳转该FOA得到一串20个字节描述的一个dll文件，如下图蓝色部分。
FOA=（RVA-Virtual Offset)+Raw Offset

节表结构
如：

3.第一个字节为桥1的RVA,计算其FOA并跳转得到桥1的数组，每四个字节为一组，到四个字节均为00结束。每一组的FOA跳转得到对应函数。
4.第四个字节，计算其FOA跳转得到winresult.dd.
5.第五个字节为桥2RVA，计算其FOA并跳转得到静态指向桥2的数组。
注意！桥2动态和静态指向数组不一样
动态时桥2组数里是user32.dll的函数地址，所以指向桥2的地址会是

导出表

导出表结构：

typedef struct _IMAGE_EXPORT_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Name;
    DWORD   Base;
    DWORD   NumberOfFunctions;
    DWORD   NumberOfNames;
    DWORD   AddressOfFunctions;     // RVA from base of image
    DWORD   AddressOfNames;         // RVA from base of image
    DWORD   AddressOfNameOrdinals;  // RVA from base of image
} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

导出表位置

软件：WinHex
1.PE偏移78H，得到导出表RVA。
2.根据节表将RVA转成FOA，并跳转该FOA。
3.从这开始对应导出表的数据结构写出对应名称的数值。
其中Address of Functions要计算FOA，跳转得到该值为第一个导出函数RVA，依次往下分别为其余三个函数地址的RVA值，再转FOA跳转得到函数名。
Address of NameOrdinal与Address of Functions方式相同。

实现两种方式的导出函数覆盖

达到.exe以动画打开效果

（修改导出结构中函数入口地址）
1.先找到两个函数FadeInOpen和AnimatOpen的入口地址；
2.将两个地址进行交换（exe文件想要调用FadeInOpen时实际是调用了AnimateOpen)

使.exe运行会弹出messagebox

(覆盖fadeinopen函数的指令代码)
1.在winhex找到fadeinopen的地址从那里开始修改
2.保存原始栈基地址
3.维持栈平衡的返回命令
4.到OD单步执行user32.messageboxA看缓冲区的地址，将其地址覆盖到该函数最好四个字节。

练习题

1.某变量的FOA为410H，试分析其位于哪一节（给出分析过程。）？该变量的RVA为多少（给出计算过程）？
由节表可知，.text的起始为00000400，大小为00000200；所以变量的FOA为410H属于.text节；
因为400<410<600
RVA = (410-400)+1000=1100H
2.查阅资料，简述病毒获取Kernel32模块基地址的重要性
答：获取了kernel32.dll基址后就可以获取LoadLibrary()和GetProcAddress()的地址，有了它们之后我们就不用大费周章的去找API了。使用Kernel32.DLL中的LoadLibrary 和GetProcAddress 两个API可以获取任意DLL中导出的任意函数在进程空间中的位置即可进行入侵。
3.利用PEditor打开firstwindow.exe，分析该PE的导入表。该PE文件描述导入表的数据目录项的偏移是多少？导入表的VA和大小分别是多少？该EXE用到多少个DLL文件。验证与PEditor中查看到的是否一致？

导入表的数据目录项的偏移是:80H;
导入表的VA和大小分别是:00402084（RVA是2084；基址是00400000；VA=RVA+基址），大小FOA=RVA-virtual offest+Raw offest=684;跳到FOA（文件偏移处）可以看见；
该EXE用到3个DLL文件，因为在winhex打开找到导入表对应数组时连续3个20个字节才到全为0的20字节。

对比PEditor:一致！
4.利用Winhex查看Winresult.DLL 并分析其提供函数的名字及对应入口地址。画出导出表结构图（类似图2）

分析：

导出表：
RVA:00002140,Vitual Offset:00002000,Raw Offset:800
因此FOA：940，跳到地址940既是导出表的地址：

标志：00000000
时间日期记录：4D510EEE
Dll的首版本号：0000
Dll的次版本号：0000
Dll的模块名（RVA）：00002190，FOA：990，跳转可得文件名为winresult.dll

基数：00000010
函数的总数：00000004
有名函数的总数：00000004
FAT表RVA值（AddressOfFunctions）：00002168 FOA（968），跳转的得到968地址值为00001183

该值为第一个导出函数RVA，依次往下分别为其余三个函数地址的RVA值：00001022、00001282、00001323

与Peditor查看到的一致：

FAT表RVA值（AddressOfNames）：00002178 FOA：（978）
跳转到978地址得到地址为0000219E
第一个导出函数RVA值：0000219E，FOA=99E
第二个导出函数RVA值：000021AB，FOA=9AB
第三个导出函数RVA值：000021B7,FOA=9B7
第四个导出函数RVA值：000021C2,FOA=9C2
查看对应文件偏移量处的函数名:

5.pedtior打开本机的kernel32.DLL，其导出表RVA？导出表大小？找到无导入表情况下需要的两个函数的名称及其入口地址。 （本机的kernel32.DLL用winhex存到桌面）

导出表RVA：00092D30导出表大小：0000DC14
在得到kernel32.dll的基地址后，就可以获得LoadLibray（）函数来继续加载其他的动态链接库，再通过GetProcAdress（）函数来获得相应需要的api函数地址,这样也就做到了可移植性的要求。
LoadLibray：

GetProcAddress：

6.实现两种方式的导出函数覆盖-1
修改winResult.dll导出结构中的函数入口地址，达到firstwindow.EXE以动画方式打开的效果。描述你所做的工作。
1.先找到两个函数FadeInOpen和AnimateOpen的入口地址：00001022和0001282

2.将两个地址进行交换（exe文件想要调用FadeInOpen时实际是调用了AnimateOpen）

7.实现两种方式的导出函数覆盖-2 （P166）
覆盖fadeinopen函数的指令代码：使得运行firstwindow.EXE程序时会弹出messagebox（OD打开看地址）。如下图所示:
1.Winhex打开winResult.dll，修改函数FadeInOpen（文件起始偏移0x0682）定义部分：保存原始栈基地址、维持栈平衡的返回命令：
原始得：

修改后：

红框部分是messageboxA在user32.dll的地址,可以通过OD打开其他导入了messageboxA的文件查看其所在的地址，例如上次作业的Helloworld.exe，注意在Winhex上使用小端方式！
运行：

以上是学习PE文件的一些笔记，欢迎大家查阅指正~

欢迎使用Markdown编辑器

你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章，了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持，除了标准的Markdown编辑器功能，我们增加了如下几点新功能，帮助你用它写博客：

1. 全新的界面设计 ，将会带来全新的写作体验；
2. 在创作中心设置你喜爱的代码高亮样式，Markdown 将代码片显示选择的高亮样式 进行展示；
3. 增加了 图片拖拽 功能，你可以将本地的图片直接拖拽到编辑区域直接展示；
4. 全新的 KaTeX数学公式 语法；
5. 增加了支持甘特图的mermaid语法¹ 功能；
6. 增加了 多屏幕编辑 Markdown文章功能；
7. 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能，功能按钮位于编辑区域与预览区域中间；
8. 增加了 检查列表 功能。

功能快捷键

撤销：Ctrl/Command + Z
重做：Ctrl/Command + Y
加粗：Ctrl/Command + B
斜体：Ctrl/Command + I
标题：Ctrl/Command + Shift + H
无序列表：Ctrl/Command + Shift + U
有序列表：Ctrl/Command + Shift + O
检查列表：Ctrl/Command + Shift + C
插入代码：Ctrl/Command + Shift + K
插入链接：Ctrl/Command + Shift + L
插入图片：Ctrl/Command + Shift + G
查找：Ctrl/Command + F
替换：Ctrl/Command + G

合理的创建标题，有助于目录的生成

直接输入1次#，并按下space后，将生成1级标题。
输入2次#，并按下space后，将生成2级标题。
以此类推，我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H₂O is是液体。

2¹⁰ 运算结果是 1024.

插入链接与图片

链接: link.

图片:

带尺寸的图片:

居中的图片:

居中并且带尺寸的图片:

当然，我们为了让用户更加便捷，我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

去博客设置页面，选择一款你喜欢的代码片高亮样式，下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

• 项目
  • 项目
    • 项目

1. 项目1
2. 项目2
3. 项目3

• 计划任务
• 完成任务

创建一个表格

一个简单的表格是这么创建的：

项目	Value
电脑	$1600
手机	$12
导管	$1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列	第二列	第三列
第一列文本居中	第二列文本居右	第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如：

TYPE	ASCII	HTML
Single backticks	'Isn't this fun?'	‘Isn’t this fun?’
Quotes	"Isn't this fun?"	“Isn’t this fun?”
Dashes	-- is en-dash, --- is em-dash	– is en-dash, — is em-dash

创建一个自定义列表

Markdown

Text-to- HTML conversion tool

Authors

John

Luke

如何创建一个注脚

一个具有注脚的文本。²

注释也是必不可少的

Markdown将文本转换为 HTML。

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 $\Gamma (n)=(n-1)!\forall n\in \mathbb{N}$ 是通过欧拉积分

$$\Gamma (z)={\int }_0^{\infty }{t}^{z-1}{e}^{-t}dt.$$

你可以找到更多关于的信息 LaTeX 数学表达式here.

新的甘特图功能，丰富你的文章

• 关于 甘特图 语法，参考 这儿,

UML 图表

可以使用UML图表进行渲染。 Mermaid. 例如下面产生的一个序列图：

这将产生一个流程图。:

• 关于 Mermaid 语法，参考 这儿,

FLowchart流程图

我们依旧会支持flowchart的流程图：

• 关于 Flowchart流程图 语法，参考 这儿.

导出与导入

导出

如果你想尝试使用此编辑器, 你可以在此篇文章任意编辑。当你完成了一篇文章的写作, 在上方工具栏找到 文章导出 ，生成一个.md文件或者.html文件进行本地保存。

导入

如果你想加载一篇你写过的.md文件，在上方工具栏可以选择导入功能进行对应扩展名的文件导入，
继续你的创作。

---

1. mermaid语法说明 ↩︎

2. 注脚的解释 ↩︎

一、将预封装模块设置为顶层

二、编辑I/O Buffer

Tool —> Settings

Options中将-faltten_hierarchy保持默认的rebuilt，试过其他教程推荐的full（意思是模块综合后的层级结构全部为平层，只剩下顶层）导致生成的edif文件识别失败。

因为Vivado在综合时会自动将顶层的I/O口插入buffer，设置-mode out_of_context属性，表示在该级不插入任何I/O buffer。

 三、综合并导出网表文件

注意在综合前，应该将约束文件中涉及到debug的内容删掉，否则很容易出现ila报错。

综合过后，点开“Open Synthesized Design”，在TCL控制台输入命令：

（1）导出空壳引脚描述文件，输出文件名跟顶层名一致。

  write_verilog -mode synth_stub E: /dac_test.v

若需要调用仿真，则改为以下命令：

 write_verilog -mode funcsim E: /dac_test.v

  (2) 导出综合后的网表文件。

        ① 不含Xilinx IP

        write_edif E: /dac_test.edf

        ② 包含Xilinx IP

        write_edif -security_mode all E: /dac_test.edf

 四、导入网表文件

将封装模块文件删除，再将步骤三生成的.V和.edf文件导入，若生成网表文件时多出.edn文件，则.edn文件需要一并添入。

 五、注意事项

（1）在步骤四中若不新建工程，在原工程文件中导入.V和.edf文件，则需要将步骤二的setting改为原来默认值，否则生成Bit文件报错；

（2）因为调用edf文件时parameter参数无法配置，顶层调用需要去掉这些宏定义，生产的时候注意配置parameter为最终需要使用的，否则模块不能正常工作。