摘要：
詳細(xì)介紹PE文件格式，包含文件頭、節(jié)表、節(jié)、資源目錄、資源等等。研究如何用程序?qū)Ω鞑糠值膬?nèi)容進(jìn)行讀取分析顯示，甚至對(duì)原PE文件的內(nèi)容進(jìn)行可行的修改、導(dǎo)入導(dǎo)出等功能。并實(shí)現(xiàn)對(duì)分析結(jié)果的文本導(dǎo)出保存。
此軟件使用DELPHI在Windows系統(tǒng)下開發(fā)完成。


ABSTRACT:
The PE ("portable executable") file format is the format of executable binaries (DLLs and programs) for MS windows NT, windows 95 and win32s; This article introduced the PE format,include DOS ”MZ” Header, Dos stub, NT Header,Section Table,Section,Resource directory,Resource,etc.Study how to read all parts of PE format files and displayed it in our program,even do some change to that PE format file and rewrite into it,also can read out one part of it and save it as another file,Study how to put a TXT file for the result.
This software named Pedump was programed by Delphi,run in windows.

目 錄
第一章 問題定義 …………………………………………………………1
第一節(jié) PE格式簡(jiǎn)要介紹 ……………………………………………… 1
第二節(jié) PE格式分析器開發(fā)意義 ……………………………… 15
第三節(jié) PE格式分析器開發(fā)目標(biāo) ……………………………… 16
第二章 系統(tǒng)可行性分析 ……………………………………….. 17
第一節(jié) 可行性研究 …………………………………………………….…. 17
第二節(jié) 系統(tǒng)基本模型 …………………………………………………… 18
第三節(jié) 數(shù)據(jù)流圖 ……………………………………………………………. 19
第四節(jié) 數(shù)據(jù)字典 ……………………………………………………………. 19
第三章 需求分析 ……………………………………………………… 23
第一節(jié) 系統(tǒng)需求分析 …………………………………………………… 23
第二節(jié) 目標(biāo)確定 ……………………………………………………………. 24
第三節(jié) 設(shè)計(jì)思想和性能設(shè)計(jì) ……………………………………. 25
第四章 系統(tǒng)總體分析 ……………………………………………. 26
第一節(jié) 選擇合理的方案 …………………………………………….. 26
第二節(jié) 系統(tǒng)功能分解 ………………………………………………….. 27
第三節(jié) 資源數(shù)據(jù)導(dǎo)出導(dǎo)入的分析設(shè)計(jì) …………………. 27
第四節(jié) 文本結(jié)果導(dǎo)出的分析設(shè)計(jì) …………………………… 28
第五章 系統(tǒng)程序設(shè)計(jì) ……………………………………………. 29
第一節(jié) 分析模塊的實(shí)現(xiàn) …………………………………………….. 29
第二節(jié) 基本信息顯示模塊的實(shí)現(xiàn) ………………………….. 29
第三節(jié) 資源數(shù)據(jù)導(dǎo)出導(dǎo)入模塊的實(shí)現(xiàn) ……………….… 42
第四節(jié) 文本結(jié)果導(dǎo)出模塊的實(shí)現(xiàn) …………………………… 46
第六章 運(yùn)行結(jié)果及界面 ………………………………………. 48
第七章 總結(jié) ………………………………………………………………. 51
附錄一 參考文獻(xiàn) ……………………………………………………… 52
附錄二 文件分析文本結(jié)果事例 …………………………. 53

第一章 問題定義
對(duì)于一個(gè)程序員或電腦使用者，總要和PE文件打交道，PE文件是 Win32環(huán)境自身所帶的可執(zhí)行文件格式，它的一些特性繼承自Unix的COFF(Common Object File Format)文件格式。PE即Portable Executable(可移植執(zhí)行)的縮寫，意味著此文件格式是跨Win32平臺(tái)的：即使Windows運(yùn)行在非Intel的CPU上，PE裝載器都能識(shí)別和使用該文件格式。我們平時(shí)在Windows下使用的.exe文件就是典型的PE類型文件，當(dāng)然PE文件還包含了例如32位的.DLL等任何可在Win32環(huán)境下執(zhí)行的文件，很多時(shí)候我們需要對(duì)自己或者已有的PE文件作一個(gè)分析，以便改進(jìn)或者研究，由于PE文件是計(jì)算機(jī)中最重要，最常用的文件，因而學(xué)習(xí)，了解PE文件格式對(duì)于我們不無裨益。
第一節(jié) PE格式簡(jiǎn)要分析
PE文件格式主要由微軟制定，此格式基本已成為Windows下可執(zhí)行文件的標(biāo)準(zhǔn)格式，一個(gè)標(biāo)準(zhǔn)的PE文件包含了很多部分，每部分都有自己的結(jié)構(gòu)，它的主要組成如表1.1.1：
英文標(biāo)示 說明
DOS MZ Header DOS文件頭
Dos stub
Signature PE文件頭，
包含數(shù)據(jù)目錄
File header
Optional header
Section Table 節(jié)表
Sections 節(jié)
Resource Directory 資源目錄
表1.1.1
以下我將對(duì)以上幾個(gè)部分分別介紹，由于資料有限，每部分不可能說得非常詳細(xì)，只是每部分的介紹都加上了我的一些研究心得，這將為后章的PEDUMP文件分析器的實(shí)現(xiàn)打下基礎(chǔ)。
1.1 DOS文件頭
所有PE文件都必須以一個(gè)簡(jiǎn)單的DOS MZ Header開始。有了它，一旦程序在DOS下執(zhí)行，DOS就能識(shí)別出這是有效的執(zhí)行體，通常以兩字節(jié)的"MZ"(IMAGE_DOS_SIGNATURE)標(biāo)示字符開始的，然后運(yùn)行緊隨MZ header之后的DOS stub(片斷)。DOS stub實(shí)際上是個(gè)有效的EXE，在不支持PE文件格式的操作系統(tǒng)中(例如DOS系統(tǒng))，它將簡(jiǎn)單顯示一個(gè)錯(cuò)誤提示，類似于字符串" This program must be run under Win32"或者程序員可根據(jù)自己的意圖實(shí)現(xiàn)完整的DOS代碼。
大多數(shù)情況下DOS文件頭是由匯編器/編譯器自動(dòng)生成，它簡(jiǎn)單調(diào)用21h中斷服務(wù)來顯示字符串。
在Dos文件頭中有兩個(gè)比較重要的值，一個(gè)是位于文件開始位置的.e_magic的值，包含了標(biāo)志字符串"MZ"，另一個(gè)是._lfanew的值，指出了PE header的起始地址，通常在文件開始$003C偏移地址指明，比如偏移地址的值為$1000，表示PE文件頭從文件地址$1000處開始。