手工构造典型PE文件时间：2009-09-14一直以来都在学习PE文件结构，从不敢轻视，但是即使如此还是发现自己在这方面有所不足，于是便想到了用纯手工方式打造一个完整的可执行的PE文件。在这期间我也查了大量资料，但是这些资料都有一个通病就是不完整，看雪得那个只翻译了一部分，加解密技术内幕介绍的更是笼统，而且是打造一个只有180字节的PE文件，是高手们茶余饭后的怡情小游戏。鉴于此，心想为什么不自己摸索着手工打造一个完整些的呢？一是加强一下自己对于PE文件的了解，二是写出一篇参考性比较强的文章，给有志于在此发展的朋友们铺一铺路，也算是干了一件利国利民的好事。对于手工打造PE文件，我个人认为至少要分为三篇文章来阐述，每篇相对独立，合起来形成一个相对的体系。第一篇文章（也就是本文）用来介绍怎样用手工打造一个最典型、最简单的PE文件，而后两篇文章的问世还要引用潘爱民先生的一句话“还需要时日与机缘”。本文介绍的PE文件手工编辑方式，是本着以下三个原则所写的，望读者注意：1、完整性：对于手工打造PE文件所不需注意的字段也进行了必要的介绍，因此整文可能显得非常臃肿。2、典型性：完全按照典型的PE文件结构构造，因此对于某些不常见的PE文件结构有一定差距。3、易学性：对于字段之间的逻辑关系进行了比较细致的介绍，因此对于一部分底子比较好的读者来说可能显得有些啰嗦。为了方便各位阅读与查阅，我将文章分成了三各部分，以便各位读者各取所需，不用把宝贵的精力浪费在查找上。1、PE文件整体信息，提供了一个剖析PE文件的图表，以便于读者对于PE文件有一个整体的了解，并监督自己的工作进度。2、对于重点字段的介绍，以及字段之间的逻辑关系，建议首先从这里开始看。3、手工构造PE文件字段清单，此清单包含构造一个完整PE文件的每一个字节，跟着这个清单走就可以构造一个PE文件。对于第一次手工打造PE文件的朋友们来说，你们可以以“一、整体性息”为大纲，并参考第三部分一块一块的慢慢打造，如果有不懂的地方就去看第二部分。选读：为什么要手工打造PE文件？我们知道，往往从一个系统可执行文件结构上，就可以看整个操作系统的一些特性。也就是说PE里有Windows操作系统结构与运行机理的影子。由此可见，PE文件必然是一个非常庞杂且逻辑复杂的结构，那么为什么我们还要“自取其辱”来手工制造一个PE文件呢？这就要从PE文件的重要性说起了。我们现今组成Windows大家庭的主要成员就是PE文件了，里面包括EXE、DLL、OCX、SYS等一切最有价值的文件都是PE文件格式，出于对版权的考虑或对某种技术的渴求，任何一种与Windows系统相关的行为最终都要归集到这里--PE文件。特别是对于想学习加壳、破解、搞虚拟机的朋友们来说，熟知PE文件结构更是必不可少的基本功！但也正是由于PE文件的复杂性，我们才要采取一些特别的办法来攻克它，其中手工打造PE文件就是一条捷径。你可以想像一下，如果你都可以手工打造PE文件的话，那么对于PE文件的了解更是可见一斑了。但是我还想提醒一下各位读者，即便是如此，我们所了解的也仅仅是一部分，不过一般情况下已经足够了。一、整体性息这部分以图表的形式表示PE文件的整体结构。-------------*-------------------------------------------------*|DOSHeader(IMAGE_DOS_HEADER)|-->64ByteDOS头部--------------------------------------------------|DOSStub|-->112Byte-------------*-------------------------------------------------*|"PE"00(Signature)|-->4Byte-------------------------------------------------|IMAGE_FILE_HEADER|-->20BytePE文件头--------------------------------------------------|IMAGE_OPTIONAL_HEADER32|-->96Byte---------------------------------------------------|数据目录表|-->128Byte-------------*--------------------------------------------------*|IMAGE_SECTION_HEADER|-->40Byte-------------------------------