Formato Portable Executable Bajo Windows
Páginas: 40 (9911 palabras)
Publicado: 13 de febrero de 2013
ap
Página |2
CONTENIDO
ESTRUCTURA DE UN FICHERO EJECUTABLE DIRECCIONES FÍSICAS, VIRTUALES RELATIVAS Y VIRTUALES IMAGE FILE HADER IMAGE OPTIONAL HEADER IMAGE DATA DIRECTORY IMAGE SECTION HEADER EXPORT DIRECTORY IMPORT DIRECTORY RESOURCE DIRECTORY RELOCATION DIRECTORY DEBUG DIRECTORY TLS DIRECTORY (THREAD LOCAL STORAGE) DIRECTORIO LOAD CONFIG DELAY IMPORT DIRECTORY BOUND IMPORT DIRECTORYREFERENCIAS DESPEDIDA 3 5 6 8 14 16 19 24 27 31 34 36 38 40 42 44 45
Formato Portable Executable bajo Windows – The Swash Julio de 2011
Página |3
ESTRUCTURA DE UN FICHERO EJECUTABLE
ELEMENTO DOS HEADER DOS STUB NT HEADER PE Signatura FILE HEADER OPTIONAL HEADER DATA DIRECTORY SECTION HEADER CUERPO DEL ARCHIVO END OF FILE DESCRIPCIÓN Cabecera de archivos DOS. Mensaje en sistemas DOS.Inicio del archivo ejecutable. Signatura PE\x0\x0 Información base del archivo. Información adicional (Necesaria en ejecutables). IMAGE DATA DIRECTORY Información de las secciones del ejecutable Contenido de cada sección. Final del archivo
Los archivos ejecutables originalmente nombrados Portable Executable (A partir de ahora llamados con la abreviatura PE) son los denominados programas enWindows. La idea base de estos archivos fue formarlos de manera estructurada para mayor flexibilidad. El archivo se divide en cabeceras y cuerpo. Las cabeceras proveen información al loader de Windows para poder ejecutarlos. Posterior a estas cabeceras se encuentra el cuerpo del archivo la cual tendrá el contenido de cada una de las secciones.
DOS HEADER:
Cabecera obsoleta incluida en los archivostanto DOS como PE, en los PE tiene solo 2 campos útiles: - e_magic: Este campo contiene las siglas ‘MZ’ que todo archivo ejecutable debe tener, estás siglas son en honor a Mark Zbikowsky uno de los principales diseñadores de MS-DOS. Si un archivo ejecutable no tiene estas siglas no será ejecutado, podemos decir que actúa como una firma de validación.
Formato Portable Executable bajo Windows – TheSwash Julio de 2011
Página |4 l_fanew: Dirección física o puntero hacia el NT HEADER el cual inicia por la firma PE\x0\x0. El valor de este campo suele encontrarse en el desplazamiento 0x3C.
DOS STUB: El DOS STUB es una aplicación válida para MS-DOS la cual imprimirá en pantalla el mensaje “This program cannot be run in DOS mode”.
NT HEADER:
La cabecera NT inicia en el valor apuntadopor el campo l_fanew, justo en el inicio nos encontramos con una firma que nos ubica y es la cadena formada por los caracteres PE\x0\x0 y posterior a este ya podemos encontrar la estructura del IMAGE_FILE_HEADER. El NT HEADER está presente tanto en archivos ejecutables como librerías de enlace dinámico. En caso de no encontrar la firma PE\x0\x0 el archivo no abría de ejecutarse y lo mismo pasa conla firma MZ.
Formato Portable Executable bajo Windows – The Swash Julio de 2011
Página |5
DIRECCIONES FÍSICAS, VIRTUALES RELATIVAS Y VIRTUALES
Es muy importante relacionarnos con estos 3 conceptos los cuales son necesarios para entender muchos campos de la estructura de un archivo ejecutable. DIRECCIÓN FÍSICA O DESPLAZAMIENTO (OFFSET): Corresponde a un valor que se encuentra en el rangodel tamaño físico del archivo, no podrá haber desplazamiento menor a 0 o mayor al tamaño del archivo. DIRECCIÓN VIRTUAL RELATIVA: Como un archivo en memoria es distinto a un archivo en disco las direcciones se manejan de manera distinta, cada sección establece una Dirección virtual y desde ahí se copiará el contenido de cada sección. Para obtener una direccion Virtual relativa o abreviadamenteRVA de un Offset debemos recurrir al siguiente proceso: =( − )+ Para hacer lo contrario, es decir obtener un Offset a partir de un RVA: =( − )+ Hay que tener en cuenta que los valores: - VirtualAddress - PointerToRawData Son valores pertenecientes a la sección en la cual se encuentre dicho valor, pero como sabemos ¿a qué sección pertenece? Sencillamente buscaremos en el rango de las secciones, si...
Página |2
CONTENIDO
ESTRUCTURA DE UN FICHERO EJECUTABLE DIRECCIONES FÍSICAS, VIRTUALES RELATIVAS Y VIRTUALES IMAGE FILE HADER IMAGE OPTIONAL HEADER IMAGE DATA DIRECTORY IMAGE SECTION HEADER EXPORT DIRECTORY IMPORT DIRECTORY RESOURCE DIRECTORY RELOCATION DIRECTORY DEBUG DIRECTORY TLS DIRECTORY (THREAD LOCAL STORAGE) DIRECTORIO LOAD CONFIG DELAY IMPORT DIRECTORY BOUND IMPORT DIRECTORYREFERENCIAS DESPEDIDA 3 5 6 8 14 16 19 24 27 31 34 36 38 40 42 44 45
Formato Portable Executable bajo Windows – The Swash Julio de 2011
Página |3
ESTRUCTURA DE UN FICHERO EJECUTABLE
ELEMENTO DOS HEADER DOS STUB NT HEADER PE Signatura FILE HEADER OPTIONAL HEADER DATA DIRECTORY SECTION HEADER CUERPO DEL ARCHIVO END OF FILE DESCRIPCIÓN Cabecera de archivos DOS. Mensaje en sistemas DOS.Inicio del archivo ejecutable. Signatura PE\x0\x0 Información base del archivo. Información adicional (Necesaria en ejecutables). IMAGE DATA DIRECTORY Información de las secciones del ejecutable Contenido de cada sección. Final del archivo
Los archivos ejecutables originalmente nombrados Portable Executable (A partir de ahora llamados con la abreviatura PE) son los denominados programas enWindows. La idea base de estos archivos fue formarlos de manera estructurada para mayor flexibilidad. El archivo se divide en cabeceras y cuerpo. Las cabeceras proveen información al loader de Windows para poder ejecutarlos. Posterior a estas cabeceras se encuentra el cuerpo del archivo la cual tendrá el contenido de cada una de las secciones.
DOS HEADER:
Cabecera obsoleta incluida en los archivostanto DOS como PE, en los PE tiene solo 2 campos útiles: - e_magic: Este campo contiene las siglas ‘MZ’ que todo archivo ejecutable debe tener, estás siglas son en honor a Mark Zbikowsky uno de los principales diseñadores de MS-DOS. Si un archivo ejecutable no tiene estas siglas no será ejecutado, podemos decir que actúa como una firma de validación.
Formato Portable Executable bajo Windows – TheSwash Julio de 2011
Página |4 l_fanew: Dirección física o puntero hacia el NT HEADER el cual inicia por la firma PE\x0\x0. El valor de este campo suele encontrarse en el desplazamiento 0x3C.
DOS STUB: El DOS STUB es una aplicación válida para MS-DOS la cual imprimirá en pantalla el mensaje “This program cannot be run in DOS mode”.
NT HEADER:
La cabecera NT inicia en el valor apuntadopor el campo l_fanew, justo en el inicio nos encontramos con una firma que nos ubica y es la cadena formada por los caracteres PE\x0\x0 y posterior a este ya podemos encontrar la estructura del IMAGE_FILE_HEADER. El NT HEADER está presente tanto en archivos ejecutables como librerías de enlace dinámico. En caso de no encontrar la firma PE\x0\x0 el archivo no abría de ejecutarse y lo mismo pasa conla firma MZ.
Formato Portable Executable bajo Windows – The Swash Julio de 2011
Página |5
DIRECCIONES FÍSICAS, VIRTUALES RELATIVAS Y VIRTUALES
Es muy importante relacionarnos con estos 3 conceptos los cuales son necesarios para entender muchos campos de la estructura de un archivo ejecutable. DIRECCIÓN FÍSICA O DESPLAZAMIENTO (OFFSET): Corresponde a un valor que se encuentra en el rangodel tamaño físico del archivo, no podrá haber desplazamiento menor a 0 o mayor al tamaño del archivo. DIRECCIÓN VIRTUAL RELATIVA: Como un archivo en memoria es distinto a un archivo en disco las direcciones se manejan de manera distinta, cada sección establece una Dirección virtual y desde ahí se copiará el contenido de cada sección. Para obtener una direccion Virtual relativa o abreviadamenteRVA de un Offset debemos recurrir al siguiente proceso: =( − )+ Para hacer lo contrario, es decir obtener un Offset a partir de un RVA: =( − )+ Hay que tener en cuenta que los valores: - VirtualAddress - PointerToRawData Son valores pertenecientes a la sección en la cual se encuentre dicho valor, pero como sabemos ¿a qué sección pertenece? Sencillamente buscaremos en el rango de las secciones, si...
Leer documento completo
Regístrate para leer el documento completo.