网络安全-1 PE文件分析.docxVIP

PE文件格式分析实验 实验报告 目录 TOC \o 1-3 \h \z \u 一、实验简介 1 1.1 实验目的 1 1.2 实验内容 1 1.3 实验环境 2 二、实验原理 2 2.1 PE文件基本介绍 2 2.2 PE文件格式 2 2.2.1 Dos部分 3 2.2.2 PE头部分 3 2.2.3 节表 4 2.2.4 节数据 4 三、实验过程 5 3.1 使用UltraEdit观察Notepad.exe数据 5 3.2 Ollydbg调试 9 3.2.1 打开Ollydbg加载PE文件 9 3.2.2动态调试程序 10 3.3 熟悉各类PE文件格式查看和编辑工具 10 3.3.1 PEView、Stud_PE、PEditor查看文件 11 3.4 调试并修改notepad.exe程序 15 3.5 分析user32.dll文件 16 3.6 用UltraEdit修改notepad.exe程序的引入表 17 3.6.1 获取Kernel32.dll基地址 18 3.6.2 加载User32.dll 21 3.7 获取 MessageBoxA的函数地址 24 3.8 汉化PEview.exe程序 25 3.9 修改PEview.exe的图标 26 四、实验总结与问题的解决 27 4.1 实验总结 27 4.2 遇到问题的解决方案 29 五、参考文献 29 PAGE 2 一、实验简介 1.1 实验目的 熟悉各种PE编辑查看工具，详细了解PE文件格式； 重点分析PE文件文件头、引入表、引出表，以及资源表； 调研并总结PE文件格式与PE病毒之间的关系； 自己制作一个尽可能小的PE文件。 1.2 实验内容 本实验涵盖以下内容： 使用UltraEdit观察Notepad.exe数据，制作该PE文件基本结构图，格式如下：MZ头部+DOS stub+PE文件头+可选文件头（含数据目录）+节表+节（请注意地址对齐方式）； Ollydbg对该程序进行初步调试，了解该程序功能结构，在内存中观察该程序的完整结构（请注意地址对齐方式）； 熟悉各类PE文件格式查看和编辑工具(PEVIEW、Stub_PE、PEditor)。结合notepad.exe熟悉PE文件头部、引入表、引出表的结构，按照课堂教学强调的关键结构或字段画图标注出来；熟悉函数导入、导出的基本原理； 调试并修改notepad.exe程序（请注意不要修改功能代码，仅修改程序菜单项名称或者弹出窗口文本内容或窗口提示框标题）； 找到系统SYSTEM32目录下的user32.dll文件，用UltraEdit打开并分析该文件导出表，找出 MessageBoxA的地址，并验证该地址是否正确； 用UltraEdit修改notepad.exe程序的引入表，使得该程序仅可以从kernel32.dll中引入LoadLibrary和GetProcAddress函数，而不从user32.dll导入任何函数； 在代码节中写入部分代码利用上述导入的两个函数获取 MessageBoxA的函数地址，使得notepad.exe程序的原有功能正常； 自学探索类实验：熟悉资源表。利用PEview.exe熟悉资源表的结构，利用PEview.exe分析PEview.exe程序；用UltraEdit修改PEview.exe，使得该文件的图标变成PEview.ico； 选做实验：熟悉eXeScope工具的实用，并利用该工具汉化PEview.exe程序； 1.3 实验环境 VMware 15.0、Windows 7 二、实验原理 2.1 PE文件基本介绍 PE文件的全称是Portable Executable，意为可移植的可执行的文件，是Windows操作系统下使用的一种可执行文件，由COFF（UNIX平台下的通用对象文件格式）格式文件发展而来。32位成为PE32，64位称为PE+或PE32+，常见的EXE、DLL、OCX、SYS、COM都是PE文件。 2.2 PE文件格式 图 SEQ 图 \* ARABIC 1 PE文件格式 一个完整的PE文件主要有4个部分组成：DOS头，PE头，节表以及节数据。 Dos部分主要用来对非FE格式文件的处理，DOS时代遗留的产物，是PE文件的一个遗传基因； PE头部分用于宏观上记录文件的一些信息，运行平台，大小，创建日期，属性等； 节表部分用于对各中类型的数据进行定义分段； 节数据不言而喻就是文件的数据部分，实际上我们编写程序的过程中就是对该部分的数据进行编写。而其他的部分则是由编译器依照我们编写的部分进行相应的填