Структура PE файла

@D-mon55 · Регистрация: 15.07.2014

Доброго времени суток!

Пытаюсь вручную создать исправный Exe файл, в котором PE-заголовок находится в конце файла. Т.к. код программы совсем минимален (только одна секция с кодом команды завершения работы), я перенес заголовок и поправил поле e_lfanew, но программа не запускается.. Подскажите что я делаю не так?

Информацию о размещении заголовка взял тут:

Кликните здесь для просмотра всего текста

PE-заголовок начинается непосредственно за концом old-exe программ, но может быть расположен в любом месте файла ― в его середине или конце, загрузчик определяет положение PE-заголовка по двойному слову e_lfanew, смещенному на 3Ch байт от начала файла.

https://www.cyberforum.ru/post3945127.html

@Nelkor · 26.12.2014, 07:54

То есть ты в 61-м, 62-м, 63-м и 64-м байтах прописываешь адрес PE-заголовка?

@D-mon55 · 26.12.2014, 16:19 **[ТС]**

Сообщение от Nelkor

То есть ты в 61-м, 62-м, 63-м и 64-м байтах прописываешь адрес PE-заголовка?

Да, все верно. Если перемещаю заголовок по адресу 3F0, то записываю туда F0 03 00 00.

@maxillion · 28.12.2014, 20:28

А смысл его переносить ? Секции хоть как должны идти за PE (а не перед), причём никаких пустот между ними быть не должно.

@gazlan · 29.12.2014, 03:26

Сообщение от maxillion

хоть как должны идти за PE

Pic

@D-mon55 · 29.12.2014, 03:34 **[ТС]**

Сообщение от maxillion

А смысл его переносить ? Секции хоть как должны идти за PE (а не перед), причём никаких пустот между ними быть не должно.

Секции могут идти перед PE заголовком, и пустоты между ними допускаются. Вот только заголовок дальше 0x1С8 не получается отодвинуть. Да и почему такое магическое число - я информации не нашел.

@D-mon55 · 29.12.2014, 03:45 **[ТС]**

elfanew 0x1C8

Pic

@maxillion · 30.12.2014, 01:31

Сообщение от D-mon55

Секции могут идти перед PE заголовком, и пустоты между ними допускаются.

Если вы имели виду в самом файле (raw data offset) то да , я имел виду уже загруженный образ.
При переносе нужно учитывать ещё такие параметры как NtHeader->OptionalHeader->SizeOfHeaders (размер всех заголовков). А если двигаете дальше чем (Section align) тогда придется менять ещё больше (AddressOfEntryPoint,SizeOfImage,SizeOfHeaders,Section->VirtualAddress).

@D-mon55 4 / 4 / 4 Регистрация: 15.07.2014 Сообщений: 28
		1
	Структура PE файла 25.12.2014, 14:38. Просмотров 1271. Ответов 7 Метки нет (Все метки) Доброго времени суток! Пытаюсь вручную создать исправный Exe файл, в котором PE-заголовок находится в конце файла. Т.к. код программы совсем минимален (только одна секция с кодом команды завершения работы), я перенес заголовок и поправил поле e_lfanew, но программа не запускается.. Подскажите что я делаю не так? Информацию о размещении заголовка взял тут: Кликните здесь для просмотра всего текста PE-заголовок начинается непосредственно за концом old-exe программ, но может быть расположен в любом месте файла ― в его середине или конце, загрузчик определяет положение PE-заголовка по двойному слову e_lfanew, смещенному на 3Ch байт от начала файла. https://www.cyberforum.ru/post3945127.html 0

@Nelkor 22 / 22 / 5 Регистрация: 05.12.2013 Сообщений: 215
	26.12.2014, 07:54	2
	То есть ты в 61-м, 62-м, 63-м и 64-м байтах прописываешь адрес PE-заголовка? 0

@D-mon55 4 / 4 / 4 Регистрация: 15.07.2014 Сообщений: 28
	26.12.2014, 16:19 [ТС]	3
	Сообщение от Nelkor То есть ты в 61-м, 62-м, 63-м и 64-м байтах прописываешь адрес PE-заголовка? Да, все верно. Если перемещаю заголовок по адресу 3F0, то записываю туда F0 03 00 00. 0

@maxillion 286 / 192 / 56 Регистрация: 25.12.2012 Сообщений: 640
	28.12.2014, 20:28	4
	А смысл его переносить ? Секции хоть как должны идти за PE (а не перед), причём никаких пустот между ними быть не должно. 0

@gazlan 3170 / 1929 / 313 Регистрация: 27.08.2010 Сообщений: 5,131 Записей в блоге: 1
	29.12.2014, 03:26	5
	Сообщение от maxillion хоть как должны идти за PE Pic 0 Миниатюры

@D-mon55 4 / 4 / 4 Регистрация: 15.07.2014 Сообщений: 28
	29.12.2014, 03:34 [ТС]	6
	Сообщение от maxillion А смысл его переносить ? Секции хоть как должны идти за PE (а не перед), причём никаких пустот между ними быть не должно. Секции могут идти перед PE заголовком, и пустоты между ними допускаются. Вот только заголовок дальше 0x1С8 не получается отодвинуть. Да и почему такое магическое число - я информации не нашел. 0

@D-mon55 4 / 4 / 4 Регистрация: 15.07.2014 Сообщений: 28
	29.12.2014, 03:45 [ТС]	7
	elfanew 0x1C8 Pic 0 Миниатюры

@maxillion 286 / 192 / 56 Регистрация: 25.12.2012 Сообщений: 640
	30.12.2014, 01:31	8
	Сообщение было отмечено D-mon55 как решение Решение Сообщение от D-mon55 Секции могут идти перед PE заголовком, и пустоты между ними допускаются. Если вы имели виду в самом файле (raw data offset) то да , я имел виду уже загруженный образ. При переносе нужно учитывать ещё такие параметры как NtHeader->OptionalHeader->SizeOfHeaders (размер всех заголовков). А если двигаете дальше чем (Section align) тогда придется менять ещё больше (AddressOfEntryPoint,SizeOfImage,SizeOfHeaders,Section->VirtualAddress). 0

Опции темы

Структура PE файла

Решение