手工打造PE文件

参考教材

https://gryffinbit.lanzoui.com/imk3fpk3pfi

实验目的

通过利用C32asm，手工编写一个Win32平台下的PE文件，进一步熟练掌握PE文件的结构。

实验内容

参考教材P119-132，手工打造一个PE文件，该文件执行后输出如下内容：

实验结果

1. 构造IMAGE_DOS_HEADER结构

该结构体的大小为 40h 字节(十进制的64 字节) 。打开 hex 编辑器，填入64 个字节的0，然后根据IMAGE_DOS_HEADER的结构进行修改，

2. 构造PE标识符

在构造完 DOS 头后,紧跟着构造 PE 标识符,PE 标识符占 4 个字节,因此hex中增加 4 个字节的数据，PE 标识符对应的十六进制数据为 “50 45 00 00”

3. 构造 IMAGE_FILE_HEADER 结构

该结构体的大小为 14h 字节(十进制的 20 字节) ,同样hex中插入 20 个字节的全 0 数据,然后进行数据的修改填充。

4. 构造 IMAGE_OPTIONAL_HEADER 结构

该结构体的大小为 0E0h 字节(十进制的 224 字节) ,在 hex 中填充 224 字节的全 0 数据,然后按照表 5-3 所列进行填充，最终填充结果

5. 构造 IMAGE_SECTION_HEADER 结构

IMAGE_SECTION_HEADER 结构体的大小是 40 字节, 由于需要构造 3 个节表项, 因此节表大小占 120 字节。节表的填充如表 5-4 所列。最终填充结果

6. 0 数据的填充

由于需要按照 0x00001000 的长度来进行对齐,因此用 0x1000−0x01B0=0x0E50,即十进制数的 3664。在 hex 中插入“3664”个 0 字符将 PE 文件头按照 IMAGE_OPTIONAL_ HEADER 的 SizeOfHeader 进行对齐。在插入 3664 个 0 字符后,文件的结束偏移地址是0x00000FFF。
在填充完 PE 文件头部后,需要继续填充 0x00001000 字节的 0 字符,该 0x00001000 字节的数据用来存放.text 节的内容,即代码节的内容。继续使用 C32Asm 插入 4096 个 0 字符。
由于代码节是最后完成的部分,因此这里只是先对其填充 0 字符。