PE(Portable Executable)是Windows的執行檔、物件檔格式,是根據COFF檔案格式修改而成的。Windows的OS loader可以根據檔案內部的資訊把資料丟進記憶體裡面,再交由CPU執行。
常見的PE檔案格式有:
PE檔案可大致分為五個部分,前兩個(DOS Header / DOS Stub)是用於向下相容
後三個(NT Headers / Section Table / Sections)才是PE的本體
看圖片可能沒什麼感覺,不如實際拆一個檔案來看看
PE Bear是一個常用來分析PE的軟體,只要把執行檔拖進去就可以得到分析結果了
這邊以notepad(C:\Windows\System32\notepad.exe)做示範,操作方式如下
右側顯示的就是PE的file structure
我們初步了解了PE檔案的架構,並且介紹了用於分析檔案的PE Bear
後續的貼文將會深入了解PE的各個部位,從頭到腳拆透透🔪🔪