PE 参考资料&工具

参考资料

1. 微软官方资料1 ：整体介绍PE格式。

2. 微软官方资料2 ：详细介绍内部重要结构体，当字典用。

3. 微软官方资料3 ：一份旧版的官方资料，没事儿可以看看。

4. 微软官方资料4 ： winnt.h头文件中搜索Image Format，可以看到相应结构体的定义。

5. PE文件解析基础 ：适合初学者参考。

6. PE file format ：图做的直观。

7. 深入理解PE结构之DOS头和DOS stub ：对dos头的详解。

8. pe101zh.png ：PE格式剖析图。

9. 滴水逆向-手动解析PE头&PE头字段说明及课后练习 ：配合滴水逆向三期45-50的视频一起看，再做做练习，效果max！

10. RichPE ：Rich头的一些资料汇总。注意：rich头没有官方文档。

11. richhash ：文中有提到rich头的应用。

12. VB2019 paper: Rich Headers: leveraging this mysterious artifact of the PE format ：rich头的详细介绍。

13. New Windows RAT Evades Detection for Weeks Using Corrupted DOS and PE Headers ：dos头应用的相关信息。

14. RVA和FOA转换讲解 看过几篇中写的比较清晰易懂的。

15. PE数据目录表解析 ：收录在看雪知识库，写的也很好。

工具

1. pe-bear: pe格式查看器，非常好用，非常直观，推荐。（一些经典的pe查看工具，比如PETools，可能无法正确解析64位的pe文件）

   • 下载地址：https://github.com/hasherezade/pe-bear/releases

2. HxD：免费的二进制文本查看器，可以打开程序的内存映像，完美替代winhex。适合初学者。

   • 下载地址：https://mh-nexus.de/en/hxd/

3. dumpbin：命令行工具，可以输出PE信息。

   • 下载地址：安装vs2022 IDE时自带。
   • 基础用法：点击开始(桌面左下角的win图标) → 找到visual studio 2022文件夹 → 展开 → 点击Developer Command Prompt for vs 2022 → 输入如下指令：

   dumpbin /headers "C:\Windows\System32\notepad.exe"
   

   输出如下：

   Microsoft (R) COFF/PE Dumper Version 14.42.34435.0
   Copyright (C) Microsoft Corporation.  All rights reserved.
   
   
   Dump of file C:\Windows\System32\notepad.exe
   
   PE signature found
   
   File Type: EXECUTABLE IMAGE
   
   FILE HEADER VALUES
               8664 machine (x64)
                  7 number of sections
           6DF9F3AD time date stamp
                  0 file pointer to symbol table
                  0 number of symbols
                 F0 size of optional header
                 22 characteristics
                      Executable
                      Application can handle large (>2GB) addresses
   ...