فایل های اجرایی
اسلاید 1: آنهایی که فکر می کنند پیروز می شوند اسلاید 1دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییناپلئونو آنهایی که فکر می کنند شکست می خورند هر دو درست فکر می کنند
اسلاید 2: تعریف فایل اجرایی انواع فایلهای اجرایی ساختار فایلهای PE اسلاید 2دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییفایل های اجرایی
اسلاید 3: فایل های اجراییاسلاید 3دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی تعریف مشخصی برای فایلهای اجرایی وجود ندارد ولی بطور کلی به فایلهای که شامل یک سری source code هستند و قابلیت اجرا بر روی پردازنده را دارند فایل اجرایی گفته می شود. این فایلهای در سیستم عامل های مختلف دارای انواعی متفاوتند Windows .exe ( windows executable file) .sct (Windows Script Component ) .shb (Windows Shortcut into a Document ) .wsf (Windows script file ) .cmd (Windows Command File )
اسلاید 4: فایل های اجراییاسلاید 4دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی DOS .bat (DOS Batch File ) .com (DOS Command File ) Unix .bin (Unix Executable File ) .ksh (Unix Korn Shell Script ) MAC OS .app (Mac OS X Application) …
اسلاید 5: فایلهای (Portable Executable )PEاسلاید 5دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییPE به معنای فایل اجرایی قابل حمل است. فرمت اصلی فایل های اجرایی در ویندوزهای 32 بیتی می باشد. فرمت این فایل ها در کلیه نسخه های 32 بیتی ویندوز یکی است. ساختار و قالب این فایلها از فایلهای COFF سیستم عامل UNIX برداشت شده است.
اسلاید 6: DOS Headerاسلاید 6دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییDOS HeaderPE HeaderSectionsTableکلیه فایل های اجرایی در win32با یک سرایند ساده Dos MZ شروع می شوند.در صورتیکه فایل اجرایی در محیط dos اجرا شود این سرایند باعث می شود که سیستم عامل انرا به عنوان فایل اجرایی معتبر شناسایی کند
اسلاید 7: اسلاید 7دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی معمولا با اجرای Dos Stub رشته This Program Cannot Be Run In Dos Modeبه نمایش در می آید . این بخش معمولا توسط کامپایلر به صورت اتوماتیک به فایل اجرایی اضافهمی شود.DOS Header
اسلاید 8: PE Headerاسلاید 8دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییبخش بعدی فایل PE Header نام دارد. در زمان اجرای برنامه بار گذار(Loader)، PE می تواند ادرس شروعPE Header را توسط سرایند Dos MZ شناسایی کند . DOS HeaderPE HeaderSectionsTablePE HeaderDOS Header
اسلاید 9: Section Tableاسلاید 9دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی محتوای اصلی فایل اجرایی به بلوک هایی تقسیم می شود که Section نامیده می شود. Section چیزی جز بلوکی از داده ها با یک صفت مشترک نیست . بعد از بخش PE Header بخش Section Table قرار گرفته است که آرایه ای از رکورد ها است هر رکورد حاوی اطلاعاتی از قبیل صفات آفست و... در مورد یک Section است . DOS HeaderPE HeaderSectionsTable
اسلاید 10: DOS Header Structureاسلاید 10دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییDos MZ Header به عنوان رکوردی از نوع IMAGE_NT_HEADER تعریف شده است .که تنها دو عضو آن در اینجا برای ما اهمیت دارند:E-magic که شامل رشته MZ است. e_Ifanew که آدرس PE Header را در خود دارد.DOS HeaderPE HeaderSectionsTable
اسلاید 11: PE Headerاسلاید 11دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییSignature متغییری از نوع dword است که حاوی مقدار ooh ،ooh 45h ، 50h می باشد. (رشته PE به همراه دو صفر ) File Header رکوردی است که حاوی اطلاعاتی درباره ساختار فیزیکی فایل اجرایی Optional Header رکوردی است که حاوی اطلاعاتی درباره ساختار منطقی فایل اجرایی DOS HeaderPE HeaderSectionsTableOpt HeaderFile Header
اسلاید 12: File Headerاسلاید 12دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی Machine مدل پرداز شگر مورد نیاز برای اجرای دستورات فایل اجرایی Number of sections تعداد Section های موجود در فایل Time Date stamp تاریخ و زمان ایجاد فایل Size of optional Header اندازه رکوردoptional Header را مشخص می کند Characteristics نوع فایل اجرایی را مشخص می کند. برای مثال exeیا dll
اسلاید 13: Optional Headerاسلاید 13دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی آخرین عضو ساختارIMAGE_NT_HEADER محسوب می شود که حاوی اطلاعاتی درباره ساختار منطقی فایل اجرایی می باشد. این رکورد شامل 31 عضو است که برخی از آنها از اهمیت بیشتری برخوردار هستند. Address Of Entry Point Image Base Section Alignment File Alignment Size Of Image Size Of Headers Data Directory
اسلاید 14: (Relative Virtual Address) RVA اسلاید 14دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی در حقیقت RVA میزان فاصله از یک نقطه مرجع از فضای حافظه برنامه را بیان می کند که دقیقاً همانند یک آفست عمل می کند. RVAباعث ساده تر شدن علمیات بازگذاری فایل می شود . بطور مثال اگر فایل اجرایی در آدرس 400000 برنامه قرار بگیرد و برنامه از آدرس 401000 شروع به اجرا کند می توانیم بگوییم برنامه با RVA 1000 اجرا شده است.
اسلاید 15: Optional Headerاسلاید 15دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی Address Of Entry Point آدرس اولین دستور فایل اجرایی را مشخص می کند. Image Base حاوی آدرسی است که ترجیحاً بارگذاری PE فایل اجرایی را در آنجا قرار می دهد Section Alignment آدرس شروع هر Sectionدر حافظه را به مضاربصحیحی از مقدار مورد نظر محدود می کند. عنوان مثال اگر مقدار این عنصر برابر با (1000h) 4096 باشد، آدرس شروع هر Section ، از مضرب صحیحی از 4096 شروع می شود.
اسلاید 16: Optional Headerاسلاید 16دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییFile Alignment این عضو چگونگی قرار گرفتن تک تک section ها را در فایلمشخص می کند که عملکردی مشابه عضو قبلی دارد.Size of image اندازه کلی فایل اجرایی در حافظه را مشخص می کند که مجموع Header ها و section ها است .Size Of Headers حجم کل هدرها به همراهSection Table را مشخص می کند .این مقداربرابر حجم کلی فایل منهای حجم section ها است.از این مقدار میتوانید به عنوان آفست اولین section در فایل اجرایی استفاده کنید.
اسلاید 17: Optional Headerاسلاید 17دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییData Directory آرایه ای از رکورد IMAGE_DATA_DIRECTORY است که هر رکورد حاوی RVA مربوط به یک رکورد مهم از فایل اجرایی مانند Import Address Table (IAT) است.رکورد های مهم Data Directory عبارتند از:Export symbols Import symbols Resources Exception Security Base relocation Debug Copyright string Unknown Thread local storage (TLS) Load configuration Bound Import Delay Import COM descriptor
اسلاید 18: Optional Headerاسلاید 18دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییData Directoryخود data directory از دو فیلد تشکیل شده است:Virtual Address که آدرس RVA ساختار مورد نظر را دارد.Size که حاوی اندازه ساختار مورد نظر به بایت است.به عنوان مثال virtual address رکورد import address table دارای RVA مربوط به IMAGE_IMPORT_DESCRIPTOR است.DOS HeaderPE HeaderSectionsTableOpt HeaderFile HeaderData directory
اسلاید 19: Section Tableاسلاید 19دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییSection Table در واقع آرایه ای از رکوردها است که دقیقاً بعد از PE Header قرار گرفته است DOS HeaderPE HeaderSectionsTable تعداد اعضاء این آرایه توسط Number Of Sections که یکی از اعضای رکورد File Header است،مشخص می شود. رکوردهای این آرایه از نوع IMAGE_SECTION_HEADER هستند.
اسلاید 20: Section Tableاسلاید 20دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی Name Virtual Address Size Of Raw Data Pointer To Raw Data Pointer To Relocations Pointer To Line numbers Number Of Relocations Number Of Line numbers Characteristics
اسلاید 21: Section Tableاسلاید 21دانشگاه بیرجند-بهار 88ساختار فایلهای اجرایی Name نام Section را معین می کند که حداکثر طول آن 8 بایت است. RVA Virtual Address مربوط به هر Sectionرا مشخص می کند. Size Of Raw Data فضای اشغال شده توسط Section در فایل اجرایی را با در نظر گرفتن مقدار File Alignment مشخص می کند. Pointer To Raw Data آدرس شروع Section را در فایل اجرایی مشخص می کند.
اسلاید 22: اسلاید 22دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییImport Table جدول ورودی یا Import Table یکی دیگرازمهمترین قسمتهای فایل PE میباشد که دومین عضو Data Directory به آن اشاره می کند .مشخصات توابعی که در داخل برنامه فراخوانی شده اند از قبیل نام تابع و نام فایل DLL ای که آن تابع در آن فایل قرار دارد در داخل جدول ورودی قرار دارد. virtual address رکورد import address table در درون data directory دارای RVA مربوط بهIMAGE_IMPORT_DESCRIPTOR یا همان ساختارجدول ورودی است.DOS HeaderPE HeaderSectionsTableOpt HeaderData DIRImport Address Table (IAT)VA
اسلاید 23: اسلاید 23دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییImport Table هر رکورد درون IAT مربوط به یک فایل DLL است که آخرین رکورد دارای مقدار صفر است که پایان جدول را نشان می دهد.هر رکورد از تعدادی فیلد تشکیل شده است که این مهمترین این فیلدها عبارتند از :Original First Thunk که به ساختاری دیگری به نام Import By Name اشاره می کند که آن ساختار آرایه ای از رکورد هاست و هر رکورد به یک تابع ورودی (Import Function) اشاره می کند.در حقیقت RAV این ساختاردر این فیلد قرار دارد.Name که نام تابع DLL را نگهداری می کند. همچنین Import By Name نیز از تعدای فیلد تشکیل شده است که مشخصات توابع ورودی را در بر دارد
اسلاید 24: اسلاید 24دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییImport TableDOS HeaderPE HeaderSectionsTableOpt HeaderData DIRImport Address Table (IAT)VARVAKernel32.dllRVAuser32.dll0Original First ThunkImport By NameFunc numFunction 1Func numFunction 2
اسلاید 25: اسلاید 25دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییExport Tableیک فایل PEمی تواند توابع داخلی خود را برای استفاده سایر فایل های PE در جدول توابع خروجی (Export Table) قرار دهد. هنگامی که بار گذار PE برنامه ای را اجرا می کند dllهای موردنیاز برنامه را نیز باگذاری کرده و در فضای آدرس آن قرار می دهد. سپس اطلاعات مربوط به توابع ورودی را از برنامه اصلی بازخوانی کرده و با استفاده ازآنها به جستجوی آدرس توابع مورد نیاز برنامه در فایل dllمی پردازد. بارگذار PE برای جستجوی توابع به Export Table فایل DLL رجوع می کند.
اسلاید 26: اسلاید 26دانشگاه بیرجند-بهار 88ساختار فایلهای اجراییExport Tableساختار Export Table از تعدادی فیلد تشکیل شده است . این ساختار11 عضو دارد مهمترین این فیلدها عبارتند از :اولین عضو Data Directory به Export Table اشاره می کندName :نام واقعی فایل است. این فیلد بسیار ضروری است در صورت تغییر نام فایل بارگذار PE از این نام داخلی استفاده خواهد کرد. Number Of Functions : تعداد کل توابعی که توسط این فایل صادر می شوند.
نقد و بررسی ها
هیچ نظری برای این پاورپوینت نوشته نشده است.