Расширение файла ехе означает что этот файл командный системный

Файл формата exe: чем открыть, описание, особенности

EXE – распространенный файловый формат еще со времен ОС MS-DOS. Рассмотрим, что это за файлы, их наз.

EXE – распространенный файловый формат еще со времен ОС MS-DOS. Рассмотрим, что это за файлы, их назначение и задачи, какими программами запускаются, на что обратить внимание при работе с ними.

Часто встречающийся файловый формат – EXE. Помогает запустить установку программ на компьютер. Как открыть файл EXE в разных операционных системах, просмотреть или отредактировать содержимое – рассмотрим подробнее.

Формат EXE

EXE применяется для названия файлов-исполнителей. Это сокращение английского «executable files» – исполняемый файл. Используется в операционных системах Microsoft Windows, MS-DOS. Его задача – запуск инсталляции (деинсталляции) софта на устройство. Для этого в нем записан сценарий и код, которые запустят процесс.

В файле EXE находятся:

Файл может быть закодирован и сжат архиватором в самораспаковывающийся архив. Инсталляция проводится в ту же директорию или в указанную пользователем.

Открываем EXE расширение

На персональном компьютере с ОС Microsoft Windows затруднений при открытии файла не возникает (об исключениях ниже). Сложности будут, если у пользователя Linux, Mac OS или мобильное устройство. Частый вопрос – как открыть EXE файл для редактирования или просмотра. Разбираемся по порядку.

На компьютере

ОС Microsoft Windows 7

Для запуска применяем двойной щелчок манипулятора. Файл начнет устанавливаться и распаковываться (если это архив). Для просмотра содержимого без инсталляции подойдут утилиты Windows:

ОС Microsoft Windows 10

ОС Mac

Windows приложения работают с эмуляторами без сбоев, для переключения на установленную на компьютере ОС не нужно перезагружать ПК.

ОС Linux

ОС Android

Как открыть EXE файл на Андроиде при том, что формат не предназначен для работы с ним? Структура и состав файлов EXE другой, прямой запуск невозможен. Есть два способа открыть файл:

Второй вариант проще. К таким утилитам относятся: BOCHS, Limbo, QEMU и другие. Принцип действий идентичен: скачать и установить приложение на мобильное устройство, запустить утилиту.

Стоит быть внимательными при открытии файлов этого типа – они могут содержать в себе вирусное программное обеспечение. Получив файл от неизвестного отправителя, скачав с непроверенного источника, не стоит открывать его и запускать инсталляцию.

Источник

Что такое EXE-файл?

в Компьютеры 28.11.2018 1 Комментарий 731 Просмотров

EXE файл – это специальный файл, который заканчивается расширением «.exe», иначе его называют исполняемый файл. И когда вы делаете клик на таком exe файле, встроенная процедура автоматически начинает выполнять код, который может привести в движение несколько функций. Файлы exe применяются для установки и запуска ПО и различных подпрограмм. EXE файл – это всего лишь один из нескольких типов форматов файлов, которые могут работать с различными ОС. Текстовые файлы, являются файлами, которые не могут генерировать код, и просто отображают текст, заканчиваются на txt. Другим распространенным типом файлов является сжатый или зашифрованный файл, который использует в конце расширение zip.
Файл exe является из самых полезных типов файлов именно потому, что он запускает программы; но он также делает его потенциально опасным. Он может использоваться как система доставки для вирусов или других вредоносных процедур. Внешне зараженный файл exe может показаться довольно правильным. Нажатие на него может показаться запущенным не более, чем анимированный мультфильм или простая аркадная игра. Но невидимый код может работать в фоновом режиме, заражая компьютер или компрометируя его.

Если вы нажмёте на такой вредоносный файл exe, в течение следующих может быть нескольких часов или даже дней, компьютер может начать нестабильно работать. Часто пользователь не связывает проблему с причиной и приписывает её другим факторам, таким как необходимость дефрагментации или замены диска. Личные данные или введение паролей когда вы нажимаете клавиш для его ввода, могут быть переданы на неизвестный веб-сайт и пользователь даже не будет знать об этом, или ПК может удалить свои собственные файлы и вообще привести к сбою ОС. Любой из этих сценариев и многие другое можно привести в движение, просто щёлкнув файл «bad» exe.

Из-за потенциального вреда при загрузке любого файла exe, прежде чем нажимать на него, рекомендуется проверять его с помощью надёжного антивирусного сканера. С этой целью эксперты по безопасности рекомендуют устанавливать браузеры, чтобы веб-сайты не могли автоматически загружать программы. Это дает сёрферу возможность контролировать, какие программы передаются на его или её компьютер.

Файлы exe обычно не предназначены для редактирования, так как изменение размера файла exe сделает его неработоспособным. Поскольку exe файл чаще всего является программой, он регулярно защищается законами об авторском праве в соответствии с лицензионным соглашением, выпущенным его автором. В этом случае взлом файла exe является незаконным. Исключение составляет программное обеспечение общего пользования. Программное обеспечение общего пользования принадлежит общественности и может быть изменено любым пользователем.

Поскольку безопаснее находиться на стороне осторожности, лучшая защита является установка хорошей антивирусной программы. Эксперты рекомендуют чаще обновлять антивирусные программы и выполнять проверку ОС, а также удалять электронную почту из неизвестных источников. Если вы получите exe файл от кого-то, кому вы доверяете, сначала просканируйте его, прежде чем на него нажимать. Даже файлы, которые, как представляется, поступают из уважаемых источников, могут быть замаскированы третьими лицами, и официальный источник даже не будет знать об этом.

Источник

Вопросы теста по «Общей информатике c ответами»

Онлайн-конференция

«Современная профориентация педагогов
и родителей, перспективы рынка труда
и особенности личности подростка»

Свидетельство и скидка на обучение каждому участнику

1. Основными функциями операционной системы являются:

1) диалог с пользователем

2) управление ресурсами компьютера

3) разработка программ для ЭВМ

4) запуск программ на выполнение

5) вывод информации на принтер.

2. К операционным системам относятся:

2) MS-Word, Word Pad, PowerPoint

3) MS-DOS, Windows XP.

3. Операционная система может храниться на:

1) жестком магнитном диске

2) гибком системном диске

3) в специальном DOS-каталоге

4) в каталоге пользователя.

4. Сетевые операционные системы — это:

1) комплекс программ для одновременной работы группы пользователей

2) комплекс программ, переносимых в сети с одного компьютера на другой

3) комплекс программ, обеспечивающих обработку, передачу и хранение данных в сети.

2) поименованная область на диске

3) последовательность операторов и команд.

6. Для своего размещения файл требует:

1) непрерывного пространства на диске

2) свободных кластеров в различных частях диска

7. Для обозначения файлов используют:

1) имена и расширения

2) команды операционной системы

8. При образовании имени файла можно использовать:

1) буквы латинского алфавита и цифры

2) буквы русского алфавита

3) цифры и специальные символы (>,

9. В качестве имени файла можно использовать символьное имя устройства: a)PRN, CON, NUL

10. Тип (или расширени

1) файла обозначается:

2) только тремя символами

3) не более чем четырьмя символами

4) не более чем тремя символами.

11. Командный файл — это файл, содержащий:

1) последовательность команд операционной системы

2) системную информацию

3) последовательность операторов языка программирования.

12. Текстовые файлы имеют расширение:

14. Шаблон имени и расширения файла — это:

1) специальная форма, в которой в полях имени и расширений типа файла используются символы «+» и «-.»

2) специальная форма, в которой в полях имени и расширений типа файла используются символы «*» и «?»

3) специальная форма, в которой в полях имени и расширений типа файла используются символы «-» и «?».

15. Символ «*» в обозначении файла означает:

1) любое число любых символов

2) один произвольный символ

3) один конкретный символ.

16. Имя файла в MS-DOS должно состоять:

1) из не более чем 8 символов

2) только из 8 символов

3) из не более чем 8 символов.

17. Символ «?» в имени файла означает:

1) любое число любых символов

2) один произвольный символ

3) один конкретный символ.

18. Путь или маршрут к файлу — это:

1) последовательность операторов

2) последовательность имен диска и каталогов, раз деленных символом «\»

3) перечень и последовательность имен устройств, разделенных символом «:».

19. Исполняемые файлы имеют расширение:

1) постоянная память

2) место хранения имен файлов

3) внешняя память длительного хранения.

21. Текущий каталог — это:

1) корневой каталог

2) каталог, с которым работают в настоящий момент времени

3) каталог, который находится на одной из панелей программы-оболочки.

22. Для обозначения каталогов используют:

1) имена и расширения

2) специальные имена

23. Каталоги образуют:

1) иерархическую структуру

2) сетевую структуру

3) реляционную структуру.

24. Обозначение гибких дисков в MS-DOS:

25. Правильное обозначение файла в MS-DOS:

Курс повышения квалификации

Дистанционное обучение как современный формат преподавания

Курс профессиональной переподготовки

Информатика: теория и методика преподавания в образовательной организации

Курс профессиональной переподготовки

Методическая работа в онлайн-образовании

Ищем педагогов в команду «Инфоурок»

Номер материала: ДБ-342216

Не нашли то что искали?

Вам будут интересны эти курсы:

Оставьте свой комментарий

Авторизуйтесь, чтобы задавать вопросы.

Учителям предлагают 1,5 миллиона рублей за переезд в Златоуст

Время чтения: 1 минута

Международный конгресс-выставка «Молодые профессионалы» пройдет с 12 по 14 декабря в Москве

Время чтения: 1 минута

В Москве новогодние утренники в школах и детсадах пройдут без родителей

Время чтения: 1 минута

В России планируют создавать пространства для подростков

Время чтения: 2 минуты

ВПР для школьников в 2022 году пройдут весной

Время чтения: 1 минута

Путин поручил не считать выплаты за классное руководство в средней зарплате

Время чтения: 1 минута

Подарочные сертификаты

Ответственность за разрешение любых спорных моментов, касающихся самих материалов и их содержания, берут на себя пользователи, разместившие материал на сайте. Однако администрация сайта готова оказать всяческую поддержку в решении любых вопросов, связанных с работой и содержанием сайта. Если Вы заметили, что на данном сайте незаконно используются материалы, сообщите об этом администрации сайта через форму обратной связи.

Все материалы, размещенные на сайте, созданы авторами сайта либо размещены пользователями сайта и представлены на сайте исключительно для ознакомления. Авторские права на материалы принадлежат их законным авторам. Частичное или полное копирование материалов сайта без письменного разрешения администрации сайта запрещено! Мнение администрации может не совпадать с точкой зрения авторов.

Источник

Формат исполняемых файлов Windows EXE: что это и зачем

Так как Windows — это самая популярная операционная система в мире, то и файлы EXE очень распространены. Основная цель этих файлов — запустить инсталляцию или деинсталляцию программ на компьютерах, которые поддерживают этот формат файлов.

В EXE-файле обязательно должны находиться следующие компоненты:

Компоненты для стартовой установки.

Компоненты, используемые загрузчиком этого документа.

Компоненты устанавливаемой программы: основные графические и аудио элементы.

Дополнительные элементы программы: стили, иконки, ярлыки, документы и др.

При активации файла EXE запускается встроенный в систему установщик, который устанавливает все компоненты программ.

Если на вашем персональном компьютере установлена операционная система Windows, то с открытием файлов подобного формата проблем не возник нет вообще, так как данный формат был специально разработан под эту систему.

В других распространенных ОС: Linux, MacOS, Android, iOS есть определенные сложности с открытием EXE-файлов.

В Windows при простом нажатии на такой файл автоматически может начаться установка программы, которой принадлежит этот документ. Но иногда есть потребность просмотреть или отредактировать этот файл без автоматической установки на ПК. Тогда могут пригодиться некоторые инструменты для Windows OS:

Если нужно только просмотреть файл, то помо гут : 7ZIP, Vmware ThinAPP, Microsoft Visual Studio, IcoFX и др.

Если хотите отредактировать EXE-файл, то можно воспользоваться программой Resource Hacker.

Заголовок. Это сведения о б устанавливаемой программе, которые нужны для ее установки на компьютер.

Секции — это второй важный компонент EXE-формата. В секциях содержится последовательная информация, которая нужна непосредственно для установки необходимой программы. В секциях нет какого-то уникального формата, в них может содержаться разнообразная инсталляционная информация.

Мы будем очень благодарны

если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.

Источник

Структура exe файла windows

.EXE (сокр. англ. executable — исполнимый) — расширение исполняемых файлов, применяемое в операционных системах DOS, Windows, Symbian OS, OS/2 и в некоторых других, соответствующее ряду форматов. Кроме объектного кода может содержать различные метаданные (ресурсы, цифровая подпись [1] ).

Содержание

Структура файлов [ править | править код ]

Файл EXE, создаваемый компоновщиком, состоит из двух частей:

Информация для загрузчика, описанная ниже, расположена в начале файла и образует так называемый заголовок. Сразу за ним следует тело загрузочного модуля, представляющее собой копию образа памяти задачи, построенной компоновщиком.

Стандартная часть заголовка имеет следующий формат [3] :

Далее следует таблица настройки адресов. Таблица состоит из элементов, число которых записано в байтах 06-07. Элемент таблицы настройки состоит из двух полей: 2-байтного смещения и 2-байтного сегмента, и указывает слова в загрузочном модуле, содержащее адрес, который должен быть настроен на место памяти, в которое загружается задача. Настройка производится следующим образом:

Структура программного сегмента [ править | править код ]

При обращении к нерезидентной команде или вызове программы операцией Exec, DOS определяет минимальный адрес, начиная с которого может быть загружена соответствующая программа. Эта область называется программным сегментом.

По смещению 0000 в программном сегменте DOS формирует префикс программного сегмента (PSP). Сама программа загружается по смещению 0100.

Программа завершается переходом по адресу 0000 в программном сегменте, выполнив INT 20, выполнив INT 21 с AH=0 или AH=4C, или обратившись к подпрограмме по адресу 0050 в программном сегмент с AH=0 или AH=4C.

Примечание: при завершении иначе, чем операцией 4C, программа должна предварительно заслать в CS адрес начала своего программного сегмента.

Все четыре способа возвращают управление в резидентную часть COMMAND.COM (при этом операция 4C передает код завершения). Все четыре способа приводят к продолжению выполнения программы, обратившейся к операции Exec (4B). При этом вектора прерываний 22, 23 и 24 (завершение, Ctrl-Break, фатальная ошибка обмена) восстанавливаются из Префикса Программного сегмента возобновляемой задачи. Затем управление передается по адресу завершения. Если программа возвращается в COMMAND.COM, то управление передается в нерезидентную часть. Если это происходит во время выполнения командного файла, оно продолжается, иначе COMMAND выдает на терминал приглашение и ждет ввода следующей команды.

Когда загруженная программа получает управление, имеют место следующие условия:

Portable Executable (PE, «переносимый исполняемый») — формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях операционной системы Microsoft Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API-функций, данные для управления ресурсами и данные локальной памяти потока (TLS). В операционных системах семейства Windows NT формат PE используется для EXE, DLL, SYS (драйверов устройств) и других типов исполняемых файлов.

PE представляет собой модифицированную версию COFF формата файла для Unix. PE/COFF — альтернативный термин при разработке Windows.

На операционных системах семейства Windows NT формат PE в настоящее время поддерживает следующие архитектуры наборов команд: IA-32, IA-64 и x86-64 (AMD64/Intel64). До Windows 2000 Windows NT (таким образом, и PE) поддерживал MIPS, Alpha и PowerPC. Поскольку PE используется на Windows CE, он продолжает поддерживать несколько разновидностей MIPS, ARM (включая Thumb) и SuperH.

Основные «конкуренты» PE — ELF (используемый в Linux и большинстве других версий Unix) и Mach-O (используемый в Mac OS X).

Содержание

Краткая история [ править | править код ]

С появлением операционной системы Windows NT 3.1 Microsoft перешла на формат PE. Все более поздние версии Windows, включая Windows 95/98/ME, поддерживают этот формат. Формат сохранил ограниченную поддержку существующего (MZ) для преодоления разрыва между системами, основанными на DOS, и системами NT. Например, заголовки PE/COFF всё ещё включают исполняемую программу MS-DOS, которая по умолчанию является заглушкой, выводящей на экран простое сообщение «This program cannot be run in DOS mode» — «Эта программа не может быть выполнена в режиме DOS» (или подобное). PE продолжает служить изменяющейся платформе Windows. Некоторые расширения включают формат PE.NET (см. ниже), 64-разрядную версию под названием PE32+ (иногда PE+) и спецификацию для Windows CE.

Технические детали [ править | править код ]

Сигнатура [ править | править код ]

Первые 2 байта PE-файла содержат сигнатуру 0x4D 0x5A — «MZ» (как наследник MZ-формата). Далее – двойное слово по смещению 0x3C содержит адрес PE-заголовка. Последний начинается с сигнатуры 0x50 0x45 — «PE».

Структура [ править | править код ]

Таблица импорта [ править | править код ]

Одна из известных секций — таблица адресов импорта (IAT — Import Address Table), которая используется в качестве таблицы поиска, когда приложение вызывает функцию из другого модуля. Это может быть сделано и в форме импорта по порядковому номеру функции (ordinal), и импорта по её имени. Поскольку скомпилированной программе неизвестно расположение библиотек, от которых она зависит, то требуется производить косвенный переход всякий раз, когда происходит вызов API-функции. Когда динамический компоновщик загружает модули и объединяет их, он записывает действительные адреса в область IAT так, чтобы они указали на ячейки памяти соответствующих библиотечных функций. Хотя это добавляет дополнительный переход внутри модуля, приводящий к потере производительности, это предоставляет ключевое преимущество: количество страниц памяти, которые должны быть скопированы загрузчиком при записи, минимизировано, что приводит к экономии памяти и дискового времени ввода-вывода. Если компилятору будет известно заранее, что вызов будет межмодульным (через атрибут dllimport), то он сможет произвести более оптимизированный код, который просто приводит к коду операции косвенного вызова.

Таблица экспорта [ править | править код ]

Таблица адресов экспорта (EAT — Export Address Table) нужна для того, чтобы один модуль (обычно это динамически загружаемая библиотека) мог указать другим модулям, какие функции они могут из него импортировать, и по каким адресам последние расположены.

Таблица перемещений [ править | править код ]

Файлы PE не содержат позиционно-независимого кода. Вместо этого они скомпилированы для предпочтительного базового адреса, и все адреса, генерируемые компилятором/компоновщиком, заранее фиксированы. Если PE-файл не может быть загружен по своему предпочтительному адресу (потому что он уже занят чем-то ещё), операционная система будет перебазировать его. Это включает в себя перевычисление каждого абсолютного адреса и изменение кода для того, чтобы использовать новые значения. Загрузчик делает это, сравнивая предпочтительный и фактический адреса загрузки, и вычисляя значение разности. Тогда для получения нового адреса ячейки памяти эта разность складывается с предпочтительным адресом. Базовые адреса перемещений хранятся в списке и при необходимости добавляются к существующей ячейке памяти. Полученный код является теперь отдельным по отношению к процессу и не является больше разделяемым, так что при таком способе теряются многие из преимуществ экономии памяти динамически загружаемых библиотек. Такой способ также значительно замедляет загрузку модуля. По этой причине следует избегать перебазирования везде, где это возможно; например, библиотеки, поставляемые Microsoft, имеют предварительно вычисленные неперекрывающиеся базовые адреса. В случае отсутствия необходимости перебазировании PE-файлы имеют преимущество очень эффективного кода, но при наличии перебазирования издержки в использовании памяти могут быть значительными. Это отличает формат PE от ELF, который использует полностью позиционно-независимый код и глобальную таблицу смещений, которая жертвует временем выполнения в пользу расходования памяти.

.NET, метаданные и PE-формат [ править | править код ]

Секция данных CLR содержит два важных сегмента: сегмент метаданных и сегмент кода промежуточного языка (IL):

Использование в других операционных системах [ править | править код ]

Формат PE также используется ReactOS, поскольку ReactOS предназначена для того, чтобы быть двоично совместимой с Windows на уровне кода. Кроме того, он исторически использовался многими другими операционными системами, включая SkyOS и BeOS R3. Однако и SkyOS, и BeOS в конечном счёте перешли на формат ELF.

На платформе x86 в Unix-подобных операционных системах некоторые двоичные файлы Windows (в формате PE) могут быть исполнены с помощью Wine. HX DOS Extender также использует формат PE для собственных 32-разрядных двоичных файлов DOS, кроме того, может в некоторой степени выполнить существующие двоичные файлы Windows в DOS, действуя, таким образом, как Wine для DOS.

Mac OS X 10.5 имеет возможность загружать и интерпретировать PE-файлы, однако они не являются двоично совместимыми с Windows.

PingVinich

Технарь

Давайте проведём аналогию между квартирой и PE-файлом. У каждой квартиры есть свой этаж, своя дверь, прихожая, гостинная, кладовка, свои комнаты, также у каждой квартиры есть своя схема планировки. Вся информация о квартире и сама эта квартира хранится в PE-файле. Взглянем на структуру исполняемого файла, а потом разберём основные части.

Как мы можем увидить, исполняемый файл состоит из двух основных частей:

Если вернуться к аналогии с квартирой, то заголовок – это информация о квартире. Планировка квартиры, количество комнат, этаж, где кладовка, где гостинная, где дверь, где прихожая, кто и когда сделал квартиру, квартира ли это вообще и т.д.. А секции – это комнаты. В секциях хранится код, различные данные, строки, функции и т.д.. Также как и в комнатах есть свои жильцы.

Если формально и без аналогий, то заголовки – структуры содержащие необходимые данные для загрузки программы, а секции – блоки данных с различным содержимым произвольного размера. Этим содержимым может быть код, ресурсы, виртуальные адреса функций и т.д..

Давайте изучим по-порядку какие есть заголовки и что в них указано. Заголовками PE-файла являются следующие заголовки в указанном порядке:

Начнём наше приключение с изучения DOS заголовка.

Как я и сказал, заголовки хранят необходимую информацию для загрузки PE-файла. Поэтому данный заголовок является обязательным для загрузки PE-файла, хоть и не несёт в себе большой смысловой информации.

Заголовок состоит из полей, как список состоит из пунктов свойств. Каждый пункт хранит в себе какое-либо значение. Естественно, в файле всё это представленно в байтовом представлении. Не все поля нужны для загрузки (запуска) PE-файла. Поэтому комментировать и рассматривать мы будем только поля, необходимые для загрузки файла в память.

Вот его структура на языке C/C++.

Нас интересуют только первое ( e_magic ) и последнее поле ( e_lfanew ) этого заголовка. Они является самыми важными и влияют непосредственно на загрузку PE-файла.

e_magic
Двухбайтовое поле e_magic хранит в себе специальную сигнатуру. Эта сигнатура нужна, чтобы указать что это действительно исполняемый файл. Вот она – «MZ». Каждый PE-файл обязан начинаться с неё. Если это не так, файл просто не запустится.

Я выделил самым большим красный прямоугольником область DOS-заголовка. Здесь мы можем увидеть байты в шестнадцатеричном представлении.

Дальше у нас по списку PE-заголовок, который на самом деле, состоит из трёх частей: сигнатуры, файлового подзаголовка и дополнительного подзаголовка.

Вот его структура на языке C/C++:

Теперь давайте разберём каждое поле по-порядку.

Signature
Это четырёхбайтовое поле содержит сигнатуру, а именно значение 50 45 00 00 (или «PEx00x00»). Эта сигнатура указывает на то, что перед нами действительно PE-файл (Ага, ещё одна проверка).

FileHeader
Это обязательный подзаголовок PE-заголовка. Он хранит в себе базовые характеристики исполняемого файла.

На C/C++ структура данного заголовка выглядит так:

Разберём и этот подзаголовок по порядку.

NumberOfSections
Двухбайтовоеполе NumberOfSections содержит в себе число секций (комнат) в PE-файле.

SizeOfOptionalHeader
Двухбайтовое поле содержащее размер дополнительного заголовка, который идёт сразу за файловым заголовком.

Characteristics
Даное двухбайтовое поле содержит характеристики PE-файла. Например, является ли это exe-файлом, или dll. Также, тут описано, является ли данная программа x64-битной или x86-битной.

Перейдём к следующему подзаголовку PE-заголовка.

OptionalHeader
Это ещё один обязательный подзаголовок PE-файла. В нём хранится необходимая информация для загрузки PE-файла. Он имеет всего два формата PE32+ (для 64-битных программ) и PE32 (для 32-битных).

Структура дополнительного заголовка представлена следующий C/C++ кодом.

И на этот раз рассмотрим только основные поля, необходимые для загрузки PE-файла в память.

1. IMAGE_NT_OPTIONAL_HDR32_MAGIC ( 0x10b ) – означает, что это x32 (x86) исполняемый образ.
2. IMAGE_NT_OPTIONAL_HDR64_MAGIC ( 0x20b ) – означает, что это x64 исполняемый образ.
3. IMAGE_ROM_OPTIONAL_HDR_MAGIC ( 0x107 ) – означает, что это ROM образ.

AddressOfEntryPoint
Четырёхбайтовое поле AddressOfEntryPoint содержит адрес начала кода, т.е. указатель на дверь в команту кода.
Техника инфекции, которую мы изучим в будующем, основана на изменении этого значения.

ImageBase
Это четырёхбайтовое поле содержит предпочтительный адрес загрузки программы в память. В следующей статье мы разберём для чего он нужен.

SectionAlignment
Это четырёхбайтовое поле содержит относительный виртуальный адрес (относительно ImageBase, т. е. сколько байтов нужно отсчитать с адреса загрузки программы, чтобы попасть к началу секций) начала секций в виртуальной памяти.

FileAlignment
Это четырёхбайтовое поле содержит смещение относительной файла (сколько байтов нужно отсчитать с начала файла) начала секций в исполняемом файле.

MajorSubsystemVersion и MinorSubsytemVersion
В этих двухбайтовых полях содержится необходимая версия Windows.

SizeOfImage
Это четырёхбайтовое поле содержит размер (в байтах) загруженного исполняемого файла в памяти.

SizeOfHeaders
Четырёхбайтовое поле SizeOfHeaders содержит размер (в байтах) заголовков файла в памяти.

NumberOfRvaAndSizes
Данное четырёхбайтовое поле содержит число каталогов в массиве каталогов. По умолчанию равна 16.

DataDirectory
Это поле – на самом деле массив, которая содержит информацию о каталогах. Их число определено в поле NumberOfRvaAndSizes (по умолчанию (и почти всегда) 16) дополнительного заголовка. Каждый элемент информации о каталоге хранит относительный виртуальный адрес (относительно ImageBase, т. е. сколько байтов нужно отсчитать с адреса загрузки программы, чтобы попасть к началу секций) и размер какого-либо каталога (которые являются и секциями), которая определяется по её позиции в массиве.

Вот структура каталога на языке C/C++:

А вот идентификаторы (порядковый номер в DataDirectory):

Давайте подробно рассмотрим основные поля.

Name
Это поле, размером в 8 байт, содержит имя секции, в ASCII кодировке.

VirtualSize
Это четырёхбайтовое поле содержит размер (в байтах) секции (той самой комнаты) в виртуальной памяти.

VirtualAddress
А это четырёхбайтовое поле уже содержит относительный адрес секции в виртуальной памяти.

SizeOfRawData
Данное четырёхбайтовое поле содержит размер секции в файле.

PointerToRawData
А указатель на эти самые данные, содержаться в этом четырёхбайтовом поле.

Characteristics
Это четырёхбайтовое поле содержит атрибуты секции. Например, права чтения, записи и исполнения (Read Write Execute) (RWE).

По сути, в таблице секций просто зафиксирована информация о секциях.

Вот и всё, мы закончили изучать заголовки. Теперь мы приступаем к изучению секций. По сути, секции являются простыми последовательными блоками данных. Они следуют друг за другом и у них нет определенного формата, так как их характеристики описаны в таблице секций. А вот формат данных, в этих секциях, зависят от типа информации, которая в них хранится. Секции, как я уже сказал, можно представить в виде комнат. Также, их можно представить и как в виде коробок с информацией. Размер каждой секции зафиксирован в таблице секций, поэтому секции должны быть определённого размера, а для этого их дополняют NULL-байтами (00). Вот и всё, что касается секций.

Также, небольшая шпаргалка, для того, чтобы понимать какое назначение носит имя определенного заголовка секции в таблице:

Также, секциями являются и различные каталоги.

На этом всё. Спасибо за внимание. Если у Вас есть какие-либо вопросы или вы обнаружите неточности в статье, прошу отписаться в комментариях. Буду рад ответить на все ваши вопросы.

Источник