【逆向】PE 文件加载核心流程

一、PE 文件加载完整流程(10步核心)

  1. 创建进程内核对象
    系统通过 CreateProcess 创建进程对象,分配PID、句柄、内存空间。
  2. 创建主线程对象
    分配主线程栈、线程环境块TEB,挂起等待加载完成。
  3. 读取并校验DOS头、NT头
    检查 MZPE 签名,判断是否有效32/64位PE。
  4. 解析区段表,映射内存
    Section 对齐内存,将代码、数据、资源分别映射到虚拟地址。
  5. 修复基址重定位(Relocation)
    首选基址被占用时,根据 .reloc 表修正绝对地址。
  6. 遍历导入表IAT,加载依赖DLL
    递归加载所有依赖DLL,解析函数地址,填入IAT。
  7. 执行DLL入口函数 DllMain
    按加载顺序依次调用 DLL_PROCESS_ATTACH
  8. 初始化TLS(线程本地存储)
    执行TLS回调,早于EP执行,逆向常用来反调试。
  9. 设置入口点EP(AddressOfEntryPoint)
    定位程序真正开始执行的代码位置。
  10. 唤醒主线程,从EP开始执行
    进程启动完成,跑用户代码。

二、逆向必懂关键结构(一句话)

  • PEB:进程环境块,保存加载模块、IAT、LDR链表。
  • LDR:管理已加载模块链表(InLoad/InMem/InInit)。
  • IAT:导入函数地址表,调用系统函数全靠它。
  • Relocation:基址被占时修正绝对地址。
  • TLS:早于入口执行,常用于反调试。

三、总结

PE加载就是:校验头部→映射内存→重定位→填IAT→跑DllMain→执行TLS→从EP启动。

相关推荐
问简6 小时前
【共享盘】ubuntu、windows
linux·windows·ubuntu
公子小六7 小时前
基于.NET的Windows窗体编程之WinForms图像控件
windows·microsoft·c#·.net·winforms
狂热开发者8 小时前
用 Typeoff 把会后口述整理成 Markdown 决策记录
人工智能·windows·macos·ios·安卓
何中应8 小时前
Windows7 虚拟机如何传文件
windows·vmware·虚拟机
一只小bit8 小时前
LangChain 核型组件与消息管理及提示词模版
windows·microsoft·langchain
ofoxcoding9 小时前
Codex Computer Use 完整指南:AI 自动操控 Mac 与 Windows 桌面实战详解
人工智能·windows·macos·ai
Nontee9 小时前
Set 这个东西,跟我一开始想的不太一样
java·linux·windows·microsoft
XUHUOJUN10 小时前
Windows Server 2025 Stretch Cluster 架构详解
windows·microsoft·azure local
大蚂蚁2号10 小时前
Fuck Stop code: VIDEO_DXGKRNL_FATAL_ERROR (0x113)
windows·系统架构
zhou1352848226710 小时前
Windows 配置 WSL (Ubuntu) 环境完整指南
linux·windows·ubuntu