Discussion :

[Piano]

Bonjour,

Je suis entrain d'écrire une programme analyseur de .exe qui récupère le maximum d'informations possible mais j'ai un petit problème.
J'ai un document de Wotsit qui indique:

If the word value at offset 18h is 40h or greater, the word value at 3Ch is typically an offset to a Windows header.

J'ai bien l'offset 0x18 de l'exécutable qui vaut 40.
Donc je dois aller à l'offset 0x3C ce que je fais mais là, je ne suis plus:

The following list summarizes the contents of the header information block (the locations are relative to the beginning of the block):
00h Specifies the signature word. The low byte contains "N" (4Eh) and the high byte contains "E" (45h).

Ca ne fonctionne pas, j'ai beau chercher dans tout le fichier avec une éditeur hexa, il n'y a aucun "NE" dans tout celui-ci.
Donc, le document est surment "vieux" ?
Mais alors, je voudrais savoir où puis-je trouver ce Windows Header (après le MS-DOS header) car j'ai besoin d'infos comme celle-là:

0Ch Specifies flags that describe the contents of the executable file. This value can be one or more of the following bits:

Bit Meaning

0 The linker sets this bit if the executable-file format is SINGLEDATA. An executable file with this format contains one data segment. This bit is set if the file is a dynamic-link library (DLL).

Je le trouve où ce bit ?
J'ai beau parcourir les offsets, je ne le vois pas.

P.S. Je ne savais pas bien où poster, j'éspère que le forum sera adéquois.

Merci

[Melem]

Tout d'abord si ma mémoireest bonne le mot magique n'est pas un mot mais un double mot (4 octets) et s'écrit en little-endian "PE\0\0". L'en-tête DOS commence quand à elle avec "MZ". Et enfin, toutes les structures (IMAGE_DOS_HEADER et compagnie ...) dont tu as besoin pour naviguer dans le PE sont déclarées dans winnt.h

[Piano]

Merci de ta réponse.
Tu veux dire que le "NE" n'est plus, mais c'est enfait "PE" en DWORD ?
Quant à le header DOS, oui je sais très bien, je cherchais le header Windows.

Je cours voir winnt.h...

@ edit >> J'ai compris ! Je peux continuer mon analyse.
Merci encore
@re-edit >> J'ai finalement une autre petite question:
Je lis dans ce même document:

Location Description

00h Specifies the signature word. The low byte contains "N" (4Eh) and the high byte contains "E" (45h).
02h Specifies the linker version number.
03h Specifies the linker revision number.
04h Specifies the offset to the entry table (relative to the beginning of the header).
06h Specifies the length of the entry table, in bytes.
08h Reserved.
0Ch Specifies flags that describe the contents of the executable file. This value can be one or more of the following bits:

Donc le mot de signature (PE) fait pour ce document un WORD alors que sur MSDN on peut voir que ça fait un DWORD ; je suppose que c'est MSDN qui a raison ?
Mais alors quand le document dit: 03h: linker revision number etc. je dois aussi décaler ça de 2 bits puisque la signature faisait Double mot ?

J'éspère que j'ai été clair, je ne crois pas...

@re-edit >> Désolé pour le 3eme édit, apparement ça fonctionne très bien pour trouver l'entry point du Windows Header mais après, pour l'analyser ça n'a pas l'air de fonctionner, celon le document (qui est de Microsoft):

Bit Meaning
0 The linker sets this bit if the executable-file
format is SINGLEDATA. An executable file with
this format contains one data segment. This bit
is set if the file is a dynamic-link library
(DLL).

Alors que j'ai testé une DLL et le bit 0 de l'offset "WindowsHeader entrypoint" + 0Ch = 0; screen:
http://img149.imageshack.us/img149/3364/18124950oy2.jpg

[Neitsa]

Bonjour,

tu as du te tromper de format, d'après ce que je vois sur ton screenshot (le format NE est différent du format PE). Le format NE n'est plus utilisé aujourd'hui, c'était le format des exécutables 16 bits.

Par exemple sut ton screenshot, à l'offset 0xF4, on voit la valeur 0x14C qui est la valeur IMAGE_FILE_MACHINE_I386 pour le champ IMAGE_FILE_HEADER.Machine.

Juste après la signature (PE\0\0) on trouve un IMAGE_FILE_HEADER et ensuite un IMAGE_OPTIONAL_HEADER. La signature + IMAGE_FILE_HEADER + IMAGE_OPTIONAL_HEADER format un IMAGE_NT_HEADERS.

Tu trouvera la spécification complète du format PE ici :

http://www.microsoft.com/whdc/system...re/PECOFF.mspx

Le parsing du format PE est quelque chose d'assez complexe du fait que le chargeur Windows accepte de charger des fichiers PE s'éloignant parfois très loin du format standard...

Si tu as besoin d'un peu d'aide concernant ce format, n'hésites pas.

[Piano]

Ah, voila !
J'étais justement entrain de me poser la question.

Merci de me l'avoir précisé.
Au moins j'ai un programme qui parse les exe. 16bits alors... (enfin presque)

Merci beaucoup pour le lien vers la doc.
Je n'hésiterai pas à poser pleins de question =)

P.S. Oui, je sais que le LoaderPE accepte les exe. avec beaucoups de différences mais y a t-il une méthode 'spécifique' (meilleure) pour parser les exe. 32bits ?

Merci