Luevelsmeyer 的pe.txt总算是看完了,感谢ah007的翻译。
最后译者说道精华在于附录中,我略作修改重建一个文件,但不管怎么调,都无法运行。
一开始还以为是什么地方没有写对,可运行附的hello.exe也是报错。
看来用0x20对齐在XP下是不行的。这篇附录中就是太老了...

我来说说我改写的过程吧。
1.先写一段简单的代码
;MASMPlus 代码模板 - 普通的 Windows 程序代码
.386
.Model Flat, StdCall
Option Casemap :None

Include user32.inc
Include kernel32.inc

IncludeLib user32.lib
IncludeLib kernel32.lib
  
.data
MsgBoxText db "Hello.",0
MsgCaption db "Test",0

.CODE
START:
  invoke MessageBox, NULL,addr MsgBoxText, addr MsgCaption, MB_OK
  invoke ExitProcess,NULL
END START

顺便提一下,我用的是MASMPlus,可以在http://www.aogosoft.com/下载。

2.编译完之后用OD看一看
00401000 >/$  6A 00      push    0                  ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 07304000    push    00403007              ; |Title = "Test"
00401007  |.  68 00304000    push    00403000              ; |Text = "Hello."
0040100C  |.  6A 00      push    0                  ; |hOwner = NULL
0040100E  |.  E8 07000000    call    <jmp.&user32.MessageBoxA>      ; \MessageBoxA
00401013  |.  6A 00      push    0                  ; /ExitCode = 0
00401015  \.  E8 06000000    call    <jmp.&kernel32.ExitProcess>      ; \ExitProcess
0040101A   $- FF25 08204000  jmp     dword ptr [<&user32.MessageBoxA>>  ;  user32.MessageBoxA
00401020   .- FF25 00204000  jmp     dword ptr [<&kernel32.ExitProces>  ;  kernel32.ExitProcess

不错,以后代码照这个抄就可以了。
发现用到了两个DLL的函数,稍微复杂了一点。

再看看原文中的代码
    6A 00          ; push      0x00000000
    68 d0 01 10 00      ; push      offset _written
    6A 0D          ; push      0x0000000d
    68 c0 01 10 00      ; push      offset hello_string
    6A F5          ; push      0xfffffff5
    2E FF 15 28 02 10 00  ; call      dword ptr cs:__imp__GetStdHandle@4
    50          ; push      eax
    2E FF 15 24 02 10 00  ; call      dword ptr cs:__imp__WriteConsoleA@20
    C3          ; ret

注意两个call对应的机器码:E8和2E的不同,看来E8后面跟的是一个偏移量,
0040101A   $- FF25 08204000  jmp     dword ptr [<&user32.MessageBoxA>>  ;  user32.MessageBoxA
这条命令算是跳板的跳板。不想这样写,还是用2E FF 15 。
估算一下,代码长度在0x20之内。

3.建一个Hello.exe,用WinHex来改。
a)  先大约有个思路。
  文件对齐  0x00 00 02 00;
  区段对齐  0x00 00 10 00;
  ImageBase  0x00 40 00 00;
  只要两个段,一个代码段(Raw:0x200 / Rva:0x1000),把上面的代码放进去就可以了;
  一个数据段(Raw:0x400 / Rva:0x2000),一上来先放两个字符串,然后是输入目录。

  这样看来最多0x600个字节就可以搞定了,打开WinHex,加这么多的0。
  然后就可以开始改了。

b)Dos Stub 这部分很简单,只要有MZ,然后设一下e_lfanew就可以了。
00000000   4D 5A 00 00 00 00 00 00  00 00 00 00 00 00 00 00   MZ..............
00000010   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000020   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000030   00 00 00 00 00 00 00 00  00 00 00 00 40 00 00 00   ............@...

c)NT Header 部分这样看肯定一头雾水...
00000040   50 45 00 00 4C 01 02 00  00 00 00 00 00 00 00 00   PE..L...........
00000050   00 00 00 00 E0 00 02 01  0B 01 00 00 20 00 00 00   ....?...... ...
00000060   D0 00 00 00 00 00 00 00  00 10 00 00 00 10 00 00   ?..............
00000070   00 20 00 00 00 00 40 00  00 10 00 00 00 02 00 00   . ....@.........
00000080   04 00 00 00 00 00 00 00  04 00 00 00 00 00 00 00   ................
00000090   00 30 00 00 00 02 00 00  00 00 00 00 02 00 00 00   .0..............
000000A0   00 00 10 00 00 10 00 00  00 00 10 00 00 10 00 00   ................
000000B0   00 00 00 00 10 00 00 00  00 00 00 00 00 00 00 00   ................
000000C0   20 20 00 00 B0 00 00 00  00 00 00 00 00 00 00 00     ..?..........
000000D0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000000E0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000000F0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000100   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000110   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000120   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000130   00 00 00 00 00 00 00 00  2E 63 6F 64 65 00 00 00   .........code...
00000140   00 00 00 00 00 10 00 00  20 00 00 00 00 02 00 00   ........ .......
00000150   00 00 00 00 00 00 00 00  00 00 00 00 20 00 00 60   ............ ..`
00000160   2E 64 61 74 61 00 00 00  00 00 00 00 00 20 00 00   .data........ ..
00000170   C0 00 00 00 00 04 00 00  00 00 00 00 00 00 00 00   ?..............
00000180   00 00 00 00 40 00 00 C0                                                ....@..

具体说一下:
Signature          0x4550    ;直接在右边输入PE就可以了
文件头部分:
Machine            0x14c    ;Intel 386
NumberOfSections      0x2      ;2个区段
TimeDateStamp        0x0
PointerToSymbolTable      0x0
NumberOfSymbols      0x0
SizeOfOptionalHeader      0xe0    ;可选头大小,永远是0xe0
Characteristics        0x102    ;具体看pe说明
----------------------------------------
可选头部分:
Magic            0x10b    ;32-位 
MajorLinkerVersion      0x0      
MinorLinkerVersion      0x0
SizeOfCode          0x20    ;随便写 0x0~0xFF FF FF FF都可以
SizeOfInitializedData      0xd0    ;随便写 0x0~0xFF FF FF FF都可以
SizeOfUninitializedData    0x0
AddressOfEntryPoint      0x1000    ;入口,这里就是代码段开头处的Rva
BaseOfCode          0x1000    ;代码段开头处的Rva
BaseOfData          0x2000    ;数据段开头处的Rva
ImageBase          0x400000  ;写代码是要注意把Base加上
SectionAlignment        0x1000    ;区段对齐
FileAlignment        0x200    ;文件对齐
MajorOperatingSystemVersion  0x4      ;NT 4.0
MinorOperatingSystemVersion   0x0
MajorImageVersion      0x0
MinorImageVersion      0x0
MajorSubsystemVersion    0x4      ;Win32 4.0
MinorSubsystemVersion    0x0
Reserved1          0x0
SizeOfImage          0x3000    ;请看下面的话
SizeOfHeaders        0x200    ;文件中第一个区段的偏移量
/*
    这里插段话,在原文的附录中,关于这两个字段是这样描述的。
    SizeOfImage                 c0 00 00 00 ; sum of all section sizes
    SizeOfHeaders               a0 01 00 00 ; offset to 1st section
    这个描述很不好,首先all section是包括Headers这个Section的
    但下面的1st section,显然指的是Headers后的第一个区段。
    这两个section含义不一致。
    我就被误导了,一开始这里填了0x2000,就没有通过。

    其实原文前面的解释比较清楚:
    ...它就是所有头和节的长度的总和。
 */
CheckSum          0x0
Subsystem          0x2      ;Win GUI
DllCharacteristics        0x0      
SizeOfStackReserve      0x100000  ;就这样写吧
SizeOfStackCommit      0x1000    ;
SizeOfHeapReserve      0x100000  ;
SizeOfHeapCommit      0x1000    ;
LoaderFlags          0x0
NumberOfRvaAndSizes    0x10    ;总是这个值,下面有多少个目录
----------------------------------------
数据目录部分
Directory 0
Size              0x0
VirtualAddress        0x0
----------------------------------------
Directory 1
Size              0xb0    ;随便写 0x0~0xFF FF FF FF都可以
VirtualAddress        0x2020    ;两个字符串0x20总够了吧
----------------------------------------
.                    ;还有14个,全是0
.
.
----------------------------------------
区段头
Section  0
Name            .code    ;区段的名字
VirtualAddress        0x1000    ;内存中的位置
SizeOfRawData        0x20    ;随便写 0x1~0x10 00都可以
PointerToRawData      0x200    ;文件中的位置
PointerToRelocations      0x0
PointerToLinenumbers      0x0
NumberOfRelocations      0x0
NumberOfLinenumbers    0x0
Characteristics        0x6000002  ;具体看pe说明
----------------------------------------
Section  1
Name            .data    ;区段的名字
VirtualAddress        0x2000    ;内存中的位置
SizeOfRawData        0xc0    ;写大一点就可以了
PointerToRawData      0x400    ;文件中的位置
PointerToRelocations      0x0
PointerToLinenumbers      0x0
NumberOfRelocations      0x0
NumberOfLinenumbers    0x0
Characteristics        0xc000004  ;具体看pe说明
----------------------------------------

关于“随便写”的地方,都是size。
看来.code段无所谓size,别超过段大小就行。
.data段就不行,不能少,但可以多,能多多少就要看文件的大小。
SizeOfCode          0x20    ;随便写 0x0~0xFF FF FF FF都可以
SizeOfInitializedData      0xd0    ;随便写 0x0~0xFF FF FF FF都可以
Directory 1
Size              0xb0    ;随便写 0x0~0xFF FF FF FF都可以
这3个有点夸张,但可以正常运行。

c)现在不妨跳过.code段,先搞.data段
00000400   50 45 D1 A7 CF B0 00 00  BF B4 B5 BD C4 E3 C1 CB   PE学习..看到你了
00000410   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000420   5C 20 00 00 00 00 00 00  FF FF FF FF 7C 20 00 00   \ ......| ..
00000430   64 20 00 00 6C 20 00 00  00 00 00 00 FF FF FF FF   d ..l ......
00000440   8C 20 00 00 74 20 00 00  00 00 00 00 00 00 00 00   ?..t ..........
00000450   00 00 00 00 00 00 00 00  00 00 00 00 AC 20 00 00   ............?..
00000460   00 00 00 00 AC 20 00 00  00 00 00 00 BC 20 00 00   ....?......?..
00000470   00 00 00 00 BC 20 00 00  00 00 00 00 75 73 65 72   ....?......user
00000480   33 32 2E 64 6C 6C 00 00  00 00 00 00 6B 65 72 6E   32.dll......kern
00000490   65 6C 33 32 2E 64 6C 6C  00 00 00 00 00 00 00 00   el32.dll........
000004A0   00 00 00 00 00 00 00 00  00 00 00 00 01 00 4D 65   ..............Me
000004B0   73 73 61 67 65 42 6F 78  41 00 00 00 02 00 45 78   ssageBoxA.....Ex
000004C0   69 74 50 72 6F 63 65 73  73 00 00 00 00 00 00 00   itProcess.......
000004D0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000004E0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
000004F0   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

上来两个字符串,注意最后加'\0'。对应的Rva是0x00 40 20 00和0x00 40 20 08
从0x420开始是输入目录
因为有2个DLL,所以先留3*0x14=0x3c的地方,先把4个FF写好,以后找起来方便些,一一。
OriginalFirstThunk    0x205c    
TimeDateStamp      0x0      ;
ForwarderChain      0xffffffff    ;不中转
Name          0x207c
        user32.dll
FirstThunk        0x2064
----------------------------------------
OriginalFirstThunk    0x206c
TimeDateStamp      0x0      ;
ForwarderChain      0xffffffff    ;不中转
Name          0x208c
        kernel32.dll
FirstThunk        0x2074
----------------------------------------
全0
----------------------------------------
之后我放的是4组Thunk,注意每组最后一个元素都是0。
这样上面两个OriginalFirstThunk和FirstThunk都可以定下来了。
之后是两个DLL的名字,于是Name可以定下来了。
然后是两个IMAGE_IMPORT_BY_NAME
WORD Hint      ;随便写一个
BYTE Name[1]    ;函数名
MessageBoxA是user32.dll的。
ExitProcess是kernel32.dll的。
这样上面的Thunk可以定了。

好,数据段的大小也定了。回到上面去改一下。

d)最后写代码。
00000200   6A 00 68 00 20 40 00 68  08 20 40 00 6A 00 2E FF   j.h. @.h. @.j..
00000210   15 64 20 40 00 6A 00 2E  FF 15 74 20 40 00 00 00   .d @.j...t @...
00000220   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................
00000230   00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00   ................

00401000 >/$  6A 00        push    0                  ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 00204000      push    00402000              ; |Title = "PE学?,B0,""
00401007  |.  68 08204000      push    00402008              ; |Text = "?,B4,"?,BD,"你了"
0040100C  |.  6A 00        push    0                  ; |hOwner = NULL
0040100E  |.  2E:FF15 64204000>  call    dword ptr cs:[<&user32.MessageBoxA>  ; \MessageBoxA
00401015  |.  6A 00        push    0
00401017  \.  2E:FF15 74204000>  call    dword ptr cs:[<&kernel32.ExitProcess>]  ;  kernel32.ExitProcess

代码很简单,00 20 40 00也就是 00 40 20 00,是第一个字符串的地址。
要注意“高高低低”的规则。
64 20 40 00 是00 40 20 64是user32.dll的FirstThunk,指向的就是MessageBoxA

其他:
  学习pe的时候,用c写了段读pe结构的代码,对于学习还是很有帮助的。
  winnt.h包含了pe结构的说明,但一开始include之后一排错。
  原来还要include <window.h>。

终于结束了,打完收工...