在线文档教程

debug/pe

pe包

  • import "debug/pe"

  • 概述

  • 索引

概述

Package pe实现对 PE(Microsoft Windows Portable Executable)文件的访问。

索引

  • 常量

  • type COFFSymbol

  • func (sym *COFFSymbol) FullName(st StringTable) (string, error)

  • type DataDirectory

  • type File

  • func NewFile(r io.ReaderAt) (*File, error)

  • func Open(name string) (*File, error)

  • func (f *File) Close() error

  • func (f *File) DWARF() (*dwarf.Data, error)

  • func (f *File) ImportedLibraries() ([]string, error)

  • func (f *File) ImportedSymbols() ([]string, error)

  • func (f *File) Section(name string) *Section

  • type FileHeader

  • type FormatError

  • func (e *FormatError) Error() string

  • type ImportDirectory

  • type OptionalHeader32

  • type OptionalHeader64

  • type Reloc

  • type Section

  • func (s *Section) Data() ([]byte, error)

  • func (s *Section) Open() io.ReadSeeker

  • type SectionHeader

  • type SectionHeader32

  • type StringTable

  • func (st StringTable) String(start uint32) (string, error)

  • type Symbol

包文件

file.go pe.go section.go string.go symbol.go

常量

const ( IMAGE_FILE_MACHINE_UNKNOWN = 0x0 IMAGE_FILE_MACHINE_AM33 = 0x1d3 IMAGE_FILE_MACHINE_AMD64 = 0x8664 IMAGE_FILE_MACHINE_ARM = 0x1c0 IMAGE_FILE_MACHINE_EBC = 0xebc IMAGE_FILE_MACHINE_I386 = 0x14c IMAGE_FILE_MACHINE_IA64 = 0x200 IMAGE_FILE_MACHINE_M32R = 0x9041 IMAGE_FILE_MACHINE_MIPS16 = 0x266 IMAGE_FILE_MACHINE_MIPSFPU = 0x366 IMAGE_FILE_MACHINE_MIPSFPU16 = 0x466 IMAGE_FILE_MACHINE_POWERPC = 0x1f0 IMAGE_FILE_MACHINE_POWERPCFP = 0x1f1 IMAGE_FILE_MACHINE_R4000 = 0x166 IMAGE_FILE_MACHINE_SH3 = 0x1a2 IMAGE_FILE_MACHINE_SH3DSP = 0x1a3 IMAGE_FILE_MACHINE_SH4 = 0x1a6 IMAGE_FILE_MACHINE_SH5 = 0x1a8 IMAGE_FILE_MACHINE_THUMB = 0x1c2 IMAGE_FILE_MACHINE_WCEMIPSV2 = 0x169 )

const COFFSymbolSize = 18

type COFFSymbol(查看源代码)

COFFSymbol 表示单个 COFF 符号表记录。

type COFFSymbol struct { Name [8]uint8 Value uint32 SectionNumber int16 Type uint16 StorageClass uint8 NumberOfAuxSymbols uint8 }

func (*COFFSymbol) FullName(查看源代码)

func (sym *COFFSymbol) FullName(st StringTable) (string, error)

FullName 找到符号 sym 的真实名称。通常名称存储在 sym.Name 中,但如果长度超过8个字符,它将存储在 COFF 字符串表st中。

type DataDirectory(查看源代码)

type DataDirectory struct { VirtualAddress uint32 Size uint32 }

type File(查看源代码)

文件表示一个开放的 PE 文件。

type File struct { FileHeader OptionalHeader interface{} // *OptionalHeader32或 *OptionalHeader64 类型 Sections []*Section Symbols []*Symbol // 删除了辅助符号记录的COFF符号 COFFSymbols []COFFSymbol // 所有COFF符号(包括辅助符号记录) StringTable StringTable // 包含已过滤或未导出的字段 }

func NewFile(查看源代码)

func NewFile(r io.ReaderAt) (*File, error)

NewFile 创建一个新的文件,用于访问底层阅读器中的 PE 二进制文件。

func Open(查看源代码)

func Open(name string) (*File, error)

打开使用 os.Open 打开命名文件,并准备将其用作 PE 二进制文件。

func (*File) Close(查看源代码)

func (f *File) Close() error

关闭文件。如果文件是直接使用 NewFile 而不是 Open 来创建的,则 Close 不起作用。

func (*File) DWARF(查看源代码)

func (f *File) DWARF() (*dwarf.Data, error)

func (*File) ImportedLibraries(查看源代码)

func (f *File) ImportedLibraries() ([]string, error)

ImportedLibraries 返回二进制文件 f 引用的所有库的名称,这些库在动态链接时期预计将与二进制文件链接。

func (*File) ImportedSymbols(查看源代码)

func (f *File) ImportedSymbols() ([]string, error)

ImportedSymbols 返回二进制文件f引用的所有符号的名称,动态加载时期望其他库会满足这些名称。它不会返回弱符号。

func (*File) Section(查看源代码)

func (f *File) Section(name string) *Section

Section 返回给定名称的第一部分,如果不存在这样的部分,则返回 nil。

type FileHeader(查看源代码)

type FileHeader struct { Machine uint16 NumberOfSections uint16 TimeDateStamp uint32 PointerToSymbolTable uint32 NumberOfSymbols uint32 SizeOfOptionalHeader uint16 Characteristics uint16 }

type FormatError(查看源代码)

FormatError 未使用。该类型被保留以便兼容。

type FormatError struct { }

func (*FormatError) Error(查看源代码)

func (e *FormatError) Error() string

type ImportDirectory(查看源代码)

type ImportDirectory struct { OriginalFirstThunk uint32 TimeDateStamp uint32 ForwarderChain uint32 Name uint32 FirstThunk uint32 // 包含已过滤或未导出的字段 }

type OptionalHeader32(查看源代码)

type OptionalHeader32 struct { Magic uint16 MajorLinkerVersion uint8 MinorLinkerVersion uint8 SizeOfCode uint32 SizeOfInitializedData uint32 SizeOfUninitializedData uint32 AddressOfEntryPoint uint32 BaseOfCode uint32 BaseOfData uint32 ImageBase uint32 SectionAlignment uint32 FileAlignment uint32 MajorOperatingSystemVersion uint16 MinorOperatingSystemVersion uint16 MajorImageVersion uint16 MinorImageVersion uint16 MajorSubsystemVersion uint16 MinorSubsystemVersion uint16 Win32VersionValue uint32 SizeOfImage uint32 SizeOfHeaders uint32 CheckSum uint32 Subsystem uint16 DllCharacteristics uint16 SizeOfStackReserve uint32 SizeOfStackCommit uint32 SizeOfHeapReserve uint32 SizeOfHeapCommit uint32 LoaderFlags uint32 NumberOfRvaAndSizes uint32 DataDirectory [16]DataDirectory }

type OptionalHeader64(查看源代码)

type OptionalHeader64 struct { Magic uint16 MajorLinkerVersion uint8 MinorLinkerVersion uint8 SizeOfCode uint32 SizeOfInitializedData uint32 SizeOfUninitializedData uint32 AddressOfEntryPoint uint32 BaseOfCode uint32 ImageBase uint64 SectionAlignment uint32 FileAlignment uint32 MajorOperatingSystemVersion uint16 MinorOperatingSystemVersion uint16 MajorImageVersion uint16 MinorImageVersion uint16 MajorSubsystemVersion uint16 MinorSubsystemVersion uint16 Win32VersionValue uint32 SizeOfImage uint32 SizeOfHeaders uint32 CheckSum uint32 Subsystem uint16 DllCharacteristics uint16 SizeOfStackReserve uint64 SizeOfStackCommit uint64 SizeOfHeapReserve uint64 SizeOfHeapCommit uint64 LoaderFlags uint32 NumberOfRvaAndSizes uint32 DataDirectory [16]DataDirectory }

type Reloc(查看源代码)

Reloc 代表 PE COFF 重新安置。每个部分都包含自己的重定位列表。

type Reloc struct { VirtualAddress uint32 SymbolTableIndex uint32 Type uint16 }

type Section(查看源代码)

部分提供对 PE COFF 部分的访问。

type Section struct { SectionHeader Relocs []Reloc // 为ReadAt方法嵌入ReaderAt。 // 不要直接嵌入SectionReader // 避免阅读Read和寻求Seek。 // 如果客户想要阅读和寻求它必须使用 // Open()以避免争夺搜索偏移量 // 与其他客户。 io.ReaderAt // 包含已过滤或未导出的字段 }

func (*Section) Data(查看源代码)

func (s *Section) Data() ([]byte, error)

数据读取并返回 PE 部分的内容。

func (*Section) Open(查看源代码)

func (s *Section) Open() io.ReadSeeker

Open 返回一个新的 ReadSeeker 读取 PE 部分。

type SectionHeader(查看源代码)

SectionHeader 类似于 SectionHeader32,其中 Name 字段被 Go 字符串替换。

type SectionHeader struct { Name string VirtualSize uint32 VirtualAddress uint32 Size uint32 Offset uint32 PointerToRelocations uint32 PointerToLineNumbers uint32 NumberOfRelocations uint16 NumberOfLineNumbers uint16 Characteristics uint32 }

type SectionHeader32(查看源代码)

SectionHeader32 表示真实的 PE COFF 部分标题。

type SectionHeader32 struct { Name [8]uint8 VirtualSize uint32 VirtualAddress uint32 SizeOfRawData uint32 PointerToRawData uint32 PointerToRelocations uint32 PointerToLineNumbers uint32 NumberOfRelocations uint16 NumberOfLineNumbers uint16 Characteristics uint32 }

type StringTable(查看源代码)

StringTable 是一个 COFF 字符串表。

type StringTable []byte

func (StringTable) String(查看源代码)

func (st StringTable) String(start uint32) (string, error)

字符串从偏移量开始处的 COFF 字符串表st中提取字符串。

type Symbol(查看源代码)

符号与 COFFSymbol 类似,名称字段由 Go 字符串替换。Symbol 也没有 NumberOfAuxSymbols。

type Symbol struct { Name string Value uint32 SectionNumber int16 Type uint16 StorageClass uint8 }