PE 分析器 - DLL 分析工具

一个用 Rust 编写的综合 PE（可移植可执行文件）分析器，可以分析 Windows DLL 文件和可执行文件。 该工具提供有关 PE 文件结构、节区、导入、导出和调试信息的详细信息。

特性

• PE 文件验证: 验证 PE 文件结构，包括 DOS 头、NT 头和 COFF 头
• 架构检测: 识别目标架构（x86、x64）
• 子系统分析: 确定 Windows 子系统类型（GUI、控制台等）
• 节区分析: 解析并显示所有 PE 节区的详细信息
• 导入表分析: 列出所有导入的 DLL 和函数
• 导出表分析: 显示 DLL 中的导出函数
• 调试信息: 提取调试目录信息
• 可配置解析: 控制解析 PE 文件的哪些部分

使用方法

在您的 Cargo.toml 中添加此库：

[dependencies]
pe-rust = { path = "../pe-rust" }

基本示例

use pe_assembler::reader::{PeReader, PeView};
use pe_assembler::types::ReadConfig;

fn main() -> Result<(), Box<dyn std::error::Error>> {
    // 配置 PE 读取器
    let config = ReadConfig {
        include_sections: true,
        validate_checksum: false,
        parse_imports: true,
        parse_exports: true,
    };

    // 创建 PE 读取器
    let reader = PeReader::with_config(config);
    
    // 演示 PE 读取器的配置
    println!("PE 读取器已配置");
    println!("包含节区: {}", config.include_sections);
    println!("验证校验和: {}", config.validate_checksum);
    println!("解析导入: {}", config.parse_imports);
    println!("解析导出: {}", config.parse_exports);
    
    Ok(())
}

读取 PE 头

use pe_assembler::reader::PeReader;

fn main() -> Result<(), Box<dyn std::error::Error>> {
    // 创建 PE 读取器
    let reader = PeReader::new();
    
    // 演示 PE 读取器的使用
    println!("PE 读取器已创建");
    println!("可以使用 reader.view_file() 或 reader.read_file() 来处理 PE 文件");
    
    Ok(())
}

写入简单的 PE 文件

fn main() -> Result<(), Box<dyn std::error::Error>> {
    // 创建示例 PE 数据
    let pe_data = vec![0u8; 1024]; // 示例数据
    
    // 模拟写入操作
    println!("创建的 PE 数据长度: {}", pe_data.len());
    
    Ok(())
}

功能特性

• 安全的 Rust API: 内存安全的操作和适当的错误处理
• PE 格式兼容: 完全支持 PE/COFF 文件格式
• 可扩展: 模块化设计，便于扩展
• 跨平台: 适用于所有 Rust 支持的平台
• 零拷贝解析: 读取 PE 文件时高效的内存使用
• 错误处理: 全面的错误类型和消息

API 参考

读取器模块

reader 模块提供了解析 PE 文件的函数：

• read(data: &[u8]) -> Result<PeInfo, PeError>: 解析 PE 文件数据
• read_file(path: &str) -> Result<PeInfo, PeError>: 读取并解析 PE 文件

写入器模块

writer 模块提供了生成 PE 文件的函数：

• write(pe_info: &PeInfo) -> Result<Vec<u8>, PeError>: 生成 PE 文件数据
• write_file(path: &str, pe_info: &PeInfo) -> Result<(), PeError>: 将 PE 文件写入磁盘

数据结构

主要数据结构包括：

• PeInfo: 完整的 PE 文件表示
• DosHeader: DOS 头结构
• NtHeaders: NT 头结构
• CoffHeader: COFF 头结构
• OptionalHeader: 可选头结构
• SectionHeader: 节区头结构
• PeError: PE 操作错误类型

开发

构建

cargo build

测试

cargo test

文档

cargo doc --open

代码格式化

cargo fmt

代码检查

cargo clippy

集成

该库设计用于：

• pe-wasm32: 用于浏览器使用的 WebAssembly 绑定
• il-rust: 中间语言汇编库
• CLI 工具: 命令行 PE 汇编实用程序
• 其他应用程序: 任何需要 PE 文件操作的 Rust 项目

示例

查看 examples 目录获取更详细的使用示例：

• read_pe.rs: 演示读取和显示 PE 文件信息
• write_pe.rs: 显示如何创建简单的 PE 文件
• modify_pe.rs: 修改现有 PE 文件的示例

许可证

详见根目录的 License.md。

贡献

欢迎贡献！请随时提交拉取请求。

路线图

• 添加对更多 PE 文件特性的支持（资源、调试信息等）
• 改进错误处理和报告
• 添加更全面的测试覆盖
• 开发性能基准测试
• 创建更详细的示例和教程

导入表兼容模式（x64）

为提升在不同加载器/环境下的兼容性，写入导入表时采用“兼容模式”策略：

• x64：OriginalFirstThunk（INT）指向名称指针数组，FirstThunk（IAT）初始填入对应 IMAGE_IMPORT_BY_NAME 的 RVA（指向 Hint+Name）。加载器解析后会将 IAT 条目覆盖为实际函数地址。
• x86：沿用常见布局，OriginalFirstThunk 设为 0，FirstThunk（IAT）初始填入 IMAGE_IMPORT_BY_NAME 的 RVA。
• 目的：避免 IAT 初始为 0 时，某些加载路径不解析 INT 导致的未填充问题；统一行为让两种路径都能成功解析。

实现位置与说明：

• 写入逻辑位于 helpers/pe_writer/mod.rs::write_import_table，根据 pointer_size 在 x64 下为 IAT 写入名称 RVA；x86 维持既有行为。
• 构建器在 helpers/builder/mod.rs 中明确注释了该“兼容模式”，同时可选头会填写 Import Directory（索引 1）与 IAT Directory（索引 12），便于加载器识别范围。
• 示例与测试：tests/runnable/exit_code.rs 提供最小调用示例；新增的 x64-only 导入表测试断言 IAT 非零且指向有效 IMAGE_IMPORT_BY_NAME。

注意事项：

• 样例程序会清除 DllCharacteristics 的 DYNAMIC_BASE 位以禁用 ASLR，配合基于 RVA 的修补与 RIP 相对位移计算，确保加载稳定。
• 加载完成后 IAT 条目必然被覆盖为真实地址，因此初始写入的名称 RVA 仅用于解析阶段，不影响最终调用。