Исполняемый файл программа в операционной системе windows имеет расширение

Файл с исполняемым расширением (см. Что такое расширение файла?) в отличие от других форматов файлов, которые только содержат данные, например, музыку, видео, текстовый документ и т.п., могут быть запущены на исполнение. Т.е., если вы открываете файл с одним из исполняемых расширений, ваш компьютер может, без вашего дальнейшего участия, выполнить одну или несколько операций, запрограммированных в этом файле. Это могут быть как полезные действия, например, запуск текстового редактора или интернет-браузера, так и действия несущие в себе опасность для ваших данных или других программ на компьютере, т.е. это может быть компьютерный вирус.

Поэтому, при открытии исполняемых файлов, следует соблюдать повышенную осторожность, особенно, если вы получили этот файл из неизвестного вам источника, например, по почте от неизвестного адресата или с незнакомого сайта.

Примечание: это не полный, но пополняемый список исполняемых расширений файлов. Если вы знаете еще о каком-то исполняемом расширении файла, пожалуйста, сообщите.

Файл — это наименьшая логическая единица информации записанная на носителе — жёстком диске, флешке или каком-либо другом. Они используются операционной системой для различных целей. В каждом случае они имеют соответствующий формат.

Что такое исполняемый файл

Файлы можно разделить на две большие группы: программы и данные. Первые запускаются операционной системой на исполнение. Для вторых обычно установлена стандартная программа, которая с ними работает.

К исполняемым относятся программы и командные файлы. Пользователь их запускает при помощью двойного клика мышью или путём нажатия клавиши Enter.

Что такое формат и расширение файла

Расширение — это часть названия файла, расположенная после точки. Если она отсутствует. То считается, что расширения нет. Разрешается использовать несколько точек в таком названии. В таком случае расширение — это те символы, которые находятся после последней из них.

Чтобы операционная система знала, что делать с конкретным файлом, она сначала читает его расширение. Оно точно говорит о том, исполняемый это файл или файл данных. В последнем случае становится понятным, какая программа должна его обрабатывать. Например, если указано «htm», то при двойном клике мышкой файл будет открыт в стандартном браузере. Если речь идёт о картинке с расширением «jpg», то её обычно открывают в просмотрщике изображений.

О расширениях и форматах файла можно узнать из видео

Файл состоит из огромного количества байтов. Для каждого формата существуют формальные требования о том. Какая именно информация содержится в конкретных байтах. Например, в файлах картинок должна быть информация о каждой точке изображения и её цвете. Исполняемые файлы различных типов содержат код, который должен выполняться и уточняют, как именно он должен запускаться.

Расширение соответствует формату файла и определяет то, как должна вестись работа с ним. Визуально эту информацию выражает иконка. Для файла данных она соответствует программе, которая будет его обрабатывать. Пользователь имеет возможность поменять иконку на ту, которая ему подойдёт лучше.

Какие расширения могут иметь программные приложения

К исполняемым файлам относятся программы, которые выполняются самостоятельно. Некоторые из них могут работать с файлами данных, а некоторые — нет. Стандартным расширением является «exe». Такие программы включают в себя код, исполнение которого обеспечивается операционной системой. Другим типом исполняемых файлов являются командные файлы. Они содержат в себе список консольных команд, которые выполняются последовательно.

В ролике показано, как открывать файлы с различными расширениями

Как увидеть расширение файла

Операционная система может быть настроена таким образом, чтобы не показывать расширения зарегистрированных типов файлов. К ним относятся исполняемые файлы и те файлы данных, для которых назначены программы, открывающие их по умолчанию. Для некоторых файлов данных может не быть соответствующих исполняемых файлов. В таких случаях расширения показаны не будут.

Чтобы увидеть расширение файла, нужно изменить соответствующую системную настройку. В Windows 10 это можно сделать следующим образом:

1. Открыть Проводник.
2. В меню выбрать «Вид».
3. Выбирают строку «Скрывать расширения для зарегистрированных типов файлов» и удаляют галочку.

Затем нужно подтвердить сделанные изменения нажатием на «ОК ».

В Windows 7 для этой цели требуется выполнить такие действия:

1. Открыть Проводник.
2. Выбрать «Параметры папок и поиска».
3. Перейти на вкладку «Вид».
4. После этого будет открыт список доступных для изменения параметров. Нужно перейти к строке «Скрывать расширения для зарегистрированных типов файлов» и снять галочку напротив неё.

После нажатия на «ОК» корректировка вступит в силу.

Как изменить расширение

Операционная система видя расширение, понимает, как работать с файлом. Иногда может случиться так. Что оно не соответствует формату файла. Это может произойти по различным причинам. Вот несколько примеров:

1. Пользователь работал в текстовом редакторе и сохранил файл с придуманным им расширением.
2. В результате действия вируса.
3. При закачке из интернета файлу было присвоено несвойственное ему расширение.

Например, при скачивании из интернета pdf файла у него может оказаться расширение «tmp». С одной стороны, файл закачан полностью. С другой — при двойном клике по нему не запускается программа для чтения pdf файлов. Чтобы решить эту и аналогичные проблемы достаточно установить файлу нужное расширение. В описанном здесь примере достаточно поменять его на «pdf».

Чтобы поменять расширение на нужное, необходимо выполнить такие действия:

1. Открыть Проводник.
2. Отменить опцию «Скрывать зарегистрированные расширения файлов». Способ, которым нужно воспользоваться для этого подробно описан выше в этой статье.
3. Сделанную корректировку подтверждают. Затем выходят из настроек.
4. В проводнике находят нужный файл и выбирают его.
5. Нажимают F2. После этого редактирование имени файла становится доступным.
6. Указывают нужное расширение.
7. Заканчивают редактирование, нажав клавишу Enter.

При изменении расширения нужно точно знать, какое должно быть. Если есть несколько вариантов, можно попробовать каждый из них. Проверить можно, попытавшись открыть стандартным способом. В некоторых случаях найти правильное решение можно, просмотрев начало файла через 16-ричный редактор.

Как убрать расширение файла из названия

Наличие расширения необходимо для того, чтобы было понятно, как работать с этим файлом. Стирать его не рекомендуется. Однако есть возможность не показывать его, если оно было зарегистрировано системой.

В этом случае нужно поступить таким образом:

1. Открыть Проводник.
2. Перейти через меню к строке «Скрыть расширения для зарегистрированных файлов».
3. Поставить отметку в этой строке.

После этого нужно подтвердить ввод. Затем можно будет увидеть, что расширения больше показываться не будут. Если они не были зарегистрированы системой, то их по-прежнему можно будет увидеть.

Как открыть исполняемый файл

Чтобы открыть исполняемый файл, нужно сделать по нему двойной клик левой клавишей мыши. Это также можно сделать, если выбрать его название и нажать на клавишу Enter.

Какие расширения файлов могут быть опасны

Если исполняемый файл заражён вирусом, он при запуске нанесёт вред компьютеру. Однако также могут предоставлять опасность и другие. Например, вирус может существовать в виде макроса для Microsoft Office или как электронное письмо, которое наносит вред при попытке прочитать его.

Вирусы могут содержаться везде, где имеется исполняемый код. Это относится не только к программам и командным файлам, но и к многим другим.

Исполняемые файлы запускаются операционной системой. Затем им передаётся управление. После окончания работы его отдают обратно в операционную систему.

Исполняемые файлы Archives

В
операционной системе Windows логической
единицей для хранения информации
является файл.

Файл
— поименованный набор данных. Как правило,
эти данные хранятся на магнитных или
лазерных дисках. Основными атрибутами
файла являются:

1. собственное
   имя — строка
   букв и цифр. Предельная длина имени
   файла составляет 255 символов, включая
   пробелы. Имена не должны содержать
   следующих символов: / : * ? » < > |;

2. тип
   (расширение) –
   указывает тип файла. Расширение
   записывается через точку после имени
   файла и содержит три буквы. Файлы можно
   разбить на два класса информационные
   и исполняемые. Для того чтобы открыть
   информационный файл нужна другая
   программа. Например, файлы с расширением
   doc
   открываются с помощью текстового
   процессора Ms
   Word.
   Исполняемый
   файл, не требует специальной программы,
   а содержит программу в виде исполнимого
   кода. Исполняемые файлы в операционной
   системе Windows, имеют расширение exe , com.

3. размер
   — размер
   файла в байтах;

4. дата
   создания или изменения
   – содержит
   дату и время создания (последнего
   изменения) файла.

Собственное
имя файла плюс его расширение плюс путь
доступа к файлу называется полным именем
файла. В операционной системе Windows оно
уникально. Например, C:DOCPROBA.TXT
полное имя файла с собственным именем
PROBA,
имеющим расширение TXT
и расположенным на диске С в папке DOC.
Кроме полного имени может использоваться
короткое имя файла, длина его не более
12 символов включающих в себя две части:
урезанное до 8 символов собственное имя
и расширение.

На
диске файл храниться в одном или
нескольких фрагментах, называемых
кластерами. Адреса всех кластеров
содержаться в специальнойFATтаблице диска. В каталоге (перечне) всех
файлов содержится номер первого кластера,
а в соответствующей ячейкеFATтаблицы номер второго кластера или кодFFF(FFFF) если
этот кластер последний. Если в ячейкеFATтаблицы записано
значение 0, то кластер будет свободным.
Размер кластера зависит от типа файловой
системы, определяющей, кроме того,
размещение фрагментов файлов на диске,
возможность их сжатия при записи,
проверки целостности и восстановления
после сбоев, защиты от несанкционированного
доступа и т.д. Известны несколько
разновидностей файловых систем в
различных версиях ОС Windows используются
следующие:FATилиFAT16
– с 16 разрядными полями вFATтаблицах, числом записей 2¹⁶=65536,
например для диска объёмом от 1 до 2Г
длина кластера составляет 32К(64 сектора);FAT32 – с 32 разрядными полями
вFATтаблицах , числом
записей 2³²-более 4 млрд., например
для диска объёмом 8Г длина кластера
составляет 4К(8 секторов);NTFSиNTFS5 быстрые, надёжные и
безопасные файловые системы, в которых
размер кластера может устанавливаться
по усмотрению пользователя при
форматировании диска. С помощью
стандартных средств поздних версий ОС
Windows возможна конвертация разделов FAT,
FAT32 в NTFS без потери данных, только в
прямом направлении.

Папка.
Память
любого диска может быть разбита на
поименованные участки, называемые
каталогами или папками. Папка предназначена
для группировки данных и не позволяет
запутаться в большом количестве файлов.
Намного легче сначала выбрать одну из
10 групп, а затем один из 10 файлов, чем
производить выборку одного файла из
100. Для того чтобы раскрыть папку, делают
двойной щелчок по её значку. В
ОС Windows имеется специальная папка,
называемая корзиной, в которую помещаются
файлы после их удаления.
До тех пор пока корзина не будет очищена,
удалённый файл можно восстановить.

Удобным
средством для работы в OC
Windows

является
«Ярлык» — это ссылка на любой элемент,
доступный на компьютере или в сети. Он
служит для быстрого запуска программы,
открытия файла или папки без поиска их
расположения. Особенно полезно создавать
ярлыки для часто используемых программ,
файлов или папок и располагать их на
рабочем столе. Можно создать несколько
ярлыков для одного и того же файла и
расположить их в разных местах.
Если с рабочего стола удаляют ярлык,
то
будет удалён только ярлык, а сам объект,
на который он ссылается, останется на
своём месте.

Диск(том) — долговременная память компьютера,
выполнена в виде магнитных (МД) или
лазерных дисков. Каждый диск имеет имя
в виде одной латинской буквы. Чаще всего
используются следующие буквы: A, B —
сменные МД или дискеты C, D, E …. — встроенный
в компьютер МД ( винчестер) лазерные
диски илиФлэш-память.
Перед использованием каждый диск
форматируют. Форматированием диска
называется процесс разбиения его
поверхности на сектора и дорожки. Одна
дорожка состоит из нескольких секторов.Таким образом, сектор является
наименьшей физической единицей хранения
данных на жестком диске.В процессе
эксплуатации необходимо проводить
обслуживание диска, запуская следующие
программы: ПРОВЕРКА ДИСКА, которая
выявляет логические ошибки в файловой
структуре и физические ошибки, связанные
с дефектами жесткого диска и программу,
производящую дефрагментация диска,
которая улучшает его структуру. При
многократных операциях записи и стирания
файлов их фрагментация резко усиливается
(кластеры, в которых записан один файл,
могут быть разбросаны по всему диску)
и время считывания файла сильно
замедляется. При дефрагментации этот
недостаток ликвидируется — кластеры,
где записан один файл, размещаются
подряд.Эти программы могут выполняться
в любое время независимо от необходимости
выполнения данной операции.

Для
облегчения взаимодействия пользователя
с операционной системой(поиска и
корректировки информации на дисках в
папках и файлах) используются
операционные (файловые) оболочки или
менеджеры файлов.
Например, встроенная в ОС Windows,
Программа
«Проводник» предназначена выполнения
действий с папками и файлами. Кроме
того,
широко
известны
менеджеры
файлов:
Total Commander;
Norton
Commander; DOS Navigator; Far
Manager; Windows
3.11.

Перед
использованием дискеты или части
винчестера форматируются. При
форматировании происходит разбиения
поверхности диска на сектора и дорожки.
На диске или дискете может храниться
не только информация, но и сокращённая
или полная версия операционной системы.
Такая дискета называется системной и
форматируется специальным образом.
Системная
дискета необходима для первоначальной
загрузки операционной системы в случае,
когда на винчестере она повреждена.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

On Windows, what filename extensions denote an executable?

Denote to what?

I know that question probably sounds a bit confusing at the moment, but the question matters. As I explain why it matters, the question will become more clear.

Although Ken White’s answer of the PATHEXT variable (in the command prompt’s «environment») is a nice and short answer, and that answer may work well for you, the answer is incomplete. The reason that is incomplete is that the correct answer is different based on what you are trying to do.

For example, you might try to:

• Run a program from a «traditional command prompt» («CMD»), by typing its full filename
• Run a program from a «traditional command prompt» («CMD»), by typing the base filename, but leaving off its extension
• Use the «start» command that is built into the «traditional command prompt» («CMD»)
• Run a program from PowerShell
• Run a program from the «Run» menu item, found on the start menu
• Run a program from Explorer, by trying to double-click an icon related to a file ending with the extension
• Tell Microsoft Internet Explorer to open a downloaded file
• Run a program using a function from the Microsoft Windows API. (This is something that end users don’t typically do, but computer programmers may do this, and so the information is relevant to them.)

Some of these methods of running programs may use different methods of determining what filename extensions may be supported. In particular, using CMD may be different than the Run menu.

For instance, Wes’s puzzling blog: Customizing Windows Run Command… notes different locations being checked, including the registry key.

The answer may also depend on what version of Microsoft Windows is being used. In Windows 10, I just typed the name of a zip file at a command prompt, and it opened up Windows Explorer. I seem to remember that not working in Windows XP (although in Windows XP, I could type «start filename.zip» and get the same sort of effect). So either my memory is faulty, or Microsoft has been trying to make improvements in newer versions of Windows. (Hopefully, for me, the latter.)

In Windows 10’s traditional command prompt (running «CMD»), when I go to the location (using the «CD» command) of a zip file, and type «filename.zip», then the file will open. When I go to that location, and type «filename» (leaving off the «.zip» file extension), then Windows does not find the file. However if I run «ECHO %PATHEXT%» and then «SET PATHEXT=%PATHEXT%;.ZIP» (and then «ECHO %PATHEXT%» again, to make sure I had the desired effect), then I can type «filename» and the command prompt will find the .ZIP file. So, that is the effect of the %PATHEXT% variable.

You may be able to see another list of extensions by running the ASSOC command. For example, running that command shows multiple lines of output including the following (on my system) — «.zip=CompressedFolder«. Then, I can see what that runs by typing «FTYPE | FIND /I "CompressedFolder"«. (That is meant for the traditional command line. PowerShell won’t like those unescaped quotation marks.) (If you just type «FTYPE» without the rest of that command line, you’ll see quite a bit more output about other extensions.)

If I type «ASSOC | FIND /C "."«, on my Windows 10 computer, then I find that I have 339 lines of output when I check for file associations that way.

MS KB 162059 is all about adjusting how Internet Explorer opens Office documents.

So, asking for the list of default executables is too vague. Different components of Microsoft Windows may use different resources, so the question needs to be more specific for a precise answer.

The question did mention using Explorer to double-click on an icon. To see the list of executables used by that, I believe you’ll be wanting to check out the registry. You can run this from a command prompt:

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts

(I’m not going to list them here. There are 286 of them on my Windows 10 computer.)

That lists the extensions. To see more information, including details about the extensions:

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts /s

So, as you can see by now, this seemingly innocent question can actually be a quite complex topic. I believe I’ve made my case on why a question should be quite specific in order to be able to get a complete answer that totally addresses how a single component of Windows may determine the filename extensions. In a nut shell, there isn’t just one single answer for Windows, since Windows has multiple components that behave in different ways. Hopefully I’ve begun to show that, and pointed to some additional resources that show relevant information.

On Windows, what filename extensions denote an executable?

Denote to what?

I know that question probably sounds a bit confusing at the moment, but the question matters. As I explain why it matters, the question will become more clear.

Although Ken White’s answer of the PATHEXT variable (in the command prompt’s «environment») is a nice and short answer, and that answer may work well for you, the answer is incomplete. The reason that is incomplete is that the correct answer is different based on what you are trying to do.

For example, you might try to:

• Run a program from a «traditional command prompt» («CMD»), by typing its full filename
• Run a program from a «traditional command prompt» («CMD»), by typing the base filename, but leaving off its extension
• Use the «start» command that is built into the «traditional command prompt» («CMD»)
• Run a program from PowerShell
• Run a program from the «Run» menu item, found on the start menu
• Run a program from Explorer, by trying to double-click an icon related to a file ending with the extension
• Tell Microsoft Internet Explorer to open a downloaded file
• Run a program using a function from the Microsoft Windows API. (This is something that end users don’t typically do, but computer programmers may do this, and so the information is relevant to them.)

Some of these methods of running programs may use different methods of determining what filename extensions may be supported. In particular, using CMD may be different than the Run menu.

For instance, Wes’s puzzling blog: Customizing Windows Run Command… notes different locations being checked, including the registry key.

The answer may also depend on what version of Microsoft Windows is being used. In Windows 10, I just typed the name of a zip file at a command prompt, and it opened up Windows Explorer. I seem to remember that not working in Windows XP (although in Windows XP, I could type «start filename.zip» and get the same sort of effect). So either my memory is faulty, or Microsoft has been trying to make improvements in newer versions of Windows. (Hopefully, for me, the latter.)

In Windows 10’s traditional command prompt (running «CMD»), when I go to the location (using the «CD» command) of a zip file, and type «filename.zip», then the file will open. When I go to that location, and type «filename» (leaving off the «.zip» file extension), then Windows does not find the file. However if I run «ECHO %PATHEXT%» and then «SET PATHEXT=%PATHEXT%;.ZIP» (and then «ECHO %PATHEXT%» again, to make sure I had the desired effect), then I can type «filename» and the command prompt will find the .ZIP file. So, that is the effect of the %PATHEXT% variable.

You may be able to see another list of extensions by running the ASSOC command. For example, running that command shows multiple lines of output including the following (on my system) — «.zip=CompressedFolder«. Then, I can see what that runs by typing «FTYPE | FIND /I "CompressedFolder"«. (That is meant for the traditional command line. PowerShell won’t like those unescaped quotation marks.) (If you just type «FTYPE» without the rest of that command line, you’ll see quite a bit more output about other extensions.)

If I type «ASSOC | FIND /C "."«, on my Windows 10 computer, then I find that I have 339 lines of output when I check for file associations that way.

MS KB 162059 is all about adjusting how Internet Explorer opens Office documents.

So, asking for the list of default executables is too vague. Different components of Microsoft Windows may use different resources, so the question needs to be more specific for a precise answer.

The question did mention using Explorer to double-click on an icon. To see the list of executables used by that, I believe you’ll be wanting to check out the registry. You can run this from a command prompt:

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts

(I’m not going to list them here. There are 286 of them on my Windows 10 computer.)

That lists the extensions. To see more information, including details about the extensions:

reg query HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts /s

So, as you can see by now, this seemingly innocent question can actually be a quite complex topic. I believe I’ve made my case on why a question should be quite specific in order to be able to get a complete answer that totally addresses how a single component of Windows may determine the filename extensions. In a nut shell, there isn’t just one single answer for Windows, since Windows has multiple components that behave in different ways. Hopefully I’ve begun to show that, and pointed to some additional resources that show relevant information.

.EXE (сокр. англ. executable — исполнимый) — расширение исполняемых файлов, применяемое в операционных системах DOS, Windows, Symbian OS, OS/2 и в некоторых других, соответствующее ряду форматов. Кроме объектного кода может содержать различные метаданные (ресурсы, цифровая подпись [1] ).

Содержание

Форматы .EXE [ править | править код ]

• MZ — 16-битный формат, основной формат файлов .EXE в DOS.

• EXE-файлы для Windows и OS/2 используют другие форматы для основной части программы, но всё равно начинаются с заглушки в формате MZ, которая, как правило, при попытке запустить файл в DOS выводит сообщение This program cannot be run in DOS mode. («Эту программу невозможно запустить в режиме DOS») и завершает выполнение, хотя теоретически может запускать некий произвольный код, работоспособный в DOS.

Структура файлов [ править | править код ]

Файл EXE, создаваемый компоновщиком, состоит из двух частей:

• управляющая информация для загрузчика;
• загрузочный модуль.

Информация для загрузчика, описанная ниже, расположена в начале файла и образует так называемый заголовок. Сразу за ним следует тело загрузочного модуля, представляющее собой копию образа памяти задачи, построенной компоновщиком.

Стандартная часть заголовка имеет следующий формат [3] :

00-01 4D5A — сигнатура файла .EXE; 02-03 Длина образа задачи по модулю 512 (то есть число полезных байт в последнем блоке). Компоновщики версий до 1.10 помещали в это поле 04; если оно имеет такое значение, его рекомендуется игнорировать); 04-05 Длина файла в блоках; 06-07 Число элементов таблицы настройки адресов; 08-09 Длина заголовка в 16-байтных параграфах. Используется для выяснения начала тела загрузочного модуля; 0A-0B Минимальный объём памяти, которую нужно выделить после конца образа задачи (в 16-байтных параграфах); 0C-0D Максимальный объём памяти, которую нужно выделить после конца образа задачи (в 16-байтных параграфах); 0E-0F Сегментный адрес начала стекового сегмента относительно начала образа задачи; 10-11 Значение SP при входе в задачу; 12-13 Контрольная сумма — ноль минус результат сложения без переноса всех слов файла; 14-15 Значение IP (счетчика команд) при входе в задачу; 16-17 Сегментный адрес начала кодового сегмента относительно начала образа задачи; 18-19 Адрес первого элемента таблицы настройки адресов относительно начала файла; 1A-1B Номер сегмента перекрытий (0 для корневого сегмента программы).

Далее следует таблица настройки адресов. Таблица состоит из элементов, число которых записано в байтах 06-07. Элемент таблицы настройки состоит из двух полей: 2-байтного смещения и 2-байтного сегмента, и указывает слова в загрузочном модуле, содержащее адрес, который должен быть настроен на место памяти, в которое загружается задача. Настройка производится следующим образом:

1. В области памяти после резидентной части выполняющей загрузку программы строится префикс программного сегмента (PSP);
2. Стандартная часть заголовка считывается в память;
3. Определяется длина тела загрузочного модуля (разность длины файла 04-07 и длины заголовка 08-09 плюс число байт в последнем блоке 02-03). В зависимости от признака, указывающего загружать задачу в конец памяти или в начало, определяется сегментный адрес для загрузки. Этот сегмент называется начальным сегментом;
4. Загрузочный модуль считывается в начальный сегмент;
5. Таблица настройки порциями считывается в рабочую память;
6. Для каждого элемента таблицы настройки к полю сегмента прибавляется сегментный адрес начального сегмента. В результате элемент таблицы указывает на слово в памяти, к которому прибавляется сегментный адрес начального сегмента;
7. Когда таблица настройки адресов обработана, в регистры SS и SP записываются значения, указанные в заголовке, а к SS прибавляется сегментный адрес начального сегмента. В ES и DS записывается сегментный адрес начала PSP. Управление передается по адресу, указанному в заголовке (байты 14-17).

Структура программного сегмента [ править | править код ]

При обращении к нерезидентной команде или вызове программы операцией Exec, DOS определяет минимальный адрес, начиная с которого может быть загружена соответствующая программа. Эта область называется программным сегментом.

По смещению 0000 в программном сегменте DOS формирует префикс программного сегмента (PSP). Сама программа загружается по смещению 0100.

Программа завершается переходом по адресу 0000 в программном сегменте, выполнив INT 20, выполнив INT 21 с AH=0 или AH=4C, или обратившись к подпрограмме по адресу 0050 в программном сегмент с AH=0 или AH=4C.

Примечание: при завершении иначе, чем операцией 4C, программа должна предварительно заслать в CS адрес начала своего программного сегмента.

Все четыре способа возвращают управление в резидентную часть COMMAND.COM (при этом операция 4C передает код завершения). Все четыре способа приводят к продолжению выполнения программы, обратившейся к операции Exec (4B). При этом вектора прерываний 22, 23 и 24 (завершение, Ctrl-Break, фатальная ошибка обмена) восстанавливаются из Префикса Программного сегмента возобновляемой задачи. Затем управление передается по адресу завершения. Если программа возвращается в COMMAND.COM, то управление передается в нерезидентную часть. Если это происходит во время выполнения командного файла, оно продолжается, иначе COMMAND выдает на терминал приглашение и ждет ввода следующей команды.

Когда загруженная программа получает управление, имеют место следующие условия:

Portable Executable (PE, «переносимый исполняемый») — формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях операционной системы Microsoft Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API-функций, данные для управления ресурсами и данные локальной памяти потока (TLS). В операционных системах семейства Windows NT формат PE используется для EXE, DLL, SYS (драйверов устройств) и других типов исполняемых файлов.

PE представляет собой модифицированную версию COFF формата файла для Unix. PE/COFF — альтернативный термин при разработке Windows.

На операционных системах семейства Windows NT формат PE в настоящее время поддерживает следующие архитектуры наборов команд: IA-32, IA-64 и x86-64 (AMD64/Intel64). До Windows 2000 Windows NT (таким образом, и PE) поддерживал MIPS, Alpha и PowerPC. Поскольку PE используется на Windows CE, он продолжает поддерживать несколько разновидностей MIPS, ARM (включая Thumb) и SuperH.

Основные «конкуренты» PE — ELF (используемый в Linux и большинстве других версий Unix) и Mach-O (используемый в Mac OS X).

Содержание

Краткая история [ править | править код ]

С появлением операционной системы Windows NT 3.1 Microsoft перешла на формат PE. Все более поздние версии Windows, включая Windows 95/98/ME, поддерживают этот формат. Формат сохранил ограниченную поддержку существующего (MZ) для преодоления разрыва между системами, основанными на DOS, и системами NT. Например, заголовки PE/COFF всё ещё включают исполняемую программу MS-DOS, которая по умолчанию является заглушкой, выводящей на экран простое сообщение «This program cannot be run in DOS mode» — «Эта программа не может быть выполнена в режиме DOS» (или подобное). PE продолжает служить изменяющейся платформе Windows. Некоторые расширения включают формат PE.NET (см. ниже), 64-разрядную версию под названием PE32+ (иногда PE+) и спецификацию для Windows CE.

Технические детали [ править | править код ]

Сигнатура [ править | править код ]

Первые 2 байта PE-файла содержат сигнатуру 0x4D 0x5A — «MZ» (как наследник MZ-формата). Далее — двойное слово по смещению 0x3C содержит адрес PE-заголовка. Последний начинается с сигнатуры 0x50 0x45 — «PE».

Структура [ править | править код ]

Файл PE состоит из нескольких заголовков и секций, которые указывают динамическому компоновщику, как отображать файл в память. Исполняемый образ состоит из нескольких различных областей (секций), каждая из которых требует различных прав доступа к памяти; таким образом, начало каждой секции должно быть выровнено по границе страницы. Например, обычно секция .text, которая содержит код программы, отображена как исполняемая/доступная только для чтения, а секция .data, содержащая глобальные переменные, отображена как неисполняемая/доступная для чтения и записи. Однако, чтобы не тратить впустую пространство на жёстком диске, различные секции на нём на границу страницы не выровнены. Часть работы динамического компоновщика состоит в том, чтобы отобразить каждую секцию в память отдельно и присвоить корректные права доступа получившимся областям согласно указаниям, содержащимся в заголовках.

Таблица импорта [ править | править код ]

Одна из известных секций — таблица адресов импорта (IAT — Import Address Table), которая используется в качестве таблицы поиска, когда приложение вызывает функцию из другого модуля. Это может быть сделано и в форме импорта по порядковому номеру функции (ordinal), и импорта по её имени. Поскольку скомпилированной программе неизвестно расположение библиотек, от которых она зависит, то требуется производить косвенный переход всякий раз, когда происходит вызов API-функции. Когда динамический компоновщик загружает модули и объединяет их, он записывает действительные адреса в область IAT так, чтобы они указали на ячейки памяти соответствующих библиотечных функций. Хотя это добавляет дополнительный переход внутри модуля, приводящий к потере производительности, это предоставляет ключевое преимущество: количество страниц памяти, которые должны быть скопированы загрузчиком при записи, минимизировано, что приводит к экономии памяти и дискового времени ввода-вывода. Если компилятору будет известно заранее, что вызов будет межмодульным (через атрибут dllimport), то он сможет произвести более оптимизированный код, который просто приводит к коду операции косвенного вызова.

Таблица экспорта [ править | править код ]

Таблица адресов экспорта (EAT — Export Address Table) нужна для того, чтобы один модуль (обычно это динамически загружаемая библиотека) мог указать другим модулям, какие функции они могут из него импортировать, и по каким адресам последние расположены.

Таблица перемещений [ править | править код ]

Файлы PE не содержат позиционно-независимого кода. Вместо этого они скомпилированы для предпочтительного базового адреса, и все адреса, генерируемые компилятором/компоновщиком, заранее фиксированы. Если PE-файл не может быть загружен по своему предпочтительному адресу (потому что он уже занят чем-то ещё), операционная система будет перебазировать его. Это включает в себя перевычисление каждого абсолютного адреса и изменение кода для того, чтобы использовать новые значения. Загрузчик делает это, сравнивая предпочтительный и фактический адреса загрузки, и вычисляя значение разности. Тогда для получения нового адреса ячейки памяти эта разность складывается с предпочтительным адресом. Базовые адреса перемещений хранятся в списке и при необходимости добавляются к существующей ячейке памяти. Полученный код является теперь отдельным по отношению к процессу и не является больше разделяемым, так что при таком способе теряются многие из преимуществ экономии памяти динамически загружаемых библиотек. Такой способ также значительно замедляет загрузку модуля. По этой причине следует избегать перебазирования везде, где это возможно; например, библиотеки, поставляемые Microsoft, имеют предварительно вычисленные неперекрывающиеся базовые адреса. В случае отсутствия необходимости перебазировании PE-файлы имеют преимущество очень эффективного кода, но при наличии перебазирования издержки в использовании памяти могут быть значительными. Это отличает формат PE от ELF, который использует полностью позиционно-независимый код и глобальную таблицу смещений, которая жертвует временем выполнения в пользу расходования памяти.

.NET, метаданные и PE-формат [ править | править код ]

Платформа .NET корпорации Microsoft расширила формат PE с помощью функций, которые поддерживают общеязыковую среду исполнения (Common Language Runtime — CLR). Среди дополнений — заголовок CLR и секция данных CLR. После загрузки двоичного файла загрузчик ОС приводит к выполнению CLR через ссылку в таблице импорта PE/COFF. Затем CLR загружает заголовок CLR и секции данных.

Секция данных CLR содержит два важных сегмента: сегмент метаданных и сегмент кода промежуточного языка (IL):

• Метаданные содержат информацию, относящуюся к сборке, включая манифест сборки. Манифест подробно описывает сборку, включая уникальный идентификатор (с помощью хеша, номера версии и т. д.), данные об экспортируемых компонентах, расширенную информацию о типе (поддерживаемую общей системой типов (Common Type System — CTS)), внешние ссылки и список файлов в сборке. Среда CLR широко использует метаданные.
• Код промежуточного языка (Intermediate Language — IL) — абстрактный, независимый от языка код, который удовлетворяет требованиям общего промежуточного языка (Common Intermediate Language — CIL) .NET CLR. Термин «промежуточный» относится к природе кода IL, обладающего межъязыковой и кроссплатформенной совместимостью. Этот промежуточный язык, подобный байт-кодуJava, позволяет платформам и языкам поддерживать общую среду .NET CLR. IL поддерживает объектно-ориентированное программирование (полиморфизм, наследование, абстрактные типы и т. д.), исключения, события и различные структуры данных.

Использование в других операционных системах [ править | править код ]

Формат PE также используется ReactOS, поскольку ReactOS предназначена для того, чтобы быть двоично совместимой с Windows на уровне кода. Кроме того, он исторически использовался многими другими операционными системами, включая SkyOS и BeOS R3. Однако и SkyOS, и BeOS в конечном счёте перешли на формат ELF.

Поскольку платформа разработки Mono намеревается быть двоично совместимой с Microsoft .NET, она использует тот же формат PE, что и в реализации Microsoft.

На платформе x86 в Unix-подобных операционных системах некоторые двоичные файлы Windows (в формате PE) могут быть исполнены с помощью Wine. HX DOS Extender также использует формат PE для собственных 32-разрядных двоичных файлов DOS, кроме того, может в некоторой степени выполнить существующие двоичные файлы Windows в DOS, действуя, таким образом, как Wine для DOS.

Mac OS X 10.5 имеет возможность загружать и интерпретировать PE-файлы, однако они не являются двоично совместимыми с Windows.

PingVinich

Технарь

Доброго времени суток, форумчане. Сегодня, мы немного поговорим, рассмотрим и изучим под микроскопом структуру исполняемых файлов Windows ( Portable EXEcutable , или просто PE ), а в следующих статьях изучим технику модифицирования (инфицирования) PE-файлов, для того, чтобы исполнять свой собственный код после запуска чужого исполняемого файла (кстати, эта техника используется многими вирусами, для собственного «паразитического» распространения) и другие «хаки» с использованием знаний о структуре PE.

Portable Executabe файл (PE-файл) — это отдельный исполняемый модуль с расширением .exe (или .dll), получаемый в процессе сборки (компиляции и линковкии). В него включены код, ресурсы (иконки и другие данные), библиотеки, данные программы и т.д..

Давайте проведём аналогию между квартирой и PE-файлом. У каждой квартиры есть свой этаж, своя дверь, прихожая, гостинная, кладовка, свои комнаты, также у каждой квартиры есть своя схема планировки. Вся информация о квартире и сама эта квартира хранится в PE-файле. Взглянем на структуру исполняемого файла, а потом разберём основные части.

Как мы можем увидить, исполняемый файл состоит из двух основных частей:

1. Заголовки
2. Секции

Если вернуться к аналогии с квартирой, то заголовок — это информация о квартире. Планировка квартиры, количество комнат, этаж, где кладовка, где гостинная, где дверь, где прихожая, кто и когда сделал квартиру, квартира ли это вообще и т.д.. А секции — это комнаты. В секциях хранится код, различные данные, строки, функции и т.д.. Также как и в комнатах есть свои жильцы.

Если формально и без аналогий, то заголовки — структуры содержащие необходимые данные для загрузки программы, а секции — блоки данных с различным содержимым произвольного размера. Этим содержимым может быть код, ресурсы, виртуальные адреса функций и т.д..

Давайте изучим по-порядку какие есть заголовки и что в них указано. Заголовками PE-файла являются следующие заголовки в указанном порядке:

1. DOS заголовок
2. Заглушка DOS
3. PE заголовок
4. Таблица секций

Начнём наше приключение с изучения DOS заголовка.

Как я и сказал, заголовки хранят необходимую информацию для загрузки PE-файла. Поэтому данный заголовок является обязательным для загрузки PE-файла, хоть и не несёт в себе большой смысловой информации.

Заголовок состоит из полей, как список состоит из пунктов свойств. Каждый пункт хранит в себе какое-либо значение. Естественно, в файле всё это представленно в байтовом представлении. Не все поля нужны для загрузки (запуска) PE-файла. Поэтому комментировать и рассматривать мы будем только поля, необходимые для загрузки файла в память.

Вот его структура на языке C/C++.

Нас интересуют только первое ( e_magic ) и последнее поле ( e_lfanew ) этого заголовка. Они является самыми важными и влияют непосредственно на загрузку PE-файла.

e_magic
Двухбайтовое поле e_magic хранит в себе специальную сигнатуру. Эта сигнатура нужна, чтобы указать что это действительно исполняемый файл. Вот она — «MZ». Каждый PE-файл обязан начинаться с неё. Если это не так, файл просто не запустится.

Я выделил самым большим красный прямоугольником область DOS-заголовка. Здесь мы можем увидеть байты в шестнадцатеричном представлении.

Вы можете поинтересоваться, для чего же другие поля? Дело в том, что система Windows построена на базе старой системы MS DOS (была до Windows). И на самом деле, это заголовок для DOS программы. Так вот, эти поля хранятся на случай, если кто-то попытается запустить PE-файл в DOS . В наше время никто практически ей не пользуется, но они остаются, так как если поменяют формат PE-файла, то перестанут работать программы с нынешним стандартом.

Дальше у нас по списку PE-заголовок, который на самом деле, состоит из трёх частей: сигнатуры, файлового подзаголовка и дополнительного подзаголовка.

Вот его структура на языке C/C++:

Теперь давайте разберём каждое поле по-порядку.

Signature
Это четырёхбайтовое поле содержит сигнатуру, а именно значение 50 45 00 00 (или «PEx00x00»). Эта сигнатура указывает на то, что перед нами действительно PE-файл (Ага, ещё одна проверка).

FileHeader
Это обязательный подзаголовок PE-заголовка. Он хранит в себе базовые характеристики исполняемого файла.

На C/C++ структура данного заголовка выглядит так:

Разберём и этот подзаголовок по порядку.

• Machine
  Данное двухбайтовое поле содержит информацию о характеристике процессора, на котором может быть выполнена данная программа. Вот 3 основных значения, которые может принять этот заголовок:
  1. IMAGE_FILE_MACHINE_I386 ( 0x014c ) — означает, что программа может выполняться на x32
  2. IMAGE_FILE_MACHINE_IA64 ( 0x0200 ) — означает, что программа может выполняться на процессорах Intel Itanium (Intel x64).
  3. IMAGE_FILE_MACHINE_AMD64 ( 0x8664 ) — означает, что программа может выполняться на процессорах AMD64 (x64).

NumberOfSections
Двухбайтовоеполе NumberOfSections содержит в себе число секций (комнат) в PE-файле.

SizeOfOptionalHeader
Двухбайтовое поле содержащее размер дополнительного заголовка, который идёт сразу за файловым заголовком.

Characteristics
Даное двухбайтовое поле содержит характеристики PE-файла. Например, является ли это exe-файлом, или dll. Также, тут описано, является ли данная программа x64-битной или x86-битной.

Перейдём к следующему подзаголовку PE-заголовка.

OptionalHeader
Это ещё один обязательный подзаголовок PE-файла. В нём хранится необходимая информация для загрузки PE-файла. Он имеет всего два формата PE32+ (для 64-битных программ) и PE32 (для 32-битных).

Структура дополнительного заголовка представлена следующий C/C++ кодом.

И на этот раз рассмотрим только основные поля, необходимые для загрузки PE-файла в память.

• Magic
  Это двухбайтовое поле отвечает за битность программы (x32/x64). Оно может принимать следующие значения:

1. IMAGE_NT_OPTIONAL_HDR32_MAGIC ( 0x10b ) — означает, что это x32 (x86) исполняемый образ.
2. IMAGE_NT_OPTIONAL_HDR64_MAGIC ( 0x20b ) — означает, что это x64 исполняемый образ.
3. IMAGE_ROM_OPTIONAL_HDR_MAGIC ( 0x107 ) — означает, что это ROM образ.

AddressOfEntryPoint
Четырёхбайтовое поле AddressOfEntryPoint содержит адрес начала кода, т.е. указатель на дверь в команту кода.
Техника инфекции, которую мы изучим в будующем, основана на изменении этого значения.

ImageBase
Это четырёхбайтовое поле содержит предпочтительный адрес загрузки программы в память. В следующей статье мы разберём для чего он нужен.

SectionAlignment
Это четырёхбайтовое поле содержит относительный виртуальный адрес (относительно ImageBase, т. е. сколько байтов нужно отсчитать с адреса загрузки программы, чтобы попасть к началу секций) начала секций в виртуальной памяти.

FileAlignment
Это четырёхбайтовое поле содержит смещение относительной файла (сколько байтов нужно отсчитать с начала файла) начала секций в исполняемом файле.

MajorSubsystemVersion и MinorSubsytemVersion
В этих двухбайтовых полях содержится необходимая версия Windows.

SizeOfImage
Это четырёхбайтовое поле содержит размер (в байтах) загруженного исполняемого файла в памяти.

SizeOfHeaders
Четырёхбайтовое поле SizeOfHeaders содержит размер (в байтах) заголовков файла в памяти.

Subsystem
Двухбайтовое поле содержащее тип подсистемы (GUI, CLI, Driver, . ).

NumberOfRvaAndSizes
Данное четырёхбайтовое поле содержит число каталогов в массиве каталогов. По умолчанию равна 16.

DataDirectory
Это поле — на самом деле массив, которая содержит информацию о каталогах. Их число определено в поле NumberOfRvaAndSizes (по умолчанию (и почти всегда) 16) дополнительного заголовка. Каждый элемент информации о каталоге хранит относительный виртуальный адрес (относительно ImageBase, т. е. сколько байтов нужно отсчитать с адреса загрузки программы, чтобы попасть к началу секций) и размер какого-либо каталога (которые являются и секциями), которая определяется по её позиции в массиве.

Вот структура каталога на языке C/C++:

А вот идентификаторы (порядковый номер в DataDirectory):

Перейдём к последнему заголовку. Этот заголовок — таблица, которая содержит различную информацию о секциях . Мы уже знаем, что их количество определено в файловом заголовке в поле NumberOfSections. Проще говоря, это массив с NumberOfSections элементов. Этот массив содержит элементы типа IMAGE_SECTION_HEADER.

Давайте подробно рассмотрим основные поля.

Name
Это поле, размером в 8 байт, содержит имя секции, в ASCII кодировке.

VirtualSize
Это четырёхбайтовое поле содержит размер (в байтах) секции (той самой комнаты) в виртуальной памяти.

VirtualAddress
А это четырёхбайтовое поле уже содержит относительный адрес секции в виртуальной памяти.

SizeOfRawData
Данное четырёхбайтовое поле содержит размер секции в файле.

PointerToRawData
А указатель на эти самые данные, содержаться в этом четырёхбайтовом поле.

Characteristics
Это четырёхбайтовое поле содержит атрибуты секции. Например, права чтения, записи и исполнения (Read Write Execute) (RWE).

По сути, в таблице секций просто зафиксирована информация о секциях.

Вот и всё, мы закончили изучать заголовки. Теперь мы приступаем к изучению секций. По сути, секции являются простыми последовательными блоками данных. Они следуют друг за другом и у них нет определенного формата, так как их характеристики описаны в таблице секций. А вот формат данных, в этих секциях, зависят от типа информации, которая в них хранится. Секции, как я уже сказал, можно представить в виде комнат. Также, их можно представить и как в виде коробок с информацией. Размер каждой секции зафиксирован в таблице секций, поэтому секции должны быть определённого размера, а для этого их дополняют NULL-байтами (00). Вот и всё, что касается секций.

Также, небольшая шпаргалка, для того, чтобы понимать какое назначение носит имя определенного заголовка секции в таблице:

• .text : Код
• .data : Инициализированные данные
• .bss : Неинициализированные данные
• .rdata : Константные (рид-онли) данные
• .edata : Дескрипторы экспорта
• .idata : Дескрипторы импорта
• .reloc : Таблица релокации
• .rsrc : Ресурсы
• .tls : __declspec(thread) данные

Также, секциями являются и различные каталоги.

На этом всё. Спасибо за внимание. Если у Вас есть какие-либо вопросы или вы обнаружите неточности в статье, прошу отписаться в комментариях. Буду рад ответить на все ваши вопросы.

Перейти к основному содержанию

Вы здесь