[Jeder kann coden](../programming/abstract/Contents.de.ipynb) / [Programmieren & TicTacToe](../programming/Programming_And_TicTacToe.de.ipynb) / [C# Einführung](../programming/csharp/CSharp_Introduction.de.ipynb)

# Systemnahe Aspekte
## Am Beispiel von Windows und x86 / AMD64

<table border="0">
  <tr>
    <td>
        <img src="Systemlevel_programming.jpeg">
    </td>
    <td rowspan="2">
        <a href="https://miro.com/app/board/o9J_lOJi2o0=/?moveToWidget=3458764554347680798&cot=14"><img src="Radar_Systemlevel_Programming_Wintel.jpg"></a>
    </td>
  </tr>
  <tr>
    <td>
        <a href="https://learn.microsoft.com/en-us/windows/win32/debug/pe-format" target="_blank">PE-Format (Microsoft Docs)</a><br>
        <a href="https://en.wikipedia.org/wiki/Portable_Executable" target="_blank">Portable Executable (Wikipedia)</a><br>
        <a href="https://reverseengineering.stackexchange.com/questions/what-is-the-difference-between-pe32-and-pe32" target="_blank">PE32 vs PE32+ (Reverse Engineering StackExchange)</a><br>
        <a href="https://docs.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-loadlibrarya" target="_blank">LoadLibraryA – Windows API</a><br>
        <a href="https://docs.microsoft.com/en-us/windows/win32/procthread/process-creation" target="_blank">Process Creation (Microsoft Docs)</a><br>
        <a href="https://docs.microsoft.com/en-us/windows/win32/api/winnt/ns-winnt-image_optional_header64" target="_blank">IMAGE_OPTIONAL_HEADER64 Struktur</a><br>
        <a href="https://www.geoffchappell.com/studies/windows/win32/ntdll/structs/pe.htm" target="_blank">PE-Format-Details (Geoff Chappell)</a><br>
        <a href="https://0xrick.github.io/win-internals/pe-beginners-guide/" target="_blank">PE für Einsteiger (0xRick)</a><br>
        <a href="https://ntcore.com/?page_id=388" target="_blank">CFF Explorer – PE-Tool</a><br>
        <a href="https://docs.microsoft.com/en-us/windows/win32/api/minwinbase/ns-minwinbase-startupinfoa" target="_blank">STARTUPINFOA Struktur (Microsoft Docs)</a><br>
        <a href="https://malwareanalysisbook.com" target="_blank">Practical Malware Analysis (Buchwebseite)</a><br>
        <a href="https://github.com/xaionaro/reverse-engineering" target="_blank">Reverse Engineering Tools (GitHub)</a><br>
        <a href="https://www.hex-rays.com/products/ida/" target="_blank">IDA Pro Disassembler</a><br>
        <a href="https://ghidra-sre.org" target="_blank">Ghidra – Reverse Engineering Framework</a><br>
        <a href="https://learn.microsoft.com/en-us/windows/win32/api/winnt/ns-winnt-image_section_header" target="_blank">IMAGE_SECTION_HEADER Struktur</a><br>
    </td>
  </tr>
</table>

Zu den Wurzeln der Programmierung: Wie funktionieren Windows-Executables (EXE) und Dynamic Link Libraries (DLL) wirklich? Dieses Thema ist nicht nur für Softwareentwickler, sondern auch für Systemadministratoren, Sicherheitsexperten und Technikinteressierte von Bedeutung.

Um die Technik hinter Windows-Executables vollständig zu verstehen, ist es sinnvoll, schrittweise vorzugehen – von den historischen Ursprüngen über die Architektur von modernen .exe- und .dll-Dateien bis hin zu deren Interaktion mit CPU, Registern und Arbeitsspeicher. Hier ist eine umfassende Gliederung mit Erklärungen:

## Historischer Kontext

Die Entwicklung von Windows-Executables ist eng mit der Geschichte der Betriebssysteme und Computerarchitekturen verbunden. Hier sind die wichtigsten Meilensteine:

### MS-DOS und COM/EXE

* **COM-Dateien**: Sehr einfache, flache Binärformate unter MS-DOS. Kein Header, max. 64 KB, laden direkt bei 0x100 ins Segment.
* **EXE-Dateien (MZ)**: Eingeführt zur Unterstützung größerer und segmentierter Programme. Enthalten einen **MZ-Header** (nach Mark Zbikowski benannt), gefolgt von Segmentinformationen.

### Windows NT

* Führte **PE (Portable Executable)** ein – ein flexibles Format, das sowohl unter Windows NT, 95+ als auch in .NET, x64 und sogar UEFI verwendet wird.

## Was ist eine EXE / DLL Datei?

Eine EXE- oder DLL-Datei ist eine ausführbare Datei, die auf Windows-Betriebssystemen läuft. Sie enthält maschinenlesbaren Code, der von der CPU ausgeführt werden kann. Es gibt zwei Haupttypen:

* **EXE**: Startbare Datei mit `main()`- oder `WinMain()`-Einstiegspunkt.
* **DLL (Dynamic Link Library)**: Enthält wiederverwendbare Funktionen, die von mehreren Programmen gleichzeitig geladen werden können. Kein Einstiegspunkt zum Ausführen als Programm.

Beide nutzen das **PE-Format** (Portable Executable), basierend auf dem COFF-Format (Common Object File Format).

> Unter MacOS und Linux gibt es ähnliche Formate: Mach-O (Mac) und ELF (Linux).

## Aufbau einer PE-Datei (EXE/DLL)

Eine PE-Datei besteht aus mehreren Teilen, die in einem bestimmten Format organisiert sind. Hier ist eine Übersicht der wichtigsten Komponenten:

<a href="https://miro.com/app/board/o9J_lOJi2o0=/?moveToWidget=3074457356093317561&cot=14"><img src="Executable file.jpg"></a>

### MS-DOS-Stub

* Immer noch enthalten!
* 16-bit Code, meist `“This program cannot be run in DOS mode.”`
* Dient der Rückwärtskompatibilität mit DOS.

### PE-Header

Besteht aus mehreren Strukturen:

1. **DOS-Header (IMAGE\_DOS\_HEADER)**

   * Enthält u. a. Offset zur PE-Signatur (`e_lfanew`)
2. **PE-Signatur**

   * Die vier Bytes `PE\0\0`
3. **COFF Header**

   * Maschinen-Typ (x86, x64), Zeitstempel, Abschnittszähler
4. **Optional Header**

   * Für EXE wichtig, u. a. Einstiegspunkt, ImageBase, Subsystem (GUI/Console), Stack/Heap-Größen
5. **Section Headers**

   * `.text` (Code), `.data` (Daten), `.rdata` (Read-only), `.rsrc` (Ressourcen), `.reloc` (Relokationen)

## PE32 vs PE32+

Die PE-Datei gibt es in zwei Varianten: PE32 (32-bit) und PE32+ (64-bit). Hier sind die Unterschiede:

| Merkmal         | PE32                      | PE32+                |
| --------------- | ------------------------- | -------------------- |
| Architektur     | 32-bit (x86)              | 64-bit (x64)         |
| Pointer-Größe   | 4 Byte                    | 8 Byte               |
| Optional-Header | kürzer                    | länger (mehr Felder) |
| Kompatibilität  | Windows 95–XP, NT, 32-bit | Windows x64          |

## CPU & Register-Zusammenspiel

Die Ausführung von PE-Dateien erfolgt auf der CPU, die über Register verfügt. Diese sind entscheidend für die Ausführung von Befehlen und den Zugriff auf Daten im Arbeitsspeicher. Dies ist in jeder modernen CPU-Architektur ähnlich, aber hier konzentrieren wir uns auf x86 und x64.

<a href="https://miro.com/app/board/o9J_lOJi2o0=/?moveToWidget=3074457356092417997&cot=14"><img src="Hardware.jpg"></a>

### Register

* x86: EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBP, EIP
* x64: RAX, RBX, ..., R15 + RIP, RSP, RBP
* Wichtig für Funktionsaufrufe, Rückgaben, Stack-Zeiger etc.

### Funktionsaufrufe & Stack

* Parameter werden über Stack (x86) oder Register (x64) übergeben.
* Stack wächst in Richtung niedrigerer Adressen.
* Rückgabewert meist in `EAX` (x86) oder `RAX` (x64).

## Arbeitsspeicher: Virtuelle Adressierung

Der Arbeitsspeicher wird in Windows virtuell adressiert. Dies bedeutet, dass jede Anwendung ihren eigenen virtuellen Adressraum hat, der von der physischen Hardware abstrahiert ist. Hier sind die wichtigsten Aspekte:

* Jede EXE/DLL bekommt virtuellen Speicher zugewiesen (durch den Windows Memory Manager).
* Sektionen der EXE werden gemappt:

  * `.text` → readonly + execute
  * `.data` → read/write
  * `.reloc` → zur Adressanpassung, falls nicht an gewünschter Basisadresse geladen.

## Ladevorgang einer EXE unter Windows

Der Ladevorgang einer EXE-Datei unter Windows erfolgt in mehreren Schritten. Hier ist eine vereinfachte Übersicht:

1. **NT Loader (ntoskrnl.exe)** lädt Kernel.
2. **NTDLL.dll**, **Kernel32.dll** etc. werden eingebunden.
3. **Image Loader** liest PE-Datei, mappt Sektionen in Speicher.
4. Einstiegspunkt (`AddressOfEntryPoint`) wird aufgerufen.

## DLL Loading & Linking

DLLs (Dynamic Link Libraries) ermöglichen es, Funktionen und Ressourcen gemeinsam zu nutzen. Sie können auf zwei Arten eingebunden werden:

* **Static Linking**: Beim Build – z. B. `kernel32.dll`.
* **Dynamic Linking**: Zur Laufzeit via `LoadLibrary()` + `GetProcAddress()`.
* Import Address Table (IAT) regelt, welche Funktionen beim Start eingebunden werden.

## Werkzeuge zur Analyse

Zur Analyse und Untersuchung von PE-Dateien gibt es verschiedene Tools, die Entwicklern, Sicherheitsexperten und Forschern helfen können, die Struktur und den Inhalt von Windows-Executables zu verstehen:

* `dumpbin /headers` (MSVC)
* `PE Explorer`, `CFF Explorer`
* `IDA Pro`, `Ghidra`, `x64dbg`
* `procmon`, `Dependency Walker`, `Process Hacker`

## Zusammenfassung & Bedeutung

Windows-Executables sind hochstrukturierte Binärdateien, die auf der PE-Struktur basieren. Sie ermöglichen modulare Programmierung und effiziente Ressourcennutzung. Das Verständnis ihrer Architektur ist entscheidend für:

* Windows-Executables sind hochstrukturierte Binärdateien.
* Ihre Architektur erlaubt modulare Erweiterbarkeit (DLL), flexible Speicherzuordnung und effiziente Ausführung auf modernen CPUs.
* Kenntnisse über PE-Struktur, CPU-Register und Speicherverwaltung sind essenziell für:

  * Reverse Engineering
  * Malware-Analyse
  * Systemsicherheit
  * Low-Level-Programmierung