阅读量:0
【作业内容】
1、手动查,画个PE文件图。
2、编写程序打印节表中的信息。
3、根据节表中的信息,到文件中找到所有的节,观察节的开始位置与大小是否与节表中的描述一致
【PE file_buffer文件图】
【IMAGE_SECTION_HEADER解析】
<winNT.h> 头文件定义如下
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //保存节的名字的数组。 union { DWORD PhysicalAddress; //该节在文件中的实际大小 DWORD VirtualSize; //该节在内存中占用的大小,节在内存中的大小会因为对齐或填充而增加 } Misc; DWORD VirtualAddress; //该节在进程的虚拟空间中的起始地址,内存偏移。加载器使用这个地址将节的内容映射到内存中相应的虚拟地址上。 DWORD SizeOfRawData; //该节在PE文件中对齐后的原始数据大小,由于 SizeOfRawData 字段是四舍五入的,而 VirtualSize 字段不是四舍五入的,因此 SizeOfRawData 字段也可能大于 VirtualSize。 DWORD PointerToRawData; //该节在PE文件的实际位置,即相对于文件开始的偏移量。加载器会根据这个偏移量从文件中读取节的内容,并将其加载到内存中。 DWORD PointerToRelocations; //该节的重定位表在文件中的起始位置,如果节中有重定位项,该字段指出重定位表的文件偏移量。数据节可能需要重定位以修正基于位置的引用;没有重定位的映像,该值设为零。(在obj文件中使用,对exe无意义)。 DWORD PointerToLinenumbers; //如果节包含源代码行号信息;;已被弃用,改值应为0 WORD NumberOfRelocations; //该节有多少重定位条目;对于可执行文件,该值设为零。(在obj文件中使用,对exe无意义)。 WORD NumberOfLinenumbers; //该行有多少行号条目;已被弃用,该值应为0 DWORD Characteristics; //指定节的属性标志 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
【SECTION_CHARACTERISTICS】节表中Characteristics字段解析
<winNT.h> 头文件定义如下
1. **`IMAGE_SCN_TYPE_NO_PAD`** (`0x00000008`):指示该节不应该在文件中进行填充。 2. **`IMAGE_SCN_CNT_CODE`** (`0x00000020`):表示该节包含可执行代码。 3. **`IMAGE_SCN_CNT_INITIALIZED_DATA`** (`0x00000040`):表示该节包含已初始化的数据。 4. **`IMAGE_SCN_CNT_UNINITIALIZED_DATA`** (`0x00000080`):表示该节包含未初始化的数据(通常是`.bss`节)。 5. **`IMAGE_SCN_LNK_OTHER`** (`0x00000100`):保留,用于非标准链接器特定的节。 6. **`IMAGE_SCN_LNK_INFO`** (`0x00000200`):表示该节包含链接器信息,如重定位表和行号表。 7. **`IMAGE_SCN_LNK_REMOVE`** (`0x00000800`):指示链接器应该从最终输出中删除此节。 8. **`IMAGE_SCN_LNK_COMDAT`** (`0x00001000`):表示该节包含COMDAT数据,即在链接时可能与其他节合并的数据。 9. **`IMAGE_SCN_NO_DEFER_SPEC_EXC`** (`0x00004000`):表示该节中的代码不应延迟特定异常处理。 10. **`IMAGE_SCN_GPREL`** (`0x00008000`):表示该节中的数据相对于全局页基址(即PE文件的基地址)是相对的。 11. **`IMAGE_SCN_MEM_PURGEABLE`** (`0x00020000`):表示该节在内存中是可丢弃的,即可以由系统在需要时清除。 12. **`IMAGE_SCN_MEM_16BIT`** (`0x00020000`):表示该节包含16位代码或数据。 13. **`IMAGE_SCN_MEM_LOCKED`** (`0x00040000`):表示该节在内存中是锁定的,即不能被页面调度器交换出去。 14. **`IMAGE_SCN_MEM_PRELOAD`** (`0x00080000`):表示该节应该在进程启动时预加载到内存中。 15. **`IMAGE_SCN_ALIGN_1BYTES`** (`0x00100000`) 至 **`IMAGE_SCN_ALIGN_8192BYTES`** (`0x04000000`):这一系列标志位用于指定节在内存中的对齐方式。 16. **`IMAGE_SCN_LNK_NRELOC_OVFL`** (`0x01000000`):表示该节的重定位溢出,即重定位表中包含了太多重定位条目。 17. **`IMAGE_SCN_MEM_DISCARDABLE`** (`0x02000000`):表示该节中的数据在内存中是可以被丢弃的,即可以由系统在需要时清除。 18. **`IMAGE_SCN_MEM_NOT_CACHED`** (`0x04000000`):表示该节在内存中不应该被缓存。 19. **`IMAGE_SCN_MEM_NOT_PAGED`** (`0x08000000`):表示该节在内存中不应该被分页。 20. **`IMAGE_SCN_MEM_SHARED`** (`0x10000000`):表示该节在内存中是可以被共享的。 21. **`IMAGE_SCN_MEM_EXECUTE`** (`0x20000000`):表示该节在内存中是可以执行的。 22. **`IMAGE_SCN_MEM_READ`** (`0x40000000`):表示该节在内存中是可以读取的。 23. **`IMAGE_SCN_MEM_WRITE`** (`0x80000000`):表示该节在内存中是可以写的。 #define IMAGE_SCN_MEM_FARDATA (0x00008000):用于指示一个节是远数据(far data)节,遗留产物,现代程序用不上。 #define IMAGE_SCN_ALIGN_MASK(0x00F00000):定义了一个掩码,用于从`Characteristics`字段中提取对齐属性.它被设计为与`Characteristics`字段进行位与操作(&),以提取出对齐属性。这个掩码的二进制表示中,只有对齐属性位被设置为1,其他位被设置为0。
【PE文件节表打印】
#include <windows.h> #include <winnt.h> #include <stdio.h> const char* filename= "C:\\Users\\Administrator\\Desktop\\SunloginClient\\远控项目(1)\\service\\Release\\client.exe"; char* file_buffer; //读文件,返回存储文件内容的缓冲区 int Read_File(){ FILE* pfile = NULL; if ((fopen_s(&pfile, filename, "rb"))) { printf("file open error with %d .\n",errno); fclose(pfile); return 0; } //判断文件大小 fseek(pfile,0,SEEK_END); int file_size=ftell(pfile); rewind(pfile); file_buffer = (char*)calloc((file_size+1), 1); //读取文件 if (!((fread_s(file_buffer, file_size, 1, file_size, pfile)) == file_size)) { printf("fread faild with %d.\n",errno); file_buffer = NULL; free(file_buffer); fclose(pfile); return 0; } return 0; } int Section_Operator() { /* 1、判断DOS 头前word个字节是否为5A4D 2、读取e_lfanew 3、跳到NT头位置, */ PIMAGE_DOS_HEADER dos_header; dos_header = (PIMAGE_DOS_HEADER)file_buffer; if (!(dos_header->e_magic== IMAGE_DOS_SIGNATURE)) { printf("Not PE file!\n"); return 0; } DWORD Pe_sig = dos_header->e_lfanew; //file_temp_buffer==MACHINE char* file_temp_buffer= (char*)calloc(sizeof(file_buffer), 1); //1、获得 WORD NumberOfSections 判断节的数量 //2、获得 WORD SizeofOptionsHeader 此头没有本节课作业相关的数据,先不读取,直接跳过此头。 //有个DOWRD signature字节,直接跳过,到FILE_HEADER 部分 file_temp_buffer = file_buffer + Pe_sig+4 ; PIMAGE_FILE_HEADER file_header; file_header = (PIMAGE_FILE_HEADER)file_temp_buffer; //1、获得 WORD NumberOfSections 判断节的数量 int section_number=file_header->NumberOfSections; //2、获得 WORD SizeofOptionsHeader 此头没有本节课作业相关的数据,先不读取,直接跳过此头。 int option_header_size = file_header->SizeOfOptionalHeader; file_temp_buffer = file_temp_buffer + option_header_size+sizeof(IMAGE_FILE_HEADER); PIMAGE_NT_HEADERS; PIMAGE_SECTION_HEADER section_header; section_header = (PIMAGE_SECTION_HEADER)file_temp_buffer; while (section_number--) { printf("====================== %s节表信息 =======================\n", section_header->Name); printf("节在内存中的大小:%08X\n",section_header->Misc.VirtualSize); printf("节的内存偏移:%08X\n",section_header->VirtualAddress); printf("节在文件中对齐后的大小:%08X\n",section_header->SizeOfRawData); printf("节在PE文件的偏移:%08X\n",section_header->PointerToRawData); printf("该值应为0:%08X\n",section_header->PointerToRelocations); printf("该值应为0:%08X\n",section_header->PointerToLinenumbers); printf("该值应为0:%08X\n",section_header->NumberOfRelocations); printf("该值应为0:%04X\n",section_header->NumberOfLinenumbers); printf("节的权限:%08X\n",section_header->Characteristics); //section_header 是PIMAGE_SECTION_HEADER类型,(section_header++) 等于 指针向下顺移一个节的位置。 //printf("====================== %s节表信息 =======================\n",section_header->Name); section_header++; } file_buffer = NULL; file_temp_buffer = NULL; free(file_buffer); free(file_temp_buffer); } int main() { Read_File(); Section_Operator(); return 0; }
注:如有不正确或可完善的地方请私聊,直接评论也可以。本人在编辑的时候可能会受到自身逻辑限制,无法想到一些重要的情况,欢迎各位一起学习的小伙伴多多批评指正。