PE文件中区段的详细分析
PE文件中区段的详细分析(供大家参考学习)当我们用ollydbg 分析PE文件时,加载后Alt + M 时看到PE Header 和很多区段,为了更深入得了解区块,本文将对区块进行分析.第一部分:区块的基本知识区块在PE文件头与原始数据之间存在一个区块表,区块表包括每个块在映像中的信息,分别指向不同的区块实体。区块表: 区块表是一个IAMGE_SECTION_HEADER结构数组,每一个IAMGE_SECTION_HEADER结构包含了他所关联区块的信息,如位置,长度,属性,编程时由IMAMGE_NT_HEADERS.FileHeader.NumberOfSections 得到.IMAGE_SECTION_HEADER 结构定义Struct IMAGE_SECTION_HEADER{ DBYTEName; // 8个字节的块名 union Misc // 区块尺寸 { DWORDPhysicalAddress; // 物理地址(一般忽略) DWORDVirtualSize; // 虚拟地址};DWORD VirtualAddress; // 区块RVA 地址DWORD SizeOfRawData; // 在文件中对齐后的尺寸DWORD PointerToRawData; // 在文件中偏移DWORD PointerToRelocations; // 在OBJ 文件中使用,重定位的偏移DWORD PointerToLinenumbers; // 行号表偏移(供调试用)WORDNumberOfRelocations; // 在OBJ文件中使用,重定位项数目WORDNumberOfLinenumbers; // 行号表中行号数目DWORD Characteristics; // 区块的属性};重要属性介绍(1)Name : 这是一个8位的ASCII(不是Unicode内码),用来定义块名,多数块名以.开始(如.Text),这个.实际上不是必需的,注意如果块名超过了8个字节,则没有最后面的终止标志NULL字节,带有$的区块的名字会从编译器里将带有$的相同名字的区块被按字母顺序合并。(2) VirtualSize: 指出实际的,被使用的区块大小,是区块在没有对齐处理前的实际大小.如果VirtualSize > SizeOfRawData,那么SizeOfRawData是可执行文件初始化数据的大小(SizeOfRawData – VirtualSize)的字节用0来填充.这个字段在OBJ文件中被设为0.(3)VirtualAddress: 该块时装载到内存中的RVA,注意这个地址是按内存页对齐的,她总是SectionAlignment的整数倍,在工具中第一个块默认RVA为1000,在OBJ中为0。(4)SizeofRawData: 该块在磁盘中所占的大小,在可执行文件中,该字段包括经过FileAlignment调整后块的长度。例如FileAlignment的大小为200h, 如果VirtualSize中的块长度为19Ah个字节,这一块保存的长度为200h个字节.(5) PointerToRawData: 该块是在磁盘文件中的偏移,程序编译或汇编后生成原始数据,这个字段用于给出原始数据块在文件的偏移,如果程序自装载PE或COFF文件(而不是由OS装载),这种情况,必须完全使用线性映像方法装入文件,需要在该块处找到块的数据。(6) PointerToRelocations 在PE中无意义(7) PointerToLinenumbers 行号表在文件中的偏移值,文件调试的信息(8) NumberOfRelocations 在PE中无意义(9) NumberOfLinenumbers 该块在行号表中的行号数目(10) Characteristics 块属性,(如代码/数据/可读/可写)的标志,这个值可通过链接器的/SECTION选项设置.下面是比较重要的标志:
字段值用途
IAMGE_SCN_CNT_CODE 0x20h包含代码,常与10000000h 一起设置
IMAGE_SCN_CNT_INITIALIZED_DATA 0x40h该块包含已初始化的数据
IMAGE_SCN_CNT_UNINITIALIZED_DATA 0x80h该块包含未初始化的数据
IAMGE_SCN_MEM_DISCARDABLE0x02000000h该块可被丢弃,一旦加载可被丢弃的块.reloc(重定位块)
IAMGE_SCN_MEM_SHARED 0x10000000h该块为共享块
IAMGE_SCN_MEM_EXECUTE 0x20000000h该块可执行通常与0x20标志一起被设置
IAMGE_SCN_MEM_READ 0x40000000h该块可读
IAMGE_SCN_MEM_WRITE 0x80000000h该块可写
[字段属性]第二部分:实际部分(让不同的人有不同想象空间)以上是区块的基本知识,下面是我们分析PE文件时,心中应该有印象的东西,这样我们会猜猜,会获取意想不到的效果,尤其在解密,破解,脱壳中表现得淋漓尽致.编程区:简单的例子:原理: Section Table 是由IAMGE_SECTION_HEADER结构组成的数组,如何确定Section Table 的位置呢?或者是如何得到第一个IAMGE_SECTION_HEADER 的位置.我们知道在VC++中,利用IAMGE_FIRST_SECTION宏可以得到. 这里向大家介绍一点细节问题:在PE文件中,OptionalHeader 的大小是可以变化的,虽然它的大小通常是E0h,原因是可选文件头大小是由文件头中的SizeOfOptionHeader 字段指定的,并不是固定值,这也是IAMGE_FIRST_SETION 宏对可选头的大小不直接用固定值的原因,大家应该注意. // 此函数的作用是利用IAMGE_FIRST_SECTION宏得到区块表的起始位置PIMAGE_SECTION_HEADER GetFirstSectionHeader(PIAMGE_NT_HEADER pNtH){ PIAMGE_SECTION_HEADER pSH; pSH = IAMGE_FIRST_SECTION(pNtH); return pSH;}// 假如用ListView 控件来显示PE区段的信息void ShowSectionHeaderInfo(HWND hDlg){ LVITEM lvItem; char cBuff,cName; WORD i; PIMAGE_FILE_HEADER pFH = NULL; PIMAGE_SECTION_HEADER pSH = NULL; pFH = GetFileHeader(stMapFile.ImageBase); // 得到文件头指针,读者自己完成 if(!pFH) return ; pSH = GetFirstSectionHeader(stMapFile.IamgeBase);//得到第一个区块表的指针 for(i = 0; i < PFH -> NumberOfSections; i++) // 在列表中显示各区块信息{ memset(&lvItem, 0, sizeof(lvItem)); lvItem.mask = LVIF_TEXT; lvItem.iTtem = i; memset(cName, 0, sizeof(cName)); memcpy(cName, pSH->Name, 8); lvItem.pszText = cName; SendDlgItemMessage(hDlg, 1006, LVM_INSETRTITEM, 0, (LPARAM)& lvItem); …(其他的数据段 代码类似) ++pSH;}} 区块描述区: 区块中的数据逻辑上是关联,区块的映像是按起始地址(RVA)来排列,使用区块名只是为了人们方便,对OS无关紧要.EXE 和 OBJ 定义 .text .dataBorland 连接器用的是 CODE DATA
名称描述
.text默认的代码区块,它的内容全是指令代码,链接器把所有目标文件的text块连接成一个大的.text块,使用Borland C++,编译器产生的代码存放在CODE的区域里
.data默认的读/写数据块,全局变量,静态变量一般放在这个区段
.rdata默认只读数据区块,但程序中很少用到该块中的数据,一般两种情况用到,一是MS 的链接器产生EXE文件中用于存放调试目录,二是用于存放说明字符串,如果程序的DEF文件中指定了DESCRIPTION,字符串就会出现在rdata中
.idata包含其他外来的DLL的函数及数据信息,即输入表,将.idata区块合并成另一个区块已成为一种惯例,典型的是.rdata区块,默认的,链接器只在创建一个Release模式的可执行文件时才能将idata合并到另外一个区块中
.edata输出表,当创建一个输出API或数据的可执行文件时,连接器会创建一个.EXP文件,这个.EXP文件包含一个.edata区块,其会被加载到可执行文件中,经常被合并到.text或.rdata 区块中
.rsrc资源,包括模块的全部资源,如图标,菜单,位图等,这个区块是只读的,无论如何不应该吧它命名为.rsrc以外的名字,也不能合并到其他的区块里
.bss未初始化的数据,很少在用,取而代之的是执行文件的.data区块的的VirtualSize被扩展大的空间里用来装未初始化的数据.
.crt用于C++ 运行时(CRT)所添加的数据
.tlsTLS的意思是线程局部存储器,用于支持通过_declspec(thread)声明的线程局部存储变量的数据,这包括数据的初始化值,也包括运行时所需要的额外变量
.reloc可执行文件的机制重定位,基址重定位一般仅Dll需要的
.sdata相对于全局指针的可被定位的 短的读写数据
.pdata异常表,包含CPU特定的IAMGE_RUNTIME_FUNTION_ENTRY结构数组,DataDirectory中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向它.
.didat延迟装入输入数据,在非Release模式下可以找到
总结:虽然编译器自动产生一系列标准的区块,我们可以创建和命名自己的区块,在VC++中可以使用:#pragma data_seg(“My_DATA”)编译器有个很搞笑的特征,看见两个区块相似的属性的区块,那么连接时就合并成一个区块,这个取决于是否用/merge开关 /merge .rdata = .text 参考文献: 加密解密3
抢沙发,学习pe结构 前排学习,占位 学习了呀。。。。。。PE结构和ARM结构都不太好懂呀。。。。 元旦快乐! 在普及PE结构了啊 学习! 似懂非懂,继续学习 学习了,谢谢分享 学习pe结构
页:
[1]
2