Windows逆向工程提升之IMAGE_RUNTIME_FUNCTION_ENTRY

于 2025-05-26 20:08:49 发布
阅读量661 收藏 14
点赞数 16
分类专栏: Windows逆向工程-提升篇(课程讲义) 文章标签: windows 汇编 c语言 逆向 安全 PE结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80612536/article/details/148238688
版权

目录

异常处理信息在 PE 文件中的存放

核心数据结构

RUNTIME_FUNCTION

UNWIND_INFO

UNWIND_CODE

SCOPE_TABLE

图解

与 x86 平台 SEH 的对比

x86 SEH

x64 SEH

执行图解

IMAGE_DATA_DIRECTORY

IMAGE_RUNTIME_FUNCTION

UNWIND_INFO

UNWIND_CODE

SCOPE_TABLE

异常处理信息在 PE 文件中的存放

  • PE异常目录: 在 PE 文件的 Data Directory 中,IMAGE_DIRECTORY_ENTRY_EXCEPTION 指向异常表,通常位于 .pdata 段。该段中包含整个模块中所有函数的异常信息条目。
  • 功能: Windows x64 不在每个函数的栈中设置 SEH 帧,而是在静态数据(即异常表中)记录每个函数的异常和栈展开信息,在异常发生时,通过查询该表快速定位出当前函数对应的 RUNTIME_FUNCTION 数据,从而执行栈展开。

核心数据结构

RUNTIME_FUNCTION

typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY {  
  DWORD BeginAddress;   // 函数起始 RVA,相对于模块基址  
  DWORD EndAddress;     // 函数结束 RVA  
  union {  
    DWORD UnwindInfoAddress;  // 指向 UNWIND_INFO 结构的 RVA(通常)   
    DWORD UnwindData;  
  } DUMMYUNIONNAME;  
} RUNTIME_FUNCTION, *PRUNTIME_FUNCTION;
  •  每个 RUNTIME_FUNCTION 条目描述一个函数的异常与栈展开信息。
  • 在异常处理过程中,系统会根据错误地址在该表中查找匹配的函数范围。如果找到匹配的 BeginAddress 与 EndAddress,则根据 UnwindInfoAddress 获取对应的展开信息。

UNWIND_INFO

typedef struct _UNWIND_INFO {  
    UCHAR Version : 3;           // 版本号(通常为1)  
    UCHAR Flags : 5;             // 标志(如是否包含异常处理程序)
    UCHAR SizeOfProlog;          // 函数序言(Prolog)的字节数  
    UCHAR CountOfCodes;          // 展开代码条目数量(数组中 UNWIND_CODE 个数)  
    UCHAR FrameRegister : 4;     // 帧指针寄存器(如 RBP、RDI 等)  
    UCHAR FrameOffset   : 4;     // 帧指针偏移,用 16 字节单位(FP = RSP + FrameOffset * 16)  
    UNWIND_CODE UnwindCode[1];   // 不定长度数组,描述具体的栈展开操作  
    // 后续紧跟可选字段:  
    // 1. 如果设置了 UNW_FLAG_EHANDLER 或 UNW_FLAG_UHANDLER,则紧跟有 ExceptionHandler 和 ExceptionData。  
    // 2. 如果设置了 UNW_FLAG_CHAININFO,则后续为一个 RUNTIME_FUNCTION 结构。  
} UNWIND_INFO, *PUNWIND_INFO;

UNWIND_CODE

typedef union _UNWIND_CODE {  
    struct {  
        UBYTE CodeOffset;     // 在函数中相对于 Prolog 起始处的偏移量,指定该操作的开始位置  
        UBYTE UnwindOp : 4;   // 展开操作类型,属于 UNWIND_OP_CODES 之一  
        UBYTE OpInfo   : 4;   // 补充信息,根据不同的 UnwindOp 含义不同  
    };  
    USHORT FrameOffset;       // 某些操作直接用来描述栈帧内偏移的值  
} UNWIND_CODE, *PUNWIND_CODE;  

typedef enum _UNWIND_OP_CODES {
    UWOP_PUSH_NONVOL = 0, /* info == register number */
    UWOP_ALLOC_LARGE,     /* no info, alloc size in next 2 slots */
    UWOP_ALLOC_SMALL,     /* info == size of allocation / 8 - 1 */
    UWOP_SET_FPREG,       /* no info, FP = RSP + UNWIND_INFO.FPRegOffset*16 */
    UWOP_SAVE_NONVOL,     /* info == register number, offset in next slot */
    UWOP_SAVE_NONVOL_FAR, /* info == register number, offset in next 2 slots */
    UWOP_SAVE_XMM128 = 8, /* info == XMM reg number, offset in next slot */
    UWOP_SAVE_XMM128_FAR, /* info == XMM reg number, offset in next 2 slots */
    UWOP_PUSH_MACHFRAME   /* info == 0: no error-code, 1: error-code */
} UNWIND_CODE_OPS;

SCOPE_TABLE

typedef struct _SCOPE_TABLE {  
    DWORD Count;  
    struct {  
        DWORD BeginAddress;  
        DWORD EndAddress;  
        DWORD HandlerAddress;  
        DWORD JumpTarget;  
    } ScopeRecord[1];  
} SCOPE_TABLE, *PSCOPE_TABLE;

图解

┌──────────────────────┐        ┌──────────────────────┐
│ RUNTIME_FUNCTION     │        │ UNWIND_INFO          │
├──────────────────────┤        ├──────────────────────┤
│ BeginAddress         │        │ Version/Flags        │
│ EndAddress           │        │ SizeOfProlog         │
│ UnwindInfoAddress    |─────── | CountOfCodes         │
└──────────────────────┘        │ FrameRegister/Offset │
                                │ UnwindCode[]         │
                                │ ExceptionHandler      ─┐
                                └──────────────────────┘ │
                                                         │
                                                         ▼
                                ┌──────────────────────┐
                                │ SCOPE_TABLE          │
                                ├──────────────────────┤
                                │ Count                │
                                │ ScopeRecord[0..N]    │
                                └──────────────────────┘

与 x86 平台 SEH 的对比

x86 SEH

  • 基于链表机制,在每个函数的栈上构造 SEH 帧(链表节点)来捕获异常信息。
  • 异常处理信息嵌入在函数栈区,处理过程依赖于栈上注册的异常处理例程。

x64 SEH

  • 将所有异常相关信息集中存放于静态数据区(PE 文件中的异常目录),运行时通过查询定位当前函数展开信息。
  • 栈展开完全依赖预编译生成的 UNWIND_INFO 和 UNWIND_CODE,由操作系统提供支持。

执行图解

IMAGE_DATA_DIRECTORY

IMAGE_RUNTIME_FUNCTION

UNWIND_INFO

UNWIND_CODE

SCOPE_TABLE

PHP中的字符串:PHP 字符串函数
新华编程特战队
04-12 1527
PHP 中的字符串操作提供了广泛的功能来有效地操作和处理字符串。PHP 提供了许多内置函数和方法来执行字符串连接、子字符串提取、搜索和替换、大小写操作、格式设置等任务。这些操作允许开发人员操作字符串数据、验证用户输入、生成动态内容以及有效地处理文本信息。借助 PHP 中字符串操作的灵活性和强大功能,开发人员可以轻松地处理和处理字符串以用于各种目的,例如数据验证、文本处理和在 Web 应用程序中生成动态输出。字符串操作在 PHP 编程中起着至关重要的作用,因为字符串是用于表示文本信息的基本数据类型。
strtoupper.php
autumn20080101的专栏
04-11 418
http://www.w3.org/TR/html4/loose.dtd">     strtoupper.php               >   usrname: if(isset($_POST["usrname"])) {  echo strtoupper($_POST["usrname"]); } ?>
php函数阅读,[PHP源码阅读]strtolowerstrtoupper函数
weixin_31578739的博客
03-26 119
字符串的操作函数中,字符串的大小写转换也算是比较常用的函数,其底层实现也比较简单,下面来一探究竟。我在github上有对PHP源码更详细的注解。感兴趣的可以围观一下,给个star。 PHP5.4源码注解。可以通过 commit记录查看已添加的注解。strtolowerstring strtolower ( string $string )将字符串转换成小写字符。strtoupperstring s...
phpstrtoupper,关于PHPstrtoupper函数
weixin_33456137的博客
03-29 376
今天看到了PHP实现的标准扩展函数这一段,第一个挑了string相关的函数来看,毕竟这个是用的最多的。看到了strtoupper函数的实现。如下:char *php_strtoupper(char *s, size_t len){unsigned char *c, *e;c = (unsigned char *)s;e = (unsigned char *)c+len;while (c < ...
无涯教程-PHP - strtoupper函数
无涯教程
03-16 204
无涯教程网提供strtoupper - 语法 string strtoupper ( string $string )它用来制作字符串大写 Sr.No...PHP 中的 strtoupper函数 - 无涯教程网。它用来制作字符串大写。
php大小写转换函数(strtolowerstrtoupper)用法介绍
12-20
PHP提供了几个内置函数来实现这些操作,包括`strtolower`、`strtoupper`、`ucfirst`和`ucwords`。下面我们将详细介绍这些函数的用法。 1. **`strtolower`函数**: - `strtolower`函数用于将字符串中的所有字符转换...
使用php重新实现PHP脚本引擎内置函数
10-31
在本文中,我们将探讨...总的来说,重新实现PHP脚本引擎的内置函数是一种有益的学习和探索过程,可以帮助开发者提升技能,同时加深对PHP核心机制的理解。但实际应用中,应优先考虑使用内建函数,以保证性能和稳定性。
php基础教程 php内置函数实例教程
12-19
本教程将深入探讨一些常见的PHP内置字符串处理函数,这些函数对于处理文本、HTML标签以及数据安全等方面至关重要。 首先,我们来看大小写转换相关的函数: 1. `strtolower()`:将字符串中的所有字符转换为小写。...
使用Golang实现PHP常用内置函数 .zip
最新发布
12-06
PHP2Go 使用Golang实现PHP常用内置函数,目前已实现约140+个函数。安装go get github.com/syyongx/php2go要求升级至 1.10 或更高版本。PHP 函数日期/时间函数time()strtotime()date()checkdate()sleep()usleep()...
PHP strtoupper函数解析
nzz_1214
12-05 612
定义和用法: strtoupper()是将字符串所有字符转化为大写 注释:二进制安全 语法: strtoupper(string(String)); 参数: string:必填,规定要转换的字符串 返回值: 返回转化为大写的字符串 相关函数: lcfirst() - 把字符串中的首字符转换为小写 strtolower() - 把字符串转换为小写 ucfirst() - 把字...
strtoupper php 中文,PHP: strtoupper - Manual PHP中文手册 PHP中国镜像 php 国内镜像
weixin_35719380的博客
03-13 115
// 2005/5/30 Justin// Chinese_Traditional toupperfunction CT_to_upper($string){$isChineseStart = false;$new_string = "";$i = 0;while($i < strlen($string)){if (ord(substr($string,$i,1)) <128){if(...
strtoupper 小写_PHP strtoupper()函数与示例
cumudi0723的博客
07-20 264
strtoupper 小写 PHP strtoupper()函数 (PHP strtoupper() function) strtoupper() function is a string function it accepts the string and returns an uppercase string. strtoupper()函数是一个字符串函数,它接受字符串并返回大写字符串。 ...
php touppercase strtoupper,PHP Javascript 语法对照
weixin_31600859的博客
03-11 200
PHP、JavaScript 语法对照、速查全栈工程师看过来,学的计算机语言多了,往往会把不同语言的各个函数搞混。作为一个全栈PHPer,往往PHP、JavaScript 语法傻傻分不清楚,百度一下,查手册要网速。不如收藏下这篇文章,打印出来,贴到一旁快速查阅。JavaScript 的一些数组map函数有jQuery实现,ES6后,又出了官方实现。PHP 的数组、字符串相关函数的命名随性,这仨一块...
php touppercase strtoupper,php大小写转换函数(strtolowerstrtoupper)用法介绍
weixin_39911567的博客
03-11 514
1,将字符串转换成小写strtolower函数: 该函数将传入的字符串参数所有的字符都转换成小写,并以小定形式放回这个字符串。例子:$str = "I want To FLY";$str = strtolower($str);echo $str;//by www.jb51.net?>输出:i want to fly2,将字符转成大写strtoupper函数:该函数的作用同strtolower...
[PHP源码阅读]strtolowerstrtoupper函数
weixin_30457881的博客
06-02 105
字符串的操作函数中,字符串的大小写转换也算是比较常用的函数,其底层实现也比较简单,下面来一探究竟。 我在github上有对PHP源码更详细的注解。感兴趣的可以围观一下,给个star。PHP5.4源码注解。可以通过commit记录查看已添加的注解。 strtolower string strtolower ( string $string ) 将字符串转换成小写字符。 s...
php toupper,jquery如何进行字母大小写转换?
weixin_39612677的博客
03-21 208
字母大小写转换方法:1、使用toLowerCase()方法将大写字母转换为小写,语法“"大写字母".toLowerCase()”;2、使用toUpperCase()方法将小写字母转换为大写,语法“"小写字母".toUpperCase()”。本文操作环境:windows10系统、jquery2.2.4,本文适用于所有品牌的电脑。jquery字母大小写转换1、大写转小写"ABC".toLowerCas...
php数组函数改大小写,PHP实现字符串大小写转函数的功能实例
weixin_39755873的博客
03-10 223
字符串的大小写转换功能在日常中经常使用。那么如何实现一个简单的大小写转换功能呢?在php中,最终使用的是c语言的toupper,tolower函数将字符进行大小写转换。因此需要定义一个字符大小写转换的函数。//字符转大写protected function toupper($c){$ord = ord($c);return $ord>=97 && $ord<=122 ?...
php扩展教程,PHP扩展开发入门,php扩展入门_PHP教程
weixin_30605469的博客
03-24 146
PHP扩展开发入门,php扩展入门原文:http://www.orlion.ga/1090/写一个最简单的将字符串全部变成大写的函数:现在我们开发一个php扩展,实现my_toupper的功能。Step1:PHP提供了一个扩展框架生成器:ext_skel,这个工具在php源码的ext目录(我的是/usr/local/src/php-5.6.17/ext/)下。首先我们在php源码的ext目录下创建...
PHP内置字符串处理函数深度解析
"这篇文档详细介绍了PHP中内置的字符串处理函数及其使用方法,包括字符串的特点以及如何进行字符串的输出、格式化、字符去除、添加和大小写转换等操作。" 在PHP中,字符串是一个非常重要的数据类型。字符串具有以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值