PE Section区块

最新推荐文章于 2023-06-08 14:58:11 发布
最新推荐文章于 2023-06-08 14:58:11 发布
阅读量492 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ghjhfssfgk/article/details/104889131
版权
这篇博客探讨了如何在PE文件中定位区块表的问题。尽管DOS头和文件头没有直接记录区块表地址,但区块表实际紧邻IMAGE_NT_HEADERS,即在OptionalHeader之后。作者通过分析指出,可以通过Windows API获取区块表首地址,并详细解释了相关宏的定义和使用,确保在内存映射或文件层面都能正确找到区块表。在封城期间,作者分享了这一技术点。
摘要由CSDN通过智能技术生成

最近学习状态严重下滑,自打过年以后,学习状态一天不如一天,也是疫情搞的我心惶惶,哎,难受。

这是一篇关于PE Section Table位置的记录

问题:我们知道PE文件有一个区块表,可是无论DOS头还是文件头都没有记录这部分的地址,那我们如何定位PE的区块表的位置呢?

其实PE文件的区块表是紧邻IMAGE_NT_HEADERS的,也就是说,在OptionalHeader之后紧接着就是我们的区块表。

我们可以直接通过windowsAPIIMAGE_FIRST_SECTION(pNtH)直接获得区块表的首地址,这里的pNtH是PIMAGE_NT_HEADERS类型,是PE文件头的指针。
下面上证据:(因为懒得用十六进制分析器搞,就从代码层面来看)

首先看IMAGE_FIRST_SECTION宏的定义:

#define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER)        \
    ((ULONG_PTR
最低0.47元/天 解锁文章
一个自闭的沙雕
关注
PE文件学习--Section头部
KOOKNUT的博客
03-25 442
IMAGE_NT_HEADERS后紧跟着节表,节表中节的数量由IMAGE_FILE_HEADER.NumberOfSections来定义,它由许多个节表项IMAGE_SECTION_HEADER组成: #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE ...
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件区块表IMAGE_SECTION_HEADER
huninglei3333的博客
12-05 1148
typedef struct _IMAGE_SECTION_HEADER {     BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];     union {             DWORD   PhysicalAddress;             DWORD   VirtualSize; //虚拟内存区块数据或代码的实际大小     } Misc;
PE中添加,删除SECTION
push0714的专栏
12-14 887
PE中添加,删除SECTION这两天空闲,自己写了个添加,删除SECTION的程序,发现里面的技巧很多,需要注意的地方也很多,现把心得写上,希望能给正在学习PE文件的朋友提供方便。关于PE的格式,PE的基本知识,请参看其他相关文章。添加SECTION添加SECTION的前提是在最后一个SECTION与第一个区块之间有足够的空间)添加
PE文件学习笔记(二):Section Table解析
Apollon_krj的博客
08-11 3749
Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。 #define IMAGE_SIZEOF_SIGNAT
深入剖析PE文件
SauceJ的专栏
09-25 986
一、 基本结构。
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2447
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
PE学习资料2.zip
02-06
在深入探讨PE文件结构之前,我们先要理解什么是区块(Section)。区块PE文件的基本组成单元,它包含了程序运行时所需的数据和指令。 在"PE学习笔记-增加区块"中,我们将探讨如何在已有的PE文件基础上添加新的区块...
IMAGE_FIRST_SECTION
星空下的约定
11-30 3334
定位区块表(Section Table) 首先我们要知道,区段表是紧接在IMAGE_NT_HEADERS的后面的,如果我们找到了IMAGE_NT_HEADERS的地址,然后再加上IMAGE_NT_HEADERS的大小,是不是就找到了Section Table的地址了呢。知道了这个好开心微软在WinNT.h中提供了一个宏定义——IMAGE_FIRST_SECTION,用来定位区块表的它的具体实现如下
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1328
【免杀前置课——PE文件结构】十八、数据目录表及其内容详解——数据目录表(导出表、导入表、IAT表、TLS表)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
PE结构详解
weixin_44870554的博客
12-09 755
PE文件结构 PE文件是portable File Format(可移植文件)的简写 PE的解释:PE文件是指某一种格式的文件 比如可执行文件(exe) 动态链接库文件(dll) 驱动文件(sys)等 PE文件大概分为两部分:头与主体 两部分会在内部进行细分 PE格式文件的组成: DOS头部: 为兼容DOS程序设立 NT头部 : 存储PE文件的全部属性 初始化信息等 区段头表: 对于PE文件...
C/C++ 对代码节的动态加解密
CSDN
10-02 1万+
加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。运行后对.text节进行动态解密,然后一个jmp跳转到程序的OEP位置即可,这也就是壳的基本原理。下一步就是将.text节进行加密了,这里为了简单我使用的是异或加密,如下是加密前的机器码。使用我们编写的工具进行加密,传入两个参数,一个是文件,一个则是加密密钥。加壳的首要目标是要创建一个具有可写属性的新节。
C/C++ 实现VA与FOA之间的转换
CSDN
09-14 1万+
PE结构中的地址互转,这次再来系统的复习一下关于PE结构中各种地址的转换方式,最终通过编程来实现自动解析计算,最后将这个功能集成到我的迷你解析器中,本章中使用的工具是上次讲解PE结构文章中制作的CMD迷你结构解析器,如果不知道参数的基本使用请看前一篇。FOA = 实际偏移 + (RVA - 虚拟偏移) => 0x00000400 + (158b - 0x00001000) = 400 + 58b = 98B。如下,通过公式计算一下文件偏移为0xF43的位置,其对应到VA虚拟地址是多少。
《C++ 黑客编程揭秘与防范(第2版)》——6.2 详解PE文件结构
weixin_34344677的博客
05-02 189
本节书摘来自异步社区出版社《C++ 黑客编程揭秘与防范(第2版)》一书中的第6章,第6.2节,作者:冀云,更多章节内容可以访问云栖社区“异步社区”公众号查看。 6.2 详解PE文件结构 C++ 黑客编程揭秘与防范(第2版)PSDK的头文件Winnt.h包含了PE文件结构的定义格式。PE头文件分为32位和64位版本。64位的PE结构是对32位的PE结构做了...
PE文件解析
爱上了她的猫~
05-28 3395
标题:PE文件解析 作者:流浪的野指针 1 IMAGE_DOS_HEADER MS-DOS 头部存在于每个 PE 文件中,它的存在完全是出于兼容性的考虑,MS-DOS 头部紧接的是 DOS-STUB,这两部分构成了可执行文件的基本要素,当该程序运行在 MS-DOS 系统中,并不会出现不可预料的错误,因为它会执行 DOS-STUB 中的代码,如果不行它也仅仅是提示你 This program c...
详解驱动开发中内核PE结构VA与FOA转换
最新发布
华为云官方博客
06-08 718
本文将探索内核中解析PE文件的相关内容。
pe文件简单分析
ll2323001的专栏
05-23 1160
原文:http://bbs.pediy.com/showthread.php?p=867885 前面几篇文章中我已经对PE文件的结构作了一个比较详细的讲解,如果大家还有不清楚的,请参考相关资料,谢谢,下面我开始讲解PE文件编程方面的知识~~这样理论结合实际,我想大家会有一个更深切的理解! 首先我想对《加密与解密》第三版上的PE分析工具实例进行讲解,因为考虑到大多数人还是对C语言
简单的PE文件解析
m0_46689007的博客
05-12 302
pe文件结构解析
PE文件结构处理经验总结
点点灵犀
04-21 1274
这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的时候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该方面时间不长,免不了存在失误之处,敬请拍砖。      1. IMAGE_DOS_HEADER
深入解析PE文件格式
3. **IMAGE_SECTION_HEADER**:定义了PE文件的节(section),每个节包含了特定类型的二进制数据,如代码、数据或资源。 4. **IMAGE_OPTIONAL_HEADER**:这部分包含了运行时信息,如入口点地址、基地址、大小、依赖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值