PE文件之PE映像尺寸详解

 

pe映像就是pe文件加载到内存中的总尺寸，大部分情况下（也可以认为始终就是这样，因为没有资料说必须是这样，但经过试验发现总是为一固定值。为了此文的严谨性，此处用了“大部分情况下”）这个尺寸是以4096字节对其的，这取决于windows的内存机制，内存页的大小总是4096字节。这种情况在磁盘文件中也有所表现，我们可以在磁盘中新建一个txt文件，在里面写入一个字符“a” 并保存。这时我们查看一下此文件的大小，    这个为1字节，占用空间4096字节。即使增加此文件的大小，会发现文件所占空间始终以4096字节对齐。由此我们可以想象pe文件在内存中的情况。好了，以下转入正题。

要求，在任意一个能正确执行的pe文件中的最后一个节区添加任意大小任意形式的数据。添加完后pe文件能够正确执行。（注意这里所说的最后一个节区指的是SizeOfRawData不为0的最后一个街区，因为最后一节区可能包含未初始化数据，但它在文件中的大小为0）

添加过程就不说了，网上有很多例子。重点说一下添加完后pe中的一些属性需要修改一下

IMAGE_SECTION_HEADER .Misc.VirtualSize //节区真实大小

 IMAGE_SECTION_HEADER .SizeOfRawData //节区按文件对齐粒度对齐后的大小
 nt_head01->OptionalHeader.SizeOfImage  //整个pe文件在内存中的尺寸

假如节区的对齐粒度为4096字节，IMAGE_SECTION_HEADER .VirtualAddress + IMAGE_SECTION_HEADER .Misc.VirtualSize 为23234

则按节的对齐粒度对齐后为24576。所以nt_head01->OptionalHeader.SizeOfImage的取值范围为从24576-4096+1=20481到24576。比较简便的方法是nt_head01->OptionalHeader.SizeOfImage=IMAGE_SECTION_HEADER .VirtualAddress+IMAGE_SECTION_HEADER .Misc.VirtualSize

下面给出一个函数，功能在最后一个节区添加数据，输入参数文件名，写入数据指针，写入数据大小

DWORD zjSJ(char * wenJM,char * shuJi,DWORD size) //在可执行文件最后一个节区添加数据 文件名，写入数据指针，写入数据大小
{  //返回新增加内容在文件中的偏移量
 HANDLE h_file,h_map;
 LPVOID h_Memory=0;
 DWORD diZhi;
 DWORD fanHui; //返回偏移
 DWORD ySZ,xSZ,zjDX; //原节区大小，新节区大小，需增加大小
 IMAGE_DOS_HEADER * dos_head01;
 IMAGE_NT_HEADERS * nt_head01;
 IMAGE_SECTION_HEADER * section01;
 if(FALSE==ysWJ(wenJM,h_file,h_map,h_Memory)) //文件映射，映射后只用到h_Memory
  printCW("映射文件失败 zjSJ(char * wenJM\x0d\x0a");
 diZhi=(DWORD)h_Memory;
 dos_head01=(IMAGE_DOS_HEADER *)h_Memory;
 nt_head01=(IMAGE_NT_HEADERS *)(diZhi+(dos_head01->e_lfanew));
 section01=(IMAGE_SECTION_HEADER *)(nt_head01+1);
 section01+=nt_head01->FileHeader.NumberOfSections-1;  //指向最后一个节区
 if(section01->SizeOfRawData==0)
  printCW("最后一个节区大小为0，错误\x0d\x0a");
 ySZ=section01->SizeOfRawData;
 xSZ=align(section01->Misc.VirtualSize+size,nt_head01->OptionalHeader.FileAlignment);  //对齐函数
 zjDX=xSZ-ySZ;
 UnmapViewOfFile(h_Memory);  //增加大小前需关闭映射
 CloseHandle(h_map);
 SetFilePointer(h_file,0,0,FILE_END);
 SetFilePointer(h_file,zjDX,0,FILE_CURRENT);
 SetEndOfFile(h_file);         //增加文件大小
 h_map=CreateFileMapping(h_file,0,PAGE_READWRITE,0,0,0);

 if(h_map!=NULL)
 {
  h_Memory=MapViewOfFile(h_map,FILE_MAP_ALL_ACCESS,0,0,0);
  if(h_Memory==NULL)
   printCW("重新映射失败MapViewOfFile\x0d\x0a");
 }
 else
  printCW("重新映射失败CreateFileMapping\x0d\x0a");

 diZhi=(DWORD)h_Memory;
 dos_head01=(IMAGE_DOS_HEADER *)h_Memory;
 nt_head01=(IMAGE_NT_HEADERS *)(diZhi+(dos_head01->e_lfanew));
 section01=(IMAGE_SECTION_HEADER *)(nt_head01+1);
 section01+=nt_head01->FileHeader.NumberOfSections-1;
 fanHui=section01->PointerToRawData+section01->Misc.VirtualSize;
 RtlMoveMemory((void *)(diZhi+fanHui),shuJi,size); //写入文件

 section01->Misc.VirtualSize+=size;
 section01->SizeOfRawData=xSZ;
 nt_head01->OptionalHeader.SizeOfImage=section01->VirtualAddress+section01->Misc.VirtualSize;
 FlushViewOfFile(h_Memory,0);
 sfWJ(h_file,h_map,h_Memory); //释放映射文件
 return fanHui;
}