正如你所见,我计划只用2个节,一个用于代码,一个用于所有剩余的东西(数据、常量和输入目录等)。没有重定位和象资源之类其它东西。我也不用BSS节并将变量“written”放入已初始化数据。文件和RAM中的节对齐都是一样的(32字节);这将有助于使任务简单,否则我就得来回地计算RVA很多次。
现在我们设置数据目录,开始于0xb8字节,有0x80字节长:
地址 大小
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_EXPORT(0)
???????? ???????? ;IMAGE_DIRECTORY_ENTRY_IMPORT(1)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_RESOURCE(2)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_EXCEPTION(3)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_SECURITY(4)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_BASERELOC(5)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_DEBUG(6)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_COPYRIGHT(7)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_GLOBALPTR(8)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_TLS(9)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(10)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(11)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_IAT(12)
00000000 00000000 ;13
00000000 00000000 ;14
00000000 00000000 ;15
仅使用输入目录。
下一个使节头。首先我们做代码节的,代码节将包含前面所编的汇编语句。它有32字节长,所以代码节也就是这么长。节头从0x138处开始,有0x28字节长: Name 2e636f6465000000 ;".code"的ASCII码值
VirtualSize 00000000 ;未用
VirtualAddress ???????? ;待定
SizeOfRawData 20000000 ;代码的大小
PointerToRawData ???????? ;待定
PointerToRelocations00000000 ;未用
PointerToLinenumbers00000000 ;未用
NumberOfRelocations 0000 ;未用
NumberOfLinenumbers 0000 ;未用
Characteristics 20000060 ;代码节,可执行,可读
第二节将包含数据。节头开始于0x160处,有0x28字节长:
Name 2e64617461000000 ;".data"的ASCII码值
VirtualSize 00000000 ;未用
VirtualAddress ???????? ;待定
SizeOfRawData ???????? ;待定
PointerToRawData ???????? ;待定
PointerToRelocations00000000 ;未用
PointerToLinenumbers00000000 ;未用
NumberOfRelocations 0000 ;未用
NumberOfLinenumbers 0000 ;未用
Characteristics 400000c0 ;已初始化的,可读,可写
下一个字节位于0x188处,但节需要按32字节(的倍数)对齐(因为我是这样选择的),所以我们需要添一些(0)字节直到0x1a0处:
000000000000 ;填充的
000000000000
000000000000
000000000000
现在第一节,就是上面所汇编的代码节,“到”了。它开始于0x1a0处,有0x20字节长:
6A00 ;push 0x00000000
68???????? ;push offset_written
6A0D ;push 0x0000000d
68???????? ;push offsethello_string
6AF5 ;push 0xfffffff5
2EFF15???????? ;call dwordptrcs:__imp__GetStdHandle@4
50 ;push eax
2EFF15???????? ;call dwordptrcs:__imp__WriteConsoleA@20
C3 ;ret
因为这一节的长度(刚好32字节),在下一节(数据节)前我们不需要填充任何字节。下一节到了,从0x1c0处开始:
68656C6C6F2C20776F726C640A ;"hello,world "的ASCII码值
000000 ;填充几个0以和_written对齐
00000000 ;_written
现在剩下的只有输入目录了。本文件将从"kernel32.dll"库中输入2个函数,输入目录将从本节的变量后面立即开始。首先我们先将上面的数据按32字节对齐:
000000000000000000000000 ;填充的
在0x1e0处开始输入描述(IMAGE_IMPORT_DESCRIPTOR):
OriginalFirstThunk ???????? ;待定
TimeDateStamp 00000000 ;未绑定
ForwarderChain ffffffff ;无中转
Name ???????? ;待定
FirstThunk ???????? ;待定
我们需要用一个0字节项来结束输入目录(我们现在位于0x1f4):
OriginalFirstThunk 00000000 ;结束符号
TimeDateStamp 00000000 ;
ForwarderChain 00000000 ;
Name 00000000 ;
FirstThunk 00000000 ;
现在只剩下DLL名字,还有2个换长,以及换长数据和函数名字了。但现在我们真的很快就要完成了。
DLL名字,以0结尾,开始于0x208处:
6b65726e656c33322e646c6c00 ;"kernel32.dll"的ASCII码值
000000 ;填充到32位边界
原始第一个换长,开始于0x218处:
AddressOfData ???????? ;"WriteConsoleA"函数名的RVA
AddressOfData ???????? ;"GetStdHandle"函数名的RVA
00000000 ;结束符号
第一个换长就是同样的列表,开始于0x224处:
(__imp__WriteConsoleA@20,at0x224)
AddressOfData ???????? ;"WriteConsoleA"函数名的RVA
(__imp__GetStdHandle@4,at0x228)
AddressOfData ???????? ;"GetStdHandle"函数名的RVA
00000000 ;结束符号
现在剩下的只有输入名字(IMAGE_IMPORT_BY_NAME)形式的两个函数名了。我们现处于0x230字节。
0100 ;序数,不需要正确
5772697465436f6e736f6c654100 ;"WriteConsoleA"的ASCII码值
0200 ;序数,不需要正确
47657453746448616e646c6500 ;"GetStdHandle"的ASCII码值
Ok,这就全部结束了。下一个字节,我们并不真正需要,是0x24f。我们必须将节填充到0x260处:
00000000000000000000000000000000;填充的
00
------------
我们已经完成了。因为我们已经知道了所有的字节偏移量,我们可以应用我们的修正到所有原先被用“??”符号标为“未知”的地址和大小了。
我将不强迫你一步一步地去读它(很好懂的),只直接给出结果来:
------------
DOS-头,开始于0x0:
00|4d5a0000000000000000000000000000
10|00000000000000000000000000000000
20|00000000000000000000000000000000
30|00000000000000000000000040000000
签名,开始于0x40:
50450000
文件头,开始于0x44:
Machine 4c01 ;i386
NumberOfSections 0200 ;代码和数据
TimeDateStamp 00000000;谁管它?
PointerToSymbolTable 00000000;未用
NumberOfSymbols 00000000;未用
SizeOfOptionalHeader e000 ;常量
Characteristics 0201 ;可执行于32位机器上
可选头,开始于0x58:
Magic 0b01 ;常量
MajorLinkerVersion 00 ;我是0.0版:-)
MinorLinkerVersion 00 ;
SizeOfCode 20000000;32字节代码
SizeOfInitializedData a0000000;数据节大小
SizeOfUninitializedData 00000000;我们没有BSS节
AddressOfEntryPoint a0010000;代码节的开始处
BaseOfCode a0010000;代码节的RVA
BaseOfData c0010000;数据节的RVA
ImageBase 00001000;1MB,任意选择
SectionAlignment 20000000;32字节对齐
FileAlignment 20000000;32字节对齐
MajorOperatingSystemVersion 0400 ;NT4.0
MinorOperatingSystemVersion 0000 ;
MajorImageVersion 0000 ;0.0版本
MinorImageVersion 0000 ;
MajorSubsystemVersion 0400 ;Win324.0
MinorSubsystemVersion 0000 ;
Win32VersionValue 00000000;未用?
SizeOfImage c0000000;所有节大小的总数
SizeOfHeaders a0010000;第一节的偏移量
CheckSum 00000000;非驱动程序不须用
Subsystem 0300 ;Win32控制台程序
DllCharacteristics 0000 ;未用(不是一个DLL)
SizeOfStackReserve 00001000;1MB栈
SizeOfStackCommit 00100000;开始时4KB
SizeOfHeapReserve 00001000;1MB堆
SizeOfHeapCommit 00100000;开始时4KB
LoaderFlags 00000000;未知
NumberOfRvaAndSizes 10000000;常量
数据目录,开始于0xb8:
地址 大小
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_EXPORT(0)
e0010000 6f000000 ;IMAGE_DIRECTORY_ENTRY_IMPORT(1)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_RESOURCE(2)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_EXCEPTION(3)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_SECURITY(4)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_BASERELOC(5)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_DEBUG(6)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_COPYRIGHT(7)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_GLOBALPTR(8)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_TLS(9)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG(10)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT(11)
00000000 00000000 ;IMAGE_DIRECTORY_ENTRY_IAT(12)
00000000 00000000 ;13
00000000 00000000 ;14
00000000 00000000 ;15
节头(代码节),开始于0x138:
Name 2e636f6465000000 ;".code"
VirtualSize 00000000 ;未用
VirtualAddress a0010000 ;代码节的RVA
SizeOfRawData 20000000 ;代码的大小
PointerToRawData a0010000 ;代码节的文件偏移量
PointerToRelocations00000000 ;未用
PointerToLinenumbers00000000 ;未用
NumberOfRelocations 0000 ;未用
NumberOfLinenumbers 0000 ;未用
Characteristics 20000060 ;代码节,可执行,可读
节头(数据节),开始于0x160:
Name 2e64617461000000 ;".data"
VirtualSize 00000000 ;未用
VirtualAddress c0010000 ;数据节的RVA
SizeOfRawData a0000000 ;数据节的大小
PointerToRawData c0010000 ;数据节的文件偏移量
PointerToRelocations00000000 ;未用
PointerToLinenumbers00000000 ;未用
NumberOfRelocations 0000 ;未用
NumberOfLinenumbers 0000 ;未用
Characteristics 400000c0 ;已初始化,可读,可写
(填充)
000000000000 ;填充的
000000000000
000000000000
000000000000
代码节,开始于0x1a0:
6A00 ;push 0x00000000
68d0011000 ;push offset_written
6A0D ;push 0x0000000d
68c0011000 ;push offsethello_string
6AF5 ;push 0xfffffff5
2EFF1528021000 ;call dwordptrcs:__imp__GetStdHandle@4
50 ;push eax
2EFF1524021000 ;call dwordptrcs:__imp__WriteConsoleA@20
C3 ;ret
数据节,开始于0x1c0:
68656C6C6F2C20776F726C640A ;"hello,world "
000000 ;填充到和_written对齐
00000000 ;_written
填充:
000000000000000000000000 ;填充的
输入描述(IMAGE_IMPORT_DESCRIPTOR),开始于0x1e0:
OriginalFirstThunk 18020000 ;原始第一个换长的RVA
TimeDateStamp 00000000 ;未绑定
ForwarderChain ffffffff ;-1,无中转
Name 08020000 ;DLL名字的RVA
FirstThunk 24020000 ;第一个换长的RVA
结束标志(0x1f4):
OriginalFirstThunk 00000000 ;结束标志
TimeDateStamp 00000000 ;
ForwarderChain 00000000 ;
Name 00000000 ;
FirstThunk 00000000 ;
DLL名字,开始于0x208:
6b65726e656c33322e646c6c00 ;"kernel32.dll"
000000 ;填充到32位边界
原始第一个换长,开始于0x218:
AddressOfData 30020000 ;函数名"WriteConsoleA"的RVA
AddressOfData 40020000 ;函数名"GetStdHandle"的RVA
00000000 ;结束标志
第一个换长,开始于0x224:
AddressOfData 30020000 ;函数名"WriteConsoleA"的RVA
AddressOfData 40020000 ;函数名"GetStdHandle"的RVA
00000000 ;结束标志
输入函数名称(IMAGE_IMPORT_BY_NAME),开始于0x230:
IMAGE_IMPORT_BY_NAME,开始于0x240:
0200 ;序数,不需要正确
47657453746448616e646c6500 ;"GetStdHandle"的ASCII码值
(填充)
00000000000000000000000000000000;填充的
00
第一个未使用字节开始于:0x260
--------------
噢,这个文件能在NT上却不能在windows95上运行。windows95不能运行按32字节节对齐的应用程序,它要求节对齐为4KB;并且很明显的,文件对齐也应为512字节。因此要想在windows95上运行,你得插入很多的0字节(为了对齐)并调整RVA。感谢D.Binette在windows95上的(运行)试验。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
