编写PE文件解析器(三)

下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。


7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】

CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNTIME_FUNCTION_ENTRY,详细介绍在pecoff文档5.5节。但是只写定义不写用来干嘛的,这个以后再补充了。


8、IMAGE_DIRECTORY_ENTRY_SECURITY【证书属性表 - WIN_CERTIFICATE】

这是一个数组结构,根据前一个结构定义的大小可以偏移到下一个位置。其结构定义在WinTrust.h里,WIN_CERTIFICATE结构记录了证书长度、版本、类型、二进制内容。,版本是由WIN_CERT_REVISION_XXX定义,类型是WIN_CERT_TYPE_XXX定义。因为证书不会被映射到内存里,所以这里的VirtualAddress存的是文件偏移。另外dwLength如果与可选头中记录的大小总和不同的话,说明证书损坏。

其介绍在pecoff文档60页和5.7节,一般使用win api可以解决大部分事情,现在暂时只能用来解析,读的方法没什么特别的,就不写代码了。


9、IMAGE_DIRECTORY_ENTRY_BASERELOC【重定位表 - IMAGE_BASE_RELOCATION】

当pe加载到内存时,如果可选头记录的ImageBase地址被占用后会换一个位置映射,因为代码里有时候会有调用某地址或者jmp到某些确定地址等等情况,这时候这些地址在编译时用的是硬编码;如果程序不能映射到基址,这个值由于是固定的关系所以不能定位到原来的目标。因为程序可能会在任何位置调用这些值,所以需要一个表记录程序在哪里调用了这些东西。所以就有了重定位表,表里记录的就是偏移到那些位置的rva。

IMAGE_BASE_RELOCATION结构记录了分块的rva和整个分块的大小,紧跟着这个结构的是记录了偏移位置的一个WORD类型数组。那个分块就是按页大小(0x1000)来分的,有时候这个块里没有要重定位的东西就会省掉,IMAGE_BASE_RELOCATION中的VirtualAddress是每个分块的起始rva,计算后面的数组长度使用:(整个块大小SizeOfBlock - 头大小sizeof(IMAGE_BASE_RELOCATION)) / 数组元素大小sizeof(WORD),因为WORD大小为2,直接除以2可以少打一些字= =。通过IMAGE_BASE_RELOCATION头偏移一个SizeOfBlock可以直接到下一个重定位块。整个表以0000结尾,或者使用整个表的大小作为限制来判断结尾也行。

因为是按块来分的,这个块已经记录了rva,所以后面的数组就不记录块的rva了,而记录着重定位方式和相对块rva偏移量。所以这个数组的高4位用来记录重定位类型,低12位记录计算需要的偏移量。计算方式定义有,不写了。

常见的是32位程序的IMAGE_REL_BASED_HIGHLOW和64位程序的IMAGE_REL_BASED_DIR64。IMAGE_REL_BASED_HIGHLOW就是把计算得出的新地址的全部32位覆盖到那个位置上;关于计算方式一会再说,IMAGE_REL_BASED_DIR64就是把计算出的64位覆盖到上面。其它的方式有,ABSOLUTE跳过不处理,作用是用来使块对齐;HIGH、LOW是只应用高位或低位;HIGHADJ用奇怪的方式;其它方式少见而且我懒得写...见文档5.6.2节。

计算出偏移rva直接以分块记录的rva加上低12位就行了。最后修改那个位置的时候需要计算出一个值,计算的时候用这个式子:原来程序中对应位置的值 + 新base - 旧base = 现在程序中在该位置的值。原来程序中对应位置的值等同于文件中的值,写的这个意思是说刚把程序映射到内存没做重定位的时候,那个值还保留着文件中记录的值,这个今后会使用到。

举个栗子!

读到0x1000分块数组第一项为0x3641,高4为3,是HIGHLOW类型,取其低12位,偏移可算出,0x1000 + (0x3641 & 0x0fff) = 0x1641,加上base后可以得到需要重定位的位置;比如内存中base为0xb70000,最终位置为0xb71641,使用OD查看该位置:

00B71640   .  A1 6440BC00   mov eax,dword ptr ds:[0xBC4064]
用WinHex打开查看文件,对应位置(要把rva转一下)的值为0x01054064,文件可选头记录的ImageBase为0x01000000,于是这样计算,0x01054064 + 0xb70000 - 0x01000000 = 0xBC4064。

如果想把已经载入内存的代码移位,使用重定位表重定位一下就行了,今后再说。
代码参考:

bool PE::ReadRelocation(IN OUT PIMAGE_BASE_RELOCATION& tmpBaseRelocation, OUT PWORD& relocArray, bool isReadRelocArray, bool isReadOnceRelocation, IN OUT PDWORD stat)
{
	static DWORD relocArraySize;
	switch (*stat)
	{
	default:
	case 0:
		if (tmpBaseRelocation == NULL && BaseRelocation == NULL)
		{
			return false;
		}
		if (tmpBaseRelocation == NULL)
		{
			tmpBaseRelocation = BaseRelocation;
		}
		relocArraySize = 0;
		while (tmpBaseRelocation->VirtualAddress != NULL)
		{
			*stat = 2;
			if (isReadRelocArray)
			{
				*stat = 1;
				relocArray = PWORD((DWORD)tmpBaseRelocation +  sizeof(IMAGE_BASE_RELOCATION));
				relocArraySize = (tmpBaseRelocation->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);
				while (relocArraySize--)
				{
					return true;
	case 1:
					if (!isReadRelocArray)
					{
						break;
					}
					relocArray++;
				}
			}
			else
			{
				return true;
	case 2:
				if (isReadRelocArray)
				{
					continue;
				}
			}
			if (isReadOnceRelocation)
			{
				return false;
			}
			tmpBaseRelocation = PIMAGE_BASE_RELOCATION((DWORD)tmpBaseRelocation + tmpBaseRelocation->SizeOfBlock);
		}
		break;
	}
	return false;
}

10、IMAGE_DIRECTORY_ENTRY_DEBUG【调试目录 - IMAGE_DEBUG_DIRECTORY
描述了一些调试信息,其中的Type 类型定义为IMAGE_DEBUG_TYPE_XXX,根据Type的类型来确定偏移到的结构。文档5.1节写得比较详细。


11、IMAGE_DIRECTORY_ENTRY_ARCHITECTURE【IMAGE_ARCHITECT

  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值