下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。
7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】
CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNTIME_FUNCTION_ENTRY,详细介绍在pecoff文档5.5节。但是只写定义不写用来干嘛的,这个以后再补充了。
8、IMAGE_DIRECTORY_ENTRY_SECURITY【证书属性表 - WIN_CERTIFICATE】
这是一个数组结构,根据前一个结构定义的大小可以偏移到下一个位置。其结构定义在WinTrust.h里,WIN_CERTIFICATE结构记录了证书长度、版本、类型、二进制内容。,版本是由WIN_CERT_REVISION_XXX定义,类型是WIN_CERT_TYPE_XXX定义。因为证书不会被映射到内存里,所以这里的VirtualAddress存的是文件偏移。另外dwLength如果与可选头中记录的大小总和不同的话,说明证书损坏。
其介绍在pecoff文档60页和5.7节,一般使用win api可以解决大部分事情,现在暂时只能用来解析,读的方法没什么特别的,就不写代码了。
9、IMAGE_DIRECTORY_ENTRY_BASERELOC【重定位表 - IMAGE_BASE_RELOCATION】
当pe加载到内存时,如果可选头记录的ImageBase地址被占用后会换一个位置映射,因为代码里有时候会有调用某地址或者jmp到某些确定地址等等情况,这时候这些地址在编译时用的是硬编码;如果程序不能映射到基址,这个值由于是固定的关系所以不能定位到原来的目标。因为程序可能会在任何位置调用这些值,所以需要一个表记录程序在哪里调用了这些东西。所以就有了重定位表,表里记录的就是偏移到那些位置的rva。
IMAGE_BASE_RELOCATION结构记录了分块的rva和整个分块的大小,紧跟着这个结构的是记录了偏移位置的一个WORD类型数组。那个分块就是按页大小(0x1000)来分的,有时候这个块里没有要重定位的东西就会省掉,IMAGE_BASE_RELOCATION中的VirtualAddress是每个分块的起始rva,计算后面的数组长度使用:(整个块大小SizeOfBlock - 头大小sizeof(IMAGE_BASE_RELOCATION)) / 数组元素大小sizeof(WORD),因为WORD大小为2,直接除以2可以少打一些字= =。通过IMAGE_BASE_RELOCATION头偏移一个SizeOfBlock可以直接到下一个重定位块。整个表以0000结尾,或者使用整个表的大小作为限制来判断结尾也行。
因为是按块来分的,这个块已经记录了rva,所以后面的数组就不记录块的rva了,而记录着重定位方式和相对块rva偏移量。所以这个数组的高4位用来记录重定位类型,低12位记录计算需要的偏移量。计算方式定义有,不写了。
常见的是32位程序的IMAGE_REL_BASED_HIGHLOW和64位程序的IMAGE_REL_BASED_DIR64。IMAGE_REL_BASED_HIGHLOW就是把计算得出的新地址的全部32位覆盖到那个位置上;关于计算方式一会再说,IMAGE_REL_BASED_DIR64就是把计算出的64位覆盖到上面。其它的方式有,ABSOLUTE跳过不处理,作用是用来使块对齐;HIGH、LOW是只应用高位或低位;HIGHADJ用奇怪的方式;其它方式少见而且我懒得写...见文档5.6.2节。计算出偏移rva直接以分块记录的rva加上低12位就行了。最后修改那个位置的时候需要计算出一个值,计算的时候用这个式子:原来程序中对应位置的值 + 新base - 旧base = 现在程序中在该位置的值。原来程序中对应位置的值等同于文件中的值,写的这个意思是说刚把程序映射到内存没做重定位的时候,那个值还保留着文件中记录的值,这个今后会使用到。
举个栗子!
读到0x1000分块数组第一项为0x3641,高4为3,是HIGHLOW类型,取其低12位,偏移可算出,0x1000 + (0x3641 & 0x0fff) = 0x1641,加上base后可以得到需要重定位的位置;比如内存中base为0xb70000,最终位置为0xb71641,使用OD查看该位置:
00B71640 . A1 6440BC00 mov eax,dword ptr ds:[0xBC4064]
用WinHex打开查看文件,对应位置(要把rva转一下)的值为0x01054064,文件可选头记录的ImageBase为0x01000000,于是这样计算,0x01054064 + 0xb70000 - 0x01000000 = 0xBC4064。
如果想把已经载入内存的代码移位,使用重定位表重定位一下就行了,今后再说。
代码参考:
bool PE::ReadRelocation(IN OUT PIMAGE_BASE_RELOCATION& tmpBaseRelocation, OUT PWORD& relocArray, bool isReadRelocArray, bool isReadOnceRelocation, IN OUT PDWORD stat)
{
static DWORD relocArraySize;
switch (*stat)
{
default:
case 0:
if (tmpBaseRelocation == NULL && BaseRelocation == NULL)
{
return false;
}
if (tmpBaseRelocation == NULL)
{
tmpBaseRelocation = BaseRelocation;
}
relocArraySize = 0;
while (tmpBaseRelocation->VirtualAddress != NULL)
{
*stat = 2;
if (isReadRelocArray)
{
*stat = 1;
relocArray = PWORD((DWORD)tmpBaseRelocation + sizeof(IMAGE_BASE_RELOCATION));
relocArraySize = (tmpBaseRelocation->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(WORD);
while (relocArraySize--)
{
return true;
case 1:
if (!isReadRelocArray)
{
break;
}
relocArray++;
}
}
else
{
return true;
case 2:
if (isReadRelocArray)
{
continue;
}
}
if (isReadOnceRelocation)
{
return false;
}
tmpBaseRelocation = PIMAGE_BASE_RELOCATION((DWORD)tmpBaseRelocation + tmpBaseRelocation->SizeOfBlock);
}
break;
}
return false;
}
10、IMAGE_DIRECTORY_ENTRY_DEBUG【调试目录 - IMAGE_DEBUG_DIRECTORY】
描述了一些调试信息,其中的Type 类型定义为IMAGE_DEBUG_TYPE_XXX,根据Type的类型来确定偏移到的结构。文档5.1节写得比较详细。
11、IMAGE_DIRECTORY_ENTRY_ARCHITECTURE【IMAGE_ARCHITECT