无论是作为一名或者立志成为一名拥有真正技术的Top Cracker(当然我是属于后者啦,哈),对PE文件格式的熟悉绝对是必须要研究通透和掌握的技术,这一点相信应该没有什么争议吧(当然如果不研究Windows平台下解密那就另说了)?看过网上好多的PE文件教程,理论居多,只是看好象都明白,到了应用的时候,比如脱壳,对于IAT表在脑海中仍然是稀里糊涂一片(呵呵,至少我是这样D,菜啊~), 学习就是这样,只是学习原理,而没有去实践,好象是懂了,到真正去做的时候,却不知道从何下手。尤其是计算机这门实践性很强的学科,必须要辅以实践才能真正把知识学到手。这里要感谢 MengLong[DFCG],他的<
>从编程实践的角度剖析PE文件格式,同时也让我有了研究下去的想法。 好了,罗嗦了这么多,忘了说了,纯属菜鸟教程,让高手贻笑大方了。 PE文件之旅(C语言描述) -- 第一篇 Sections 平台 : windows XP SP1 编译器 : VC++6.0 时间 : 2004.12 -- 2005.01 参考资料: 看雪<
<加密解密ii>
>,MengLong[DFCG]<
>,<
>. Coded by: prince E-mail : Cracker_prince@163.com 注意:这篇教程直接从Sections开始讲解,前面的知识和代码请参阅<
>.以下列出的仅是核心部分代码,完整代码见后续篇幅。 首先请大家直观地看一下PE文件格局。这也是PE文件存放在磁盘上的格局。 offset 0 ------------------------------- | IMAGE_DOS_HEADER | <-- Dos部首 PE Signature ------------------------------- / | 'PE',0,0 | <-- PE文件标志 | ------------------------------- | | IMAGE_FILE_HEADER | <-- 映像文件头 | -- IMAGE_NT_HEADERS ------------------------------- | | IMAGE_OPTIONAL_HEADER32 | <-- 映像可选头 | ------------------------------- / ------------| Section Table | <-- 节表 -- IMAGE_SECTION_HEADER (Array) | | | | | ------------------------------- | | | | /-->| .text | <-- 代码区段 | | | | ------------------------------- | | | /---->| .data | <-- 数据区段 | | | ------------------------------- | | /------>| .idata | <-- 输入表 | | ------------------------------- | /-------->| .edata | <-- 输出表 | ------------------------------- /---------->| .reloc | <-- 重定位表区段 ------------------------------- | .... | ------------------------------- | 调试信息 | ------------------------------- 我们由IMAGE_DOS_HEADER.e_lfanew得到PE文件头在PE文件中的偏移,即IMAGE_NT_HEADERS结构,如下: typedef struct _IMAGE_NT_HEADERS { DWORD Signature; **PE文件标识 "PE",0,0 IMAGE_FILE_HEADER FileHeader; **映像文件头 (其中的NumberOfSections成员指定了Sections的个数) IMAGE_OPTIONAL_HEADER32 OptionalHeader; **映像可选头 } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32; 核心代码: IMAGE_DOS_HEADER myDosHeader; LONG e_lfanew; FILE *pFile; pFile = fopen("文件路径", r+b); fread(&myDosHeader, sizeof(IMAGE_DOS_HEADER), 1, pFile); // pFile 为打开的文件指针 e_lfanew = myDosHeader.e_lfanew; // 保存PE文件头偏移 IMAGE_FILE_HEADER myFileHeader; int nSectionCount; fseek(pFile, (e_lfanew + sizeof(DWORD)), SEEK_SET); fread(&myFileHeader, sizeof(IMAGE_FILE_HEADER), 1, pFile); nSectionCount = myFileHeader.NumberOfSections; // 保存Section个数 // 过了IMAGE_NT_HEADERS结构就是IMAGE_SECTION_HEADER结构数组了,注意是结构数组,有几个Section该结构就有几个元素 // 这里动态开辟NumberOfSections个内存来存储不同的Section信息 IMAGE_SECTION_HEADER *pmySectionHeader = (IMAGE_SECTION_HEADER *)calloc(nSectionCount, sizeof(IMAGE_SECTION_HEADER)); fseek(pFile, (e_lfanew + sizeof(IMAGE_NT_HEADERS)), SEEK_SET); fread(pmySectionHeader, sizeof(IMAGE_SECTION_HEADER), nSectionCount, pFile); // 打印Sections信息 for (int i = 0; i < nSectionCount; i++, pmySectionHeader++) { printf("Name: %s/n", pmySectionHeader->Name); printf("union_PhysicalAddress: %08x/n", pmySectionHeader->Misc.PhysicalAddress); printf("union_VirtualSize: %04x/n", pmySectionHeader->Misc.VirtualSize); printf("VirtualAddress: %08x/n", pmySectionHeader->VirtualAddress); printf("SizeOfRawData: %08x/n", pmySectionHeader->SizeOfRawData); printf("PointerToRawData: %04x/n", pmySectionHeader->PointerToRawData); printf("PointerToRelocations: %04x/n", pmySectionHeader->PointerToRelocations); printf("PointerToLinenumbers: %04x/n", pmySectionHeader->PointerToLinenumbers); printf("NumberOfRelocations: %04x/n", pmySectionHeader->NumberOfRelocations); printf("NumberOfLinenumbers: %04x/n", pmySectionHeader->NumberOfLinenumbers); printf("Charateristics: %04x/n", pmySectionHeader->Characteristics); } // 恢复指针 pmySectionHeader -= m_nSectionCount; if (pmySectionHeader != NULL) // 释放内存 { free(pmySectionHeader); pmySectionHeader = NULL; } // 最后不要忘记关闭文件 fclose(pFile); 我将以上代码改写了一个Win32程序,可以很方便地查看PE文件的Section信息。本人菜鸟,错误及不妥之处难免存在,如果大家发现有什么问题,不要吝啬啊,请告之。那么关于PE文件格式Section的C语言描述到此就结束了,下一篇将继续我们的PE文件研究,DLL的秘密 -- 输出表。 prince 2005.01.06
2721
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
