当DOS stub的空间也不够80个字节的时候,需要把原有的几个节表合并成一个节表,这样就可以腾出两个节表的空间,进而可以增加新的节。
疑惑:原有文件的几个节之间的联系会受合并节带来的影响吗?当代码节调用数据节的时候,如何指定位置?合并节后,唯一节表的属性是原有节的属性或运算出来的结果,会带来安全问题吗?为什么合并节要先拉伸出来才能合并,因为拉伸后才是文件在内存中的状态?但拉伸这个动作本来就是按照fileBuffer中的pe头部属性virtualsize和sizeofrawdata,virtualaddress等来完成的,在fileBuffer中 应也行吧?
如下流程正确否:readPEfile -->合并节(申请的空间就是sizeOfImage)–memToFile
Max =(最后一个节的) SizeOfRawData>VirtualSize?SizeOfRawData:VirtualSize(保证此节的代码都保存进去了)
//TODO: 合并节:将全部的节(一般文件都有两个以上的节)合并成一个节
void mergeAllSections(PVOID pImageBuffer)
{
//headers
PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pImageBuffer;
PIMAGE_NT_HEADERS pNT = (PIMAGE_NT_HEADERS)((DWORD)pImageBuffer + pDos->e_lfanew);
PIMAGE_SECTION_HEADER pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pNT + 4 + 20 + pNT->FileHeader.SizeOfOptionalHeader);
//将第一个节的内存大小,文件大小改成一样 = 最后一个节的VirtualAddress + Max - SizeOfHeaders内存对齐后的大小
PIMAGE_SECTION_HEADER pLastSection = pSectionHeader + pNT->FileHeader.NumberOfSections - 1;
//max等于最后一个节的sizeofrawdata和virtualsize的较大者
DWORD max = pLastSection->SizeOfRawData > pLastSection->Misc.VirtualSize ? pLastSection->SizeOfRawData : pLastSection->Misc.VirtualSize;
//把第一个节区的文件对齐大小sizeofrawdata和内存大小virtualsize统一修改
pSectionHeader->SizeOfRawData = (pSectionHeader + pNT->FileHeader.NumberOfSections - 1)->VirtualAddress + max - pNT->OptionalHeader.SizeOfHeaders;
pSectionHeader->Misc.VirtualSize = pSectionHeader->SizeOfRawData;
//合并所有节的属性
DWORD Characteristics = pSectionHeader->Characteristics;
printf("合并前属性:%x\n", Characteristics);
PIMAGE_SECTION_HEADER pFirstSection = pSectionHeader;
pSectionHeader++;
for (int i = 2; i <= pNT->FileHeader.NumberOfSections; i++,pSectionHeader++)
{//注意,这里要从2开始,把所有节的属性characteristics通过或运算得到
Characteristics = Characteristics | pSectionHeader->Characteristics;
}
pFirstSection->Characteristics = Characteristics;
printf("合并后属性:%x\n", Characteristics);
//修改节表数
pNT->FileHeader.NumberOfSections = 1;
}