手工解析PE(节表)

已于 2022-06-04 19:40:14 修改
阅读量292 收藏 1
点赞数
分类专栏: PE文件结构 文章标签: c语言
于 2022-06-03 02:31:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34479012/article/details/125109455
版权

上一篇文章解析了PE的前两个部分DOS头和NT头,这篇文章继续解析NT头的下一个部分 节表

首先我们需要算出第一个节表的地址,可以从PE标志开始算,

1.节表地址:PE标记[4字节]+标准PE头[20字节]+可选PE头[p_sizeofoptionalheader]

其中PE标记是固定的4字节,标准PE头是固定的20字节,可选PE头的大小不确定,但是在标准PE头中sizeofoptionalheader可以取到,所以最后还要加上sizeofoptionalheader的值

2.节表的个数:在标准PE头中numberofsections记录着

3.每个节表的大小:根据PE结构图可以看到,一个节表是40个字节

有了节表个数就可以确定循环次数了,每次循环结束后,节表的地址要增加40 到下一个节表地址

#include <stdio.h>
#include <malloc.h>
#include <string.h>
//获取文件大小
int get_file_size(char* filename)
{
	FILE* fp = fopen(filename,"r");
	int size;
	if( fp == NULL )
	{
		printf("open fail \n");
		return -1;
	}
	fseek(fp,0,SEEK_END);
	size=ftell(fp);
	fclose(fp);
	return size;
}
 
int main()
{
	char* filename="D:\\T\\zx.exe"; 
	int file_size=get_file_size(filename);

	//申请空间
	char* ptr;
	ptr = (char*) malloc(file_size);
	if( ptr == NULL)
	{
		printf("空间不足\n");
		return 0;
	}
	memset(ptr,0,file_size);
	printf("ptr:%x \n",ptr);
	//将文件内容 读取到内存
	FILE* fp = fopen(filename,"rb+");
	fread(ptr,file_size,1,fp);
	fclose(fp);
	

	//找到PE偏移
	int* p_e_lfanew=(int*)ptr+15; 
	printf("PE偏移:\t\t\t%x	\n",*p_e_lfanew);
	//PE标志
	char* p_signature = ptr+(*p_e_lfanew);				
	//标准PE头中的 节数量
	short* p_numberofsections=(short*)(p_signature+6);	
	printf("节数量:\t\t\t%x  \n",*p_numberofsections);
	//可选PE头大小
	short* p_sizeofoptionalheader=(short*)(p_signature+20);	
	printf("可选PE头大小:\t\t%x -> %d	\n",*p_sizeofoptionalheader,*p_sizeofoptionalheader);
	//内存镜像基址
	int* p_imagebase=(int*)(p_signature+52);				
	printf("内存镜像基址:\t\t%x \n",*p_imagebase);
	//内存对齐字节数
	int* p_sectionalignment=(int*)(p_signature+56);	
	printf("内存对齐字节数:\t\t%x  \n",*p_sectionalignment);
	//文件对齐字节数
	int* p_filealignment=(int*)(p_signature+60);	
	printf("文件对齐字节数:\t\t%x \n",*p_filealignment);
 
	//节表地址:DOS头[64字节]+PE标记[4字节]+标准PE头[20字节]+可选PE头[p_sizeofoptionalheader] =312=0x138
	int varsize=*p_sizeofoptionalheader;
	//char* image_section_header_base=ptr+64+4+20+(*p_sizeofoptionalheader);
	char* image_section_header_base=p_signature+4+20+(*p_sizeofoptionalheader);
	printf("节表地址:\t\t%x \n",image_section_header_base);
	
	/*
	每个节表40个字节
	char name[8]																	8字节
	int* misc 					节在文件中没有对齐时的真实大小						4字节
	int* p_virtualaddress		节在内存中的偏移(拉伸后,使用时需要+imagebase)		4字节	
	int* p_sizeofrawdata		节在文件中对齐后的大小								4字节		
	int* p_pointertorawdata		节在文件中的偏移									4字节
	int* p_pointertorelocations														4字节
	int* p_pointertolinenumbers														4字节
	short* p_numberofrelocations													2字节
	short* p_numberoflinenumbers													2字节
	int* p_characteristics		节的属性											4字节
	*/

	int i=1;
	for(i;i<=*p_numberofsections;i++)
	{
		printf("第 %d 个节:\n",i);
		//printf("image_section_header_base:%x \n",image_section_header_base);
		char name[9];
		memcpy(name,image_section_header_base,8);
		name[8]='\0';

		int *pmisc=(int*)(image_section_header_base+8);
		int *pvirtualaddress=(int*)(image_section_header_base+12);
		int *psizeofrawdata=(int*)(image_section_header_base+16);
		int *ppointertorawdata=(int*)(image_section_header_base+20);
		int *ppointertorelocations=(int*)(image_section_header_base+24);
		int *ppointertolinenumbers=(int*)(image_section_header_base+28);
		short *pnumberofrelocations=(short*)(image_section_header_base+32);
		short *pnumberoflinenumbers=(short*)(image_section_header_base+34);
		int *pcharacteristics=(int*)(image_section_header_base+36);

		printf("\t name:%s \n",name);
		printf("\t misc:%x \n",*pmisc);
		printf("\t virtualaddress:%x \n",*pvirtualaddress);
		printf("\t sizeofrawdata:%x \n",*psizeofrawdata);
		printf("\t pointertorawdata:%x \n",*ppointertorawdata);
		printf("\t pointertorelocations:%x \n",*ppointertorelocations);
		printf("\t pointertolinenumbers:%x \n",*ppointertolinenumbers);
		printf("\t numberofrelocations:%x \n",*pnumberofrelocations);
		printf("\t numberoflinenumbers:%x \n",*pnumberoflinenumbers);
		printf("\t characteristics:%x \n",*pcharacteristics);
		

		image_section_header_base=image_section_header_base+40;
	}

 
	//释放内存
	free(ptr);
	ptr=NULL;
	return 0;
}

执行结果如图

拿PE程序解析一下  结果没有差异

GNAIXGNAHZ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手工打造PE文件
07-25
#### 三、手工构造PE文件实例解析 本案例将详细介绍如何手工构造一个微型PE文件,并分析其结构特点。 ##### 3.1 构造步骤 1. **确定PE文件的基本结构**:根据PE文件格式的要求,首先定义DOS头、PE签名、文件头、可...
PE文件格式简析
Asteri5m
09-16 622
#mermaid-svg-IKxrtQXeqJCXjOiJ .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .label text{fill:#333}#mermaid-svg-IKxrtQXeqJCXjOiJ .node rect,#mermaid-svg-IKxrtQXeqJ
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
PE文件~节表
2514804004的博客
04-11 598
节表结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
滴水--------------PE节表解析
clayoa的博客
12-19 824
上一篇文章我们说到PE解析,我们这次继续解析节表 先学习一个新的类型【节表需要用到】 联合体: 什么是联合体? 在C语言,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员表 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
2.4 PE结构:节表详细解析
最新发布
CSDN
09-05 4541
节表(Section Table)是Windows PE/COFF格式的可执行文件一个非常重要的数据结构,它记录了各个代码段、数据段、资源段、重定向表等在文件的位置和大小信息,是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表的每个记录则被称为`IMAGE_SECTION_HEADER`,它记录了一个段的各种属性信息和在文件的位置和大小等信息,一个文件可以由多个`IMAGE_SECTION_HEADER`构成。
PE解析器,纯手工制作,用于分析可执行文件,逆向破解必备工具
07-18
用于解析windows系统平台的可执行文件解析 运行平台:WIN7 64bit/32bit,WIN8 64bit/32bit,WIN10 64bit/32bit; 暂不支持64位PE文件
手工构造典型PE文件
07-25
本文旨在详细介绍如何通过手工方式构建一个典型的PE文件,通过这一过程,我们将全面解析PE文件的各个组成部分及其内在逻辑,从而达到强化PE文件认知的目的。 #### PE文件结构概览 PE文件,作为Windows平台上的标准...
PE手工编辑EXE 贺昌峰.rar(EXE文件手工编辑过程, PE文件格式,为EP编写的EXE源程序VC工程 )
10-23
对一个EXE文件进行简单的修改:增加一个函数,并使程序运行...目的: (1)对PE的结构有一个了解 (3) 对EXE文件的注入过程有一个了解 (4)对EXE的重定位和导入、导出有一个理解 (5) 对汇编语言有一个学习和复习
PE结构学习(5)_导入表与导出表
xf555er的博客
08-07 1030
代码重用机制提供了重用代码的动态链接库, 它会向调用者说明库里的哪些函数是可以被别人使用的, 而这些说明的信息便组成了导出表简单来说,PE文件提供一些函数给其他PE文件调用,这些函数都记录在导出表里面任何PE文件还会调用哪些PE文件都会记录在导入表里。因为PE文件可能要依赖多个模块,所以通常一个PE文件会有多张导入表。...
PE结构的节表解析
qq_58405021的博客
12-01 749
PE结构的节表解析
5.PE文件节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5423
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE与某个特定的有关的信息,如的属性、大小文件和内存的起始位置等.节表的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件节表(区块表)
pjz969的专栏
02-26 5441
节表(区块表): PE文件所有的属性都被定义在节表节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个,结构的排列顺序和它们描述的文件的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表总的IMAGE_SECTION_HEADER结构数量等于的数量加一。节表总是被存放在紧接在PE文件
PE-节表
z1041259928的博客
03-02 466
windowns.h下的定义 name:8个字 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义 misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改 VirtualAddress:内存的偏移地址,加上imagebase就是内存真正的地址 SizeofRawData:文件对齐后的大小 PointerToRawData 区在文件的偏移 Po...
滴水逆向三期实践2:PE节表解析
Rivival_S 的博客
09-22 1308
书接上回 节表,就是在NT_HEADER之后紧接着的那块区域,有多个相同结构的节表,整个区域就是个结构体数组,具体有多少个这样相同的节表结构在COFF头(FILE_HEADER)的 NumberOfSections字段。 所以要遍历节表,只需 for 循环 NumberOfSections 次即可 节表各字段说明如下,后续有更详细的解析: 1、Name 8个字 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义. 注意:该名称并不遵守必须以...
PE 资源表
不会写代码的丝丽
05-01 713
前言 我们在window开发需要很多资源比如ico和accelerator,dialog这些资源都被存放在PE文件的.rsrc。 首先我们需要明白PE存储方式才好解析: 首先是三个三级目录最后才是真正的资源,其第三个目录使用LCID进行区分地区.具体参阅 谈谈Windows程序的字符编码 //winnt.h #define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // Resource Directory 我们举例某个工程 你可以看到这个工程有两个
PE结构 节表
lygl35的博客
02-24 630
节表位置的计算:DOS头大小+标准PE大小+标准PE头SizeofoftimHeader的值
手工构建PE文件:从零开始的实战指南
手工打造PE文件的动机在于,通过实践能更直观地理解PE文件的每一个细,有助于提升对Windows操作系统底层机制的理解。这不仅有助于逆向工程,也有助于软件开发和安全分析,尤其是在面对恶意软件或复杂程序时,能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值