PE文件自学笔记(二):Section Table结构解析

最新推荐文章于 2023-09-09 14:00:08 发布
最新推荐文章于 2023-09-09 14:00:08 发布
阅读量528 收藏
点赞数
分类专栏: PE文件分析 文章标签: PE文件分析 Sections Table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37835724/article/details/84036241
版权

1.Section Table结构解析

Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。

#define IMAGE_SIZEOF_SIGNATURE 4 
#define IMAGE_SIZEOF_FILE_HEADER 20

用变量描述节标配偏移地址为(这是相对于文件首/ImageBase的偏移量):

SectionTableStart = 
_IMAGE_DOS_HEADER.e_lfanew + 
IMAGE_SIZEOF_SIGNATURE + 
IMAGE_SIZEOF_FILE_HEADER + 
_IMAGE_FILE_HEADER.SizeOfOptionalHeader
 

一个结构体成员如下:

#define IMAGE_SIZEOF_SHORT_NAME 
typedef struct _IMAGE_SECTION_HEADER{
    0X00 BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //节(段)的名字.text/.data/.rdata/.cmd等。
                                                //由于长度固定8字节,所以可以没有\0结束符,因此不能用char *直接打印
    0X08 union{
            DWORD   PhysicalAddress;        //物理地址
            DWORD   VirtualSize;            //虚拟大小
    }Misc;//存储的是该节在没有对齐前的真实尺寸,可改,不一定准确(可干掉)
    0X0C DWORD   VirtualAddress;            //块的RVA,相对虚拟地址
    0X10 DWORD   SizeOfRawData;             //该节在文件对齐后的尺寸大小(FileAlignment的整数倍)
    0X14 DWORD   PointerToRawData;          //节区在文件中的偏移量
    //0X18 DWORD   Pointer
最低0.47元/天 解锁文章
Anthony_BW
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE结构(DOS,NT,SectionHeader 不含 DataDirectory)一
machuanfei_c的专栏
07-08 481
PE结构相关内容的解释。 以及写一个 写入弹窗代码的例子
PE文件结构解析
Allen
08-05 5137
t.exe 共 3072 bytes,下面是 t.exe 映象 PE 文件头的整体结构图: windows 的 PE 文件结构包括三大部分:DOS 文件头、NT 文件头以及 Section 表(节表),在 DOS 文件头后面有一小段 DOS 程序,被称为 DOS stub 程序。 DOS stub 程序是运行在 DOS 下面的 16 位程序,目的是指出:当 windows 程序在 dos
Windows PE文件各个节(Section)分析
weixin_38164023的博客
06-10 2002
PE(Portable Executable),即可移植的执行体。所有Windows下可执行文件,均使用PE文件结构PE文件通常包括以下节(Section) .textbss/BSS BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 .text/CODE 代码段(text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就.
2.11 PE结构:添加新的节区
最新发布
CSDN
09-09 1万+
在可执行PE文件中,节(section)是文件的组成部分之一,用于存储特定类型的数据。每个节都具有特定的作用和属性,通常来说一个正常的程序在被编译器创建后会生成一些固定的节,通过将数据组织在不同的节中,可执行文件可以更好地管理和区分不同类型的数据,并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理,以便操作系统和加载器可以正确加载和执行程序。
PE文件结构详解
Lce的专栏
03-12 1016
我们大家都知道,在Windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件的 修改。 PE文件框架构成 DOS MZ header DOS Stu
Android开发自学笔记):工程文件剖析
01-05
本文主要简单剖析这个默认的完整的一套项目工程的文件结构,这样我们在开发我们自己的项目的时候才能熟练做到有的放矢。 AndroidManifest.xml 这个AndroidManifest.xml文件可谓是整个Android工程的灵魂架构师,它...
计算机级python自学笔记PDF
08-24
文件操作也是Python的重要组成部分,笔记会涵盖文件的打开、读写、关闭,以及处理文本文件进制文件的方法。同时,正则表达式的学习对于数据处理和解析非常实用,笔记中应该会有相关介绍。 除此之外,笔记可能还...
郝斌数据结构自学笔记
05-07
更新到47部分,排版还可以。实在是没有积分了,可以说是很廉价的赠送啦~
stm3自学笔记_stm32_STM32自学笔记_
10-03
stm32自学教程。适合开发者,学生,单片机爱好者
PE文件学习笔记):Section Table解析
Apollon_krj的博客
08-11 3615
Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。 #define IMAGE_SIZEOF_SIGNAT
PE文件学习
giantbranch的专栏
05-21 1万+
1.介绍 什么是PE文件PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PEPE32,64位的就PE+或PE32+,注意不是PE64哦!!!! 学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等 初识PE文件 看看大概包括那些结构体吧 2.PE
PE解析
qq_41129854的博客
03-16 600
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
【2021.01.14】扩大节
oalken的博客
01-14 96
#define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; .
PE结构的节表解析
qq_58405021的博客
12-01 713
PE结构的节表解析
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
把exe里面的资源通通取出来
小发猫
05-23 3434
把exe里面的资源通通取出来下载例子源代码一、前言  不知大家用过exescope没有,那是日本鬼子写的一个很有用的东西,它能把exe等pe格式(portable executable)文件的资源(图标、位图、对话框、声音等等)分析出来,并能改写回去。当然vc的ide也有类似功能。大家是不是觉得很神秘?其实只要弄清了pe文件结构,你也可以写一个类似的工具出来。下面是我近 来对pe文件分析经验,
PE节表头
BiCai2的博客
09-18 598
总是在PE文件头开始的偏移00f8h处。 typedef struct _IMAGE_SECTION_HEADER{BYTE Name1[IMAGE_SIZEOF_SHORT_NAME]; // 8个字节 节表名称,如“.text”//IMAGE_SIZEOF_SHORT_NAME=8union {DWORD PhysicalAddress; // 物理地址 节区尺寸 未对齐前的实际大小 DWOR
PE结构讲解--section table 和 section
weixin_33739523的博客
08-25 785
本文为转载文章,整理自小甲鱼老师讲的PE结构课程; 一、PE文件到内存的映射: 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,而是采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才...
[PE结构分析] 6.IMAGE_SECTION_HEADER
weixin_34190136的博客
08-15 221
IMAGE_SECTION_HEADER 的源代码如下: typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text” //IMAGE_SIZEOF_SHORT_NAME=8 union { DWORD ...
郝斌数据结构笔记.pdf
09-11
"郝斌数据结构自学笔记,包含知识点与程序源代码,适用于学习者" 这篇资料主要涵盖了数据结构的学习,作者郝斌提供了丰富的知识讲解和程序示例。数据结构是计算机科学中的基础学科,它研究如何高效地组织和管理数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值