PE文件内名存实亡的对齐

最新推荐文章于 2023-09-18 15:23:41 发布
最新推荐文章于 2023-09-18 15:23:41 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 手写一个PE文件 文章标签: 内存对其 FileAlignment SectionAlignment

本文章是我在看雪转载的,感觉非常有用,让我明白了一个核心道理:PE格式只是一个参考

PE文件内名存实亡的对齐
大家知道PE文件中IMAGE_NT_HEADERSIMAGE_OPTIONAL_HEADER32里有两个对其因子SectionAlignmentFileAlignment分别表示内存中块的对齐和文件中块的对齐。我同时翻阅了Visual Studio, Microsoft Portable Executable and Common Object File Format Specification Revision 8.0 - May 16, 2006英文原版以及各种中文版的PE文件格式解析(其中包括《加密与解密》),发现描述Section时特别指出块的PointerToRawDataSizeOfRawData必须遵循FileAlignment(即必须是对齐因子的整数倍),而VirtualAddress必须遵循SectionAlignment,同时两个对齐因子必须都是2的整数次幂,且FileAlignment必须小于等于SectionAlignment
对于此点,各色文档参差不齐,例如英文文档中没有强调VirtualAddress的对齐,而《加密与解密》中没有强调PointerToRawData的对齐。众说风云,姑且先放一下,我用LordPE+Win2k(SP4)作了一系列的试验来验证对齐问题。
首先必须研究一下section(有人译成节,本人将其译成块,在下文中不再解释)。
可执行文件中,块有4个主要参数和2个参考参数,分别为:
4个主要参数:
PointerToRawData(LordPE中为ROffset)表示块在文件中开始的偏移
SizeOfRawData(LordPE中为RSize)表示块在文件中对齐后的大小
VirtualAddress(LordPE中为VOffset)表示块在内存中的RVA(相对虚拟地址)
VirtualSize(LordPE中为VSize)表示块从文件映射到内存时实际需要映射的大小(也就是对齐前实际使用了的大小)
特别的,英文文档指出当VirtualSize > SizeOfRawData时表示块内数据全部是0,通常下VirtualSize <= SizeOfRawData
由此看来英文文档中的对齐要求不无理由,除VirtualSize和块实际存储信息有关(可能是代码多少,数据多少),其它三项都要求对齐。
2个参考参数:
分别是BYTE name[8];块名字,详细参见英文文档和Characteristics表示块的属性(可执行?保存已初始化数据?等等)
还有一些和调试相关的参数详细参见英文文档。
既然对齐如此必要,那么理应严格遵循,但是试验结果令人大吃一惊。
FileAlignment使用了win2k\system32\notepad.exe作为试验对象。
Notepad.exe的块表:
name  VOffset    VSize    ROffset    RSize    Flags
.text  00001000  0000654A  00000600  00006600  60000020
.data  00008000  00001944  00006C00  00000600  C0000040
.rsrc  0000A000  00005238  00007200  00005400  40000040
FileAlignment : 200h  SectionAlignment : 1000h    运行结果:ok
FileAlignment : 400h  SectionAlignment : 1000h    运行结果:ok
FileAlignment : 600h  SectionAlignment : 1000h    运行结果:错误,原因:600h不是2的整数次幂
FileAlignment : 800h  SectionAlignment : 1000h    运行结果:ok
FileAlignment : 1000h  SectionAlignment : 1000h    运行结果:ok
FileAlignment : 2000h  SectionAlignment : 1000h    运行结果:错误,原因:FileAlignment > SectionAlignment

可见FileAlignment并没有严格遵循对齐原则。
SectionAlignment是严格遵循的,因为它关系到SizeOfImageEntryPoint等与RVAVA相关的所有内容。

最后的结果大出所料但又在情理之中,文件中FileAlignment没有严格遵循对齐原则,因为在映射到内存时地址会重新改写,只要内容上没有问题,映射后与映像文件对齐没有关系。但是SectionAlignment却要严格遵循,因为映射到内存后诸多寻址与其息息相关。
PELoader和我们玩了一个游戏,只要EXE能够执行,不必细究那些次要因素带来的影响。
当然这些推断只是基于本环境(win2k+sp4),其它系统上不敢妄言,由于看不到系统PELoader的代码实现,所以这些只是表象的推测而已,更待高手指点迷津。

xuenixiang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
leetcode题库-construct_elephant:力扣(Java&&Python)
06-29
leetcode题库 project elephant 如果还会补以前缺的题目的话 从41开始每个文件夹的编号对应力扣官网。 main goal 要恰饭的嘛 为了应对9月的秋招,在xxxx月开始每天在leetcode的基础上再加一道剑指offer66题中的一道。 提交代码的前提是弄懂代码的逻辑,知道语法意义,能手撕伪代码 (手撕代码更佳)。 members content LeetCode题库代码(Java&&Python) 关于题目发布,每天发布题目的人负责题目的描述,注明难度,输入输出,参考官网 Slogan 一Giu我里Giao Giao!呀吼!Giao! elephant_pot system 基本规则(以下单位:RMB) 容易random(10, 15) 中等random(5, 10) 困难random(0, 5) 每天0点之前未提交算作没有完成 补交:第二天0点之前连同当天的一共两份都交上去可以减去之前一次的结果 每个自然月最多有三次补交机会 后续根据完成情况上线成就系统 名存实亡的elephant_pot
PE文件格式(一)
AlienEowynWan的博客
04-24 2997
简介 PE文件是Windows操作系统下使用的可执行文件格式 PE文件指的是32位的可执行文件,也称作PE32;64位的可执行文件称作PE+或PE32+(注意不是PE64),这是PE文件的一种扩展形式。 PE文件种类 可执行系列:EXE、SCR 驱动程序系列:SYS、VXD 库系列:DLL、OCX、CPL、DRV 对象文件系列:OBJ 除了OBJ之外的文件都是可执行的,有些虽然不能直接在Shell(Explorer.exe)中运行,但是可以使用调试器等来运行。不过,根据PE文件规范,OBJ也是做是PE文件
PE查看工具编写
輚至消亡
07-02 837
1. 基础介绍 今天写了一个工具, 使用MFC编写。 该工具有以下功能: 查看PE基础信息 查看PE结构的节表信息 RVA到FOA的转换 添加一个新的空节区 2. 功能演示 界面如下: 演示一下添加新节的功能: 演示一下换算RVA与FOA的功能: 可以看到,其位于.idata节。 3. 核心代码 a. 内存映射技术 PVOID CPEViewDlg::FileSharing(LPCTSTR lpcszFilePathName) { HANDLE hFile = I.
PE文件-SectionAlignment
最新发布
xiaosusushuai的博客
09-18 77
关于SectionAlignment解读:类似于disk区装载到memory区,装载的区域标签必须以整数结尾的意思,例如1000,就意味着只能是[ImageBase]~[ImageBase+1000]的区域可以使用。
【逆向工程】在PE结构空白区段插入代码
L2510408497的博客
07-03 2071
最近在学PE结构,遇到了个比较有意思的实验,学过PE结构的都知道因为文件对齐FileAlignment和区块对齐SectionAlignment的缘故,在磁盘中的PE文件的块与块表 块与块之间有许多的空白间隙,这些间隙以0为填充,在文件执行中这些空白是没有意义的,所以我们就可以利用这段空白插入我们想执行的一些代码。 演示程序 经典扫雷 演示dll user32.dll.MessageBoxW 演示所用工具 X64dbg,PEGAME,010Editor 演示目标 实现修改程序使其弹出一个MessageBo
PE文件映射解析
城南以南花亦开
09-06 8916
解析 PE 文件内存映射,了解 PE 文件的磁盘和内存对齐方式,编程实现 PE 文件内存映射加载。
PE文件格式 - 节的原始数据 1(Sections' raw data)
zhaogn 的技术博客
07-09 2742
http://hi.baidu.com/softopen/blog/item/7ef2c2cc60b6fa570fb3452a.html 八、节的原始数据(Sections' raw data) -------------------------------------- 1.概述(general) ------- 所有的节在载入内存后都按“SectionAlignmen
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5137
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE文件格式详解(上)
04-01 1292
PE文件格式详解(上)作者:MSDN译者:李马 (http://home.nuc.edu.cn/~titilima) 摘要    Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications)
关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐
cay22的专栏
02-26 3260
关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐 的关系. 一. PE格式(包括文件中和内存中)是怎么分块对齐的? PE的大概格式是: IMAGE_DOS_HEADER + Stub + IMAGE_NT_HEADERS + IMAGE_SECTION
PE文件对齐、节对齐、子系统查看程序(含源码)
04-21
PE文件对齐、节对齐、子系统查看程序 包含源代码和目标程序 用Dev-C++编写 显示子系统的描述
Python实现图片滑动式验证识别方法
12-24
传统的字符型验证安全性已经名存实亡的情况下,各种新型的验证码如雨后春笋般涌现。目前最常见的一种形式就是“滑动拼图式” 2 内容概述 关于滑动式验证,最早由国内某网络安全公司首次提出的行为式验证,以滑动拼图...
gdufer:广金在线
03-24
关于广金在线在网络空间为例,虽然有广金后院的存在,但是已经名存实亡,广金连一个稳定的学生虚拟社区都不存在,只能是去微博树洞。我始终认为,BBS类的应用在高校中是很有必要存在的。了。所以我决定自己动手,...
HTML5 Canvas之测试浏览器是否支持Canvas的方法
12-13
本文翻译自Steve Fulton ...简单地说,如果上下文不存在的话,Canvas也就名存实亡了。测试浏览器是否支持Canvas有好几种方法。第一种方法是检查HTML页面中Canvas元素的getContext方法是否存在: 复制代码代码如下:if (!
数据挖掘大数据
01-22
这些会员名存实亡,网站却依然要给他们提供大量网络空间,费时费力提供特色资讯和服务,由此而产生了巨大的资源浪费。淘宝网也存在大量“沉睡会员”的问题.为了充分发掘这座金矿的潜力,将其转化为公司的营业收入,...
在代码空白区添加代码
weixin_43990313的博客
06-03 806
这段时间跟着滴水三期视频一起学习PE,在这个地方遇到了一些坑。就简答的记录一下。 先明确一点。视频里使用的程序的FileAlignment和SectionAlignment是相同的,因此进行地址计算的时候可以不考虑粒度的大小。 我们进行添加代码的思路是: 1.在空白处载入一段代码。 2.修改入口点先执行我们添加的代码。 3.自己载入的代码最后跳转到原本的入口点。 分析一下需要进行的工作: 首先需要判断一下需要载入的位置是否可以使用(这个地方遇到了一个坑,在文件头的空隙中我曾经尝试过多次,但最后修改后仍然没办
PE面试题
qq_18811919的博客
12-19 1740
自己学习PE的笔记,可能会存在错误如果有发现错误可以联系QQ:1024275440 1.可执行文件格式NE和可执行国格式文件PE之间的关系是什么 2.PE文件早期衍生建立在 3.什么是COFF文件格式 4.COFF文件PE文件的关系是什么有什么相似的地方 5.描述PE和COFF格式主要的头文件是 6.EXE文件和DLL文件的区别是什么 7.64位PE于32位PE有什么不同 8.PE基本概念 9.基地址 10.PE文件与DLL文件默认装载基址是多少 11.什么是虚拟地址(Virtual Address VA
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明
cay22的专栏
02-24 2274
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明 这个字段是在文件对齐时使用的. 例如FileAlignment = 0x1000, 有一个节真正有用的数据大小为0x400, 但是因为FileAlignment是0x1000, 所以连接器生成文件时, 该节的大小就是0x1000了. 这就是文件对齐. 看下面数据: IMAGE_DOS_HEA
PE结构详解
热门推荐
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
一家贸易公司的总经理找到一位管理专家,要求其在营销管理上给予他们一些咨询。原来,这家公司在去年底一下走了5个业务员。接手的新业务员在盘点他们的工作时发现近40万元的应收款已成死账。于是老板下令对所有终端客户进行全面清查,发现竟有35%应收款超过了应收时间半年以上,而在另外65%左右的应收款中,有15%左右已经被业务员收取挪用而未交至公司,同时,将近有5%的终端客户早已名存实亡。老板于是将那些挪用客户货款的业务员统统炒了鱿鱼。这使这家有着20多名业务员,年销售额在20亿元左右的公司,一下子失去了四分之一的业务骨干和熟手,正常的工作由此被全部打乱。(1)据你诊断,这家公司的问题出在哪里?(2)你是否认为营销公司要建立一个控制体系和预警体系,怎样建立?该体系要对哪些实质性环节进行控制?最好的控制指标是什么?
05-16
再次,公司没有建立完善的客户管理制度,导致有部分客户早已名存实亡,但公司还在为其开展业务,这也加剧了应收款的风险。 (2) 是的,营销公司需要建立一个完善的控制体系和预警体系。建立控制体系的关键在于确立...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值