【滴水三期】32/64位——PE文件节表打印与解析

最新推荐文章于 2024-09-06 05:15:00 发布
最新推荐文章于 2024-09-06 05:15:00 发布
阅读量492 收藏 5
点赞数 15
分类专栏: WIN32 API  逆向 文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunqingyu888/article/details/140898653
版权

【作业内容】

1、手动查,画个PE文件图。

2、编写程序打印节表中的信息。

3、根据节表中的信息,到文件中找到所有的节,观察节的开始位置与大小是否与节表中的描述一致

【PE file_buffer文件图】

【IMAGE_SECTION_HEADER解析】

<winNT.h> 头文件定义如下

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //保存节的名字的数组。
    union {
            DWORD   PhysicalAddress;	//该节在文件中的实际大小
            DWORD   VirtualSize;		//该节在内存中占用的大小,节在内存中的大小会因为对齐或填充而增加
    } Misc;
    DWORD   VirtualAddress;		         //该节在进程的虚拟空间中的起始地址,内存偏移。加载器使用这个地址将节的内容映射到内存中相应的虚拟地址上。
    DWORD   SizeOfRawData;		        //该节在PE文件中对齐后的原始数据大小,由于 SizeOfRawData 字段是四舍五入的,而 VirtualSize 字段不是四舍五入的,因此 SizeOfRawData 字段也可能大于 VirtualSize。
    DWORD   PointerToRawData;		    //该节在PE文件的实际位置,即相对于文件开始的偏移量。加载器会根据这个偏移量从文件中读取节的内容,并将其加载到内存中。
    DWORD   PointerToRelocations;		//该节的重定位表在文件中的起始位置,如果节中有重定位项,该字段指出重定位表的文件偏移量。数据节可能需要重定位以修正基于位置的引用;没有重定位的映像,该值设为零。(在obj文件中使用,对exe无意义)。
    DWORD   PointerToLinenumbers;		//如果节包含源代码行号信息;;已被弃用,改值应为0
    WORD    NumberOfRelocations;		//该节有多少重定位条目;对于可执行文件,该值设为零。(在obj文件中使用,对exe无意义)。
    WORD    NumberOfLinenumbers;		//该行有多少行号条目;已被弃用,该值应为0
    DWORD   Characteristics;			//指定节的属性标志
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
【SECTION_CHARACTERISTICS】节表中Characteristics字段解析

<winNT.h> 头文件定义如下

1. **`IMAGE_SCN_TYPE_NO_PAD`** (`0x00000008`):指示该节不应该在文件中进行填充。 
2. **`IMAGE_SCN_CNT_CODE`** (`0x00000020`):表示该节包含可执行代码。 
3. **`IMAGE_SCN_CNT_INITIALIZED_DATA`** (`0x00000040`):表示该节包含已初始化的数据。 
4. **`IMAGE_SCN_CNT_UNINITIALIZED_DATA`** (`0x00000080`):表示该节包含未初始化的数据(通常是`.bss`节)。 

5. **`IMAGE_SCN_LNK_OTHER`** (`0x00000100`):保留,用于非标准链接器特定的节。 
6. **`IMAGE_SCN_LNK_INFO`** (`0x00000200`):表示该节包含链接器信息,如重定位表和行号表。
7. **`IMAGE_SCN_LNK_REMOVE`** (`0x00000800`):指示链接器应该从最终输出中删除此节。 
8. **`IMAGE_SCN_LNK_COMDAT`** (`0x00001000`):表示该节包含COMDAT数据,即在链接时可能与其他节合并的数据。
 
9. **`IMAGE_SCN_NO_DEFER_SPEC_EXC`** (`0x00004000`):表示该节中的代码不应延迟特定异常处理。 

10. **`IMAGE_SCN_GPREL`** (`0x00008000`):表示该节中的数据相对于全局页基址(即PE文件的基地址)是相对的。 

11. **`IMAGE_SCN_MEM_PURGEABLE`** (`0x00020000`):表示该节在内存中是可丢弃的,即可以由系统在需要时清除。 
12. **`IMAGE_SCN_MEM_16BIT`** (`0x00020000`):表示该节包含16位代码或数据。 
13. **`IMAGE_SCN_MEM_LOCKED`** (`0x00040000`):表示该节在内存中是锁定的,即不能被页面调度器交换出去。 
14. **`IMAGE_SCN_MEM_PRELOAD`** (`0x00080000`):表示该节应该在进程启动时预加载到内存中。 
15. **`IMAGE_SCN_ALIGN_1BYTES`** (`0x00100000`) 至 **`IMAGE_SCN_ALIGN_8192BYTES`** (`0x04000000`):这一系列标志位用于指定节在内存中的对齐方式。 

16. **`IMAGE_SCN_LNK_NRELOC_OVFL`** (`0x01000000`):表示该节的重定位溢出,即重定位表中包含了太多重定位条目。 

17. **`IMAGE_SCN_MEM_DISCARDABLE`** (`0x02000000`):表示该节中的数据在内存中是可以被丢弃的,即可以由系统在需要时清除。 
18. **`IMAGE_SCN_MEM_NOT_CACHED`** (`0x04000000`):表示该节在内存中不应该被缓存。 
19. **`IMAGE_SCN_MEM_NOT_PAGED`** (`0x08000000`):表示该节在内存中不应该被分页。
20. **`IMAGE_SCN_MEM_SHARED`** (`0x10000000`):表示该节在内存中是可以被共享的。 
21. **`IMAGE_SCN_MEM_EXECUTE`** (`0x20000000`):表示该节在内存中是可以执行的。 
22. **`IMAGE_SCN_MEM_READ`** (`0x40000000`):表示该节在内存中是可以读取的。 
23. **`IMAGE_SCN_MEM_WRITE`** (`0x80000000`):表示该节在内存中是可以写的。 


#define IMAGE_SCN_MEM_FARDATA (0x00008000):用于指示一个节是远数据(far data)节,遗留产物,现代程序用不上。
#define IMAGE_SCN_ALIGN_MASK(0x00F00000):定义了一个掩码,用于从`Characteristics`字段中提取对齐属性.它被设计为与`Characteristics`字段进行位与操作(&),以提取出对齐属性。这个掩码的二进制表示中,只有对齐属性位被设置为1,其他位被设置为0。

【PE文件节表打印】

#include <windows.h>
#include <winnt.h>
#include <stdio.h>


const char* filename= "C:\\Users\\Administrator\\Desktop\\SunloginClient\\远控项目(1)\\service\\Release\\client.exe";
char* file_buffer;

//读文件,返回存储文件内容的缓冲区
int Read_File(){
	FILE* pfile = NULL;
	if ((fopen_s(&pfile, filename, "rb"))) {
		printf("file open error with %d .\n",errno);
		fclose(pfile);
		return 0;
	}

	//判断文件大小
	fseek(pfile,0,SEEK_END);
	int file_size=ftell(pfile);
	rewind(pfile);
	file_buffer = (char*)calloc((file_size+1), 1);
	
	//读取文件
	if (!((fread_s(file_buffer, file_size, 1, file_size, pfile)) == file_size))
	{
		printf("fread faild with %d.\n",errno);
		file_buffer = NULL;
		free(file_buffer);
		fclose(pfile);
		return 0;
	}

	return 0;
}
int Section_Operator() {
	/*
	1、判断DOS 头前word个字节是否为5A4D
	2、读取e_lfanew
	3、跳到NT头位置,
	*/
	

	PIMAGE_DOS_HEADER dos_header;
	dos_header = (PIMAGE_DOS_HEADER)file_buffer;
	if (!(dos_header->e_magic== IMAGE_DOS_SIGNATURE))
	{
		printf("Not PE file!\n"); 
		return 0;
	}
	DWORD Pe_sig = dos_header->e_lfanew;
	//file_temp_buffer==MACHINE
	char* file_temp_buffer= (char*)calloc(sizeof(file_buffer), 1);
	

	//1、获得 WORD NumberOfSections 判断节的数量
	//2、获得 WORD SizeofOptionsHeader  此头没有本节课作业相关的数据,先不读取,直接跳过此头。

	//有个DOWRD signature字节,直接跳过,到FILE_HEADER 部分
	file_temp_buffer = file_buffer + Pe_sig+4 ; 

	PIMAGE_FILE_HEADER file_header;
	file_header = (PIMAGE_FILE_HEADER)file_temp_buffer;

	//1、获得 WORD NumberOfSections 判断节的数量
	int section_number=file_header->NumberOfSections;

	//2、获得 WORD SizeofOptionsHeader  此头没有本节课作业相关的数据,先不读取,直接跳过此头。
	int option_header_size = file_header->SizeOfOptionalHeader;

	file_temp_buffer = file_temp_buffer + option_header_size+sizeof(IMAGE_FILE_HEADER);
	

	PIMAGE_NT_HEADERS;
	PIMAGE_SECTION_HEADER section_header;
	section_header = (PIMAGE_SECTION_HEADER)file_temp_buffer;
	while (section_number--)
	{

		printf("====================== %s节表信息 =======================\n", section_header->Name);
		printf("节在内存中的大小:%08X\n",section_header->Misc.VirtualSize);
		printf("节的内存偏移:%08X\n",section_header->VirtualAddress);
		printf("节在文件中对齐后的大小:%08X\n",section_header->SizeOfRawData);
		printf("节在PE文件的偏移:%08X\n",section_header->PointerToRawData);
		printf("该值应为0:%08X\n",section_header->PointerToRelocations);
		printf("该值应为0:%08X\n",section_header->PointerToLinenumbers);
		printf("该值应为0:%08X\n",section_header->NumberOfRelocations);
		printf("该值应为0:%04X\n",section_header->NumberOfLinenumbers);
		printf("节的权限:%08X\n",section_header->Characteristics);
		//section_header 是PIMAGE_SECTION_HEADER类型,(section_header++) 等于 指针向下顺移一个节的位置。
		//printf("====================== %s节表信息 =======================\n",section_header->Name);
		section_header++;
	}

	file_buffer = NULL;
	file_temp_buffer = NULL;
	free(file_buffer);
	free(file_temp_buffer);
}




int main() {
	Read_File();
	Section_Operator();
	return 0;
}

注:如有不正确或可完善的地方请私聊,直接评论也可以。本人在编辑的时候可能会受到自身逻辑限制,无法想到一些重要的情况,欢迎各位一起学习的小伙伴多多批评指正。

JXU1Q
关注
  • 15
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向——PE打印导入表
sunr.
04-15 772
1.导入表数据结构 2.PE文件载入内存前后导入表变化 3.打印步骤 4.一张图体会重定位表和导入表关系 DLL_A加载的基址本来是400000,但是被.exe占用了基址400000处,所以它的基址变为了1000000处。这时重定位表的作用就是改变DLL_A中要寻找各函数的Roa,具体操作就是Roa-原基址(400000)+现基址(1000000),这...
滴水三期32/64位——PE文件字段打印解析
sunqingyu888的博客
08-03 887
滴水三期32/64位——PE文件字段打印解析
滴水三期PE源码)File->FileBuffer->ImageBuffer->存盘
wxslaoli的博客
06-26 480
#define _CRT_SECURE_NO_DEPRECATE 1#include #include #include typedef unsigned short WORD; typedef unsigned int DWORD; typedef unsigned char BYTE; #define IMAGE_SIZEOF_SHORT_NAME 8 #define MessageBox 0x76250D80 BYTE shellcode
5.PE文件节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5455
PEIMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
滴水--------------PE节表解析
clayoa的博客
12-19 827
上一篇文章我们说到PE解析,我们这次继续解析节表 先学习一个新的类型【节表中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员表 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
PE格式详细讲解4 - 系统篇04|解密系列
weixin_34085658的博客
04-29 126
PE格式详细讲解4-系统篇04 让编程改变世界 Change the world by program 到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。 越学越多的结构,大家可能觉得PE挺乱挺杂的哈,所以这里插播下一下必要知识的详细注释,大伙可以按需要看。 PE...
滴水三期 win32作业项目 PE查看器源码
05-16
滴水三期 win32作业项目 PE查看器源码
滴水三期完整版(96课时)
04-20
第36讲:2015-03-13(PE节表) 第37讲:2015-03-16(FileBuffer转ImageBuffer) 第38讲:2015-03-17(代码节空白区添加代码) 第39讲:2015-03-18(任意节空白区添加代码) 第40讲:2015-03-19(新增节添加代码) 第41讲...
滴水逆向三期课件,滴水逆向三期课件下载
09-10
逆向进阶,进一步深刻了解逆向及其原理,在b站等可以搜到课程,这是相对应课件
滴水三期学习资料汇总.zip
07-04
滴水逆向三期课件资料工具习题汇总,学习逆向必看资源,若是不想自己记笔记可以用点积分节省下时间。 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出...
PE文件节表(区块表)
pjz969的专栏
02-26 5445
节表(区块表): PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节表总是被存放在紧接在PE文件
节表属性格式分析
hannibal_why的专栏
02-08 640
判断 属性 if (Characteristics & IMAGE_SCN_TYPE_NO_PAD){   } //   错误                                                   if (IMAGE_SCN_TYPE_NO_PAD==(Characteristics & IMAGE_SCN_TYPE_NO_PAD)){   } // 正确
初识C++
2301_81214535的博客
09-02 976
C++ 是一种广泛使用的通用编程语言,它是在 C 语言的基础上发展而来的,首次由 Bjarne Stroustrup 在贝尔实验室于 1979 年开始设计和实现。C++ 提供了面向对象编程(OOP)、泛型编程和过程化编程等多种编程范式的支持。namespace(命名空间)是一种封装标识符(如变量名、函数名、类名等)的方式,它可以将相关的标识符组织在一起,以避免命名冲突。命名空间的定义使用namespace关键字后跟一个唯一的名称(即命名空间的标识符)和一对花括号{},其中包含了该命名空间内的所有成员。
新型PyPI攻击技术可能导致超2.2万软件包被劫持
FreeBuf_的博客
09-05 1537
PyPI 软件包的攻击面正在不断扩大。尽管在此进行了主动干预,但用户仍应始终保持警觉,并采取必要的预防措施来保护自己和 PyPI 社区免受这种劫持技术的侵害。
Stream 流式编程
最新发布
程序猿进阶
09-06 1291
大家都知道可以将Collection类转化成流Stream进行操作(Map并不能创建流),代码变得简约流畅。我们先看下流的几个特点:1、流并不存储元素。这些元素可能存储在底层的集合中,或者是按需生成。2、流的操作不会修改其数据元素,而是生成一个新的流。3、流的操作是尽可能惰性执行的。这意味着直至需要其结果时,操作才会执行。
c++修炼之路之C++11
Miwll的博客
09-02 1229
c++11相关内容
C语言:刷题笔记
weixin_45930573的博客
09-04 402
c语言刷题记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值