节表

最新推荐文章于 2021-10-26 18:15:15 发布
最新推荐文章于 2021-10-26 18:15:15 发布
阅读量402 收藏
点赞数 2
分类专栏: reverse 的入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tell_me_404/article/details/107893757
版权

一、PE加载的过程

1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).

2、根据SizeOfHeader的大小,将头信息从FileBuffer拷贝到ImageBuffer

3、根据节表中的信息循环讲FileBuffer中的节拷贝到ImageBuffer中.

在这里插入图片描述

Q1、如何定位节表

可选PE头后面紧跟着的就是第一个节表.

Q2、如何确定节表个数

标准PE头里面的第二个成员:NumberOfSection 存储的就是一个有几个节表

二、FileBuffer和ImageBuffer结构

在这里插入图片描述

三、节表结构

在这里插入图片描述

typedef struct _IMAGE_SECTION_HEADER {

0x00 BYTE Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
0x08 DWORD PhysicalAddress;
0x08 DWORD VirtualSize;
     } Misc;
0x0c DWORD VirtualAddress;
0x10 DWORD SizeOfRawData;
0x14 DWORD PointerToRawData;
0x18 DWORD PointerToRelocations;
0x1c DWORD PointerToLinenumbers;
0x20 WORD NumberOfRelocations;
0x22 WORD NumberOfLinenumbers;
0x24 DWORD Characteristics;
};

四、编写程序打印节表中的信息.

#include "stdafx.h"
#include "string.h"
#include <malloc.h>
#include <windows.h>


WORD NumberOfSections = 0;
DWORD SizeOfHeaders = 0;
DWORD SizeOfImage = 0;
DWORD SectionAlignment = 0;
int info_Address[10] ;
int info_RawData[10] ;
int info_PointerToRawData[10];

FILE* file_open(char* file_path);
int compute_file_len(FILE* pfile);
char* allocate(int file_buf_size);
char* readfile2mem(FILE* file_address,char* pfile_buffer,int file_buf_size);
void read_PE_info(char* pfile_buffer);


void operate_pe()
{	
	FILE* fp2 = fopen("D:\\Lib\\test3.exe","wb");
	// 打开文件
	char file_path[] = "C:\\Windows\\System32\\notepad.exe";
	FILE* file_address = file_open(file_path);
	// 计算文件长度
	int file_buf_size = compute_file_len(file_address);
	printf("file_buf_size:%d\n",file_buf_size);
	// 分配动态内存用于FILE_BUFFER
	char* pfile_buffer = allocate(file_buf_size);
	printf("===================分配FILE_BUFFER内存成功!内存地址开始:%x=========================\n",pfile_buffer);
	// 将文件内容写入内存
	pfile_buffer = readfile2mem(file_address,pfile_buffer,file_buf_size);
	// 读取PE中的关键信息
	read_PE_info(pfile_buffer);
	// 重新分配一段内存用于IMAGE_BUFFER
	char* pimage_buffer = allocate(SizeOfImage);
	printf("===================分配IMAGE_BUFFER内存成功!内存地址开始:%x=========================\n",pfile_buffer);
	// 往另一段内存中拷贝数据
	//内存拷贝函数 将pfile_buffer指向的地址的内存拷贝SizeOfHeaders个字节到pimage_buffer指向的内存中去
	memcpy(pimage_buffer,pfile_buffer,SizeOfHeaders);
	printf("头部信息填充完毕!\n");
	memset(pimage_buffer+SizeOfHeaders,0,SectionAlignment-SizeOfHeaders);
	for(int j = 0;j<NumberOfSections;j++)
	{	// 向新的内存中拷贝节表
		memcpy(info_Address[j]+pimage_buffer,pfile_buffer+info_PointerToRawData[j],info_RawData[j]);
		if(info_PointerToRawData[j]<SectionAlignment)
			memset(pimage_buffer+SizeOfHeaders,0,SizeOfImage-SizeOfHeaders);	
	}
	fwrite(pimage_buffer,SizeOfImage,1,fp2);

	


	fclose(fp2);
	free(pfile_buffer);
	free(pimage_buffer);
}

FILE* file_open(char* file_path)
{
	FILE* file_address = fopen(file_path,"rb");
	if(!file_address)
	{
		printf("打开文件失败!\n");
		return 0;
	}
	return file_address;
}

int compute_file_len(FILE* pfile)
{
	int len = 0;
	fseek(pfile,0,SEEK_END);
	len = ftell(pfile);
	fseek(pfile,0,SEEK_SET);
	return len;
}
char* allocate(int buf_size)
{
	char* buffer_address = (char*)malloc(buf_size);
	if(!buffer_address)
	{
		printf("分配内存失败!\n");
		return 0;
	}
	memset(buffer_address,0,buf_size);
	return buffer_address;
}

char* readfile2mem(FILE* file_address,char* pfile_buffer,int file_buf_size)
{
	if(!(fread(pfile_buffer,file_buf_size,1,file_address)))
	{
		printf("从文件向内存中读取数据失败!\n");
		return 0;
	}
	return pfile_buffer;
}

void read_PE_info(char* pfile_buffer)
{
	int info_01[10];
	PIMAGE_DOS_HEADER pDosHeader = NULL;	
	PIMAGE_NT_HEADERS pNTHeader = NULL;	
	PIMAGE_FILE_HEADER pPEHeader = NULL;	
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	pDosHeader = (PIMAGE_DOS_HEADER)pfile_buffer;
	// 获取PE头部偏移
	if(*((PDWORD)((DWORD)pDosHeader+pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{	
		printf("不是有效的PE标志!\n");
		free(pfile_buffer);
		return;
	}
	pNTHeader = PIMAGE_NT_HEADERS((DWORD)pfile_buffer+pDosHeader->e_lfanew);
	printf("=====================开始查找NT头中信息=============================\n");
	printf("pNTHeader:%X\n",pNTHeader);

	//强制类型转化,指向标准PE头
	pPEHeader = PIMAGE_FILE_HEADER((DWORD)pNTHeader+4);
	printf("=====================开始查找标准PE头中信息=========================\n");
	printf("pPEHeader:%X\n",pPEHeader);
	printf("节的数量:%x\n",pPEHeader->NumberOfSections);
	printf("SizeOfOptionalHeader(可选PE头的大小):%x\n",pPEHeader->SizeOfOptionalHeader);
	NumberOfSections = pPEHeader->NumberOfSections;

	// 强制类型转换,指向可选PE头
	pOptionHeader = PIMAGE_OPTIONAL_HEADER32((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER);
	printf("====================开始查找可选PE头中信息==========================\n");
	printf("SizeOfImage:%x\n",pOptionHeader->SizeOfImage);
	printf("SizeOfHeaders:%x\n",pOptionHeader->SizeOfHeaders);
	printf("SectionAlignment:%x\n",pOptionHeader->SectionAlignment);
	SizeOfHeaders = pOptionHeader->SizeOfHeaders;
	SizeOfImage = pOptionHeader->SizeOfImage;
	SectionAlignment = pOptionHeader->SectionAlignment;

	// 强制类型转换,指向节表中的信息
	printf("====================开始查找节表中信息==========================\n");
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader);
	for(DWORD i = 0;i<NumberOfSections;i++,pSectionHeader++)
	{
		printf("VirtualAddress:%08X\n",pSectionHeader->VirtualAddress);
		printf("SizeOfRawData:%08X\n",pSectionHeader->SizeOfRawData);
		printf("PointerToRawData:%08X\n",pSectionHeader->PointerToRawData);
		printf("==============================================\n");
		info_Address[i] = pSectionHeader->VirtualAddress;
		info_RawData[i] = pSectionHeader->SizeOfRawData;
		info_PointerToRawData[i] = pSectionHeader->PointerToRawData;
	}
	printf("获得PE信息结束,准备开始向ImageBuffer存储!!\n");
}


int main()
{	
	operate_pe();
	getchar();
	return 0;
}

在这里插入图片描述

世俗非议不足道哉~
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
节表(40字
qq_51600802的博客
10-27 451
节表:相当于这本书的目录{");puts("申请失败");if(!n){printf(" 读取数据失败!");}}{{printf("不是有效的MZ标志\n");return;}printf("********************DOC头********************\n");printf("MZ标志:%x\n",pDosHeader->e_magic);
PE文件:节表(区块表)
pjz969的专栏
02-26 5425
节表(区块表): PE文件所有的属性都被定义在节表中节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个,结构的排列顺序和它们描述的在文件的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节表中总的IMAGE_SECTION_HEADER结构数量等于的数量加一。节表总是被存放在紧接在PE文件
fread读取同一个文件得到缓冲区大小不同_PE文件基础
weixin_39816141的博客
11-28 293
前言学一学PE小基础,从文件PE到内存的PE,然后再保存到内存这边我们是从文件的pe转到运行的pe,然后再缩小存储到文件的pe这边我们需要知道内存对齐是0x1000,文件对齐是0x200(这边是16进制的,误踩坑)我们第一步是先要把pe文件读出来,存储起来1、根据SizeOfImage的大小,开辟一块缓冲区(ImageBuffer).2、根据SizeOfHeader的大小,将...
移动导出表到新增
hambaga的博客
05-20 439
一、为什么要移动导出表 移动导出表是指将导出表以及其内部的三张子表移动到新增,这个操作是软件加密的第一步。因为软件加密会把进行加密,而数据目录是在里的,加密后操作系统不认识了,因此我们要把数据目录里面的东西移动到一个新的里。 二、怎么移动 上图是导出表的结构,移动导出表的步骤,我个人的做法分为以下几步: 计算新增的大小,必须能放下导出表,3张子表,所有按名字导出的函数名; 新增一个,并设置其属性为可读,含已初始化数据; 原封不动地拷贝3张子表到新增; 遍历 AddressOfNames,计
节表视图_动态
07-13
在iOS开发,分节表视图(Sectioned Table View)是一种常见的用户界面元素,它允许数据以分组的形式展示,极大地提高了用户在浏览大量信息时的可读性和交互性。这种视图常用于App的联系人列表、日历、购物清单等...
情人节表达爱意jsdn2206-se-love-master.zip
最新发布
02-15
2. **CSS 样式**:CSS(层叠样式表)用于控制网页的视觉呈现,可能会包含情人主题的颜色、动画效果和布局设计,让网页更加浪漫和吸引人。 3. **JavaScript 动态功能**:这是核心部分,可能包含事件监听器(如点击...
节表视图_静态
07-13
节表视图是iOS应用开发常见的UI组件,它允许数据以清晰、有组织的方式呈现,通常用于显示大量信息并支持用户交互。在iOS开发,我们使用UIKit框架的UITableView类来创建和管理这样的视图。在这个"分节表视图_...
愚人节表情.doc
09-20
愚人节表情.doc
2019-2020 年假日表 (excel) 文件
05-02
共开发所需的19个字段,分别为date_key date_value day_in_year day_in_month is_first_day_in_month is_last_day_in_month weekday week_in_month is_first_day_in_week is_dayoff is_workday is_holiday date_type ...
程序开始打印程序信息
weixin_30559481的博客
08-03 98
void printSoftwareInfo(const char *programName, const char *date, const char *time){ char s_month[5]; int month, day, year; static const char month_names[] = "---JanFebMarAprMayJunJulAugSepOc...
如何用python写函数_教你如何运用python 6.7 编写printTable()函数表格打印
weixin_40000301的博客
11-24 294
导读这篇文章主要介绍了python 6.7 编写一个名为printTable()的函数 表格打印,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下编写一个名为printTable()的函数,它接受字符串的列表的列表,将它显示在组织良好的表格,每列右对齐。假定所有内层列表都包含同样数目的字符串输入:tableData = [[‘apple',‘o...
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
PE文件详解(二)--节表
lj94093的专栏
01-12 4110
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页的指令或者访问某一页的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5286
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE与某个特定的有关的信息,如的属性、的大小、在文件和内存的起始位置等.节表中的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
PE-节表
z1041259928的博客
03-02 461
windowns.h下的定义 name:8个字 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义 misc:没有对齐前的真实大小,但是这个值可以不准确,可以人为修改 VirtualAddress:内存的偏移地址,加上imagebase就是内存真正的地址 SizeofRawData:在文件对齐后的大小 PointerToRawData 区在文件的偏移 Po...
OD的简单使用以及一个小程序的破解
tell_me_404的博客
07-26 2096
OD的简单使用一、下载二、窗口三、调试打开方式调试我们经常要用到的快捷键有这些:附:破解(绕过)一个CRACKME.EXE1、分析程序2、使用OD打开3、寻找 MessageBoxA()函数在何处被调用找到了 MessageBoxA()函数在何处被调用,如下图所示分析反汇编程序接下来是重点操作(思路)成功!!!!!另一种方法:直接修改程序汇编代码 从这这篇博客开始开一个新坑:reverse 的入门 OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的两款重要工具。虽然两者都兼容动态和静态的调试
常用汇编指令及堆栈图
tell_me_404的博客
07-26 1636
常用汇编指令及堆栈图第一部分、汇编指令一、常用汇编指令1通用数据传送指令.2. 输入输出端口传送指令.3. 目的地址传送指令.4. 标志传送指令.二、EFLAGS寄存器三、JCC第二部分 堆栈图一、一个简单C语言程序的堆栈图二、汇编的函数1、汇编的函数2、函数的入口3、函数的出口三、Windows堆栈1、Windows堆栈的特点:2、什么是堆栈平衡: 第一部分、汇编指令 一、常用汇编指令 1通用数据传送指令. MOV 传送字或字. MOVSX 先符号扩展,再传送. MOVZX
PE准备阶段--------.exe文件的读取
tell_me_404的博客
08-09 996
.exe文件的读取练习题一、winhex的使用练习题二、将记事本的.exe文件读取到内存,并返回读取后在内存的地址.练习题三、将内存的数据存储到一个文件,(.exe格式),然后双击打开,看是否能够使用 练习题一、winhex的使用 打开wps.exe文件 打开RAM运行的.exe文件 其他 略 练习题二、将记事本的.exe文件读取到内存,并返回读取后在内存的地址. 直接上代码吧 #include "stdafx.h" #include <malloc.h> int file_
如何利用工具winhex、LordPE和Peview,分析example.exe的节表信息、代码、引入函数、数据信息
05-25
接下来,可以在WinHex查看example.exe文件的节表信息。在左侧的“Navigation Panel”,可以找到“Partitioning / File System”选项卡,展开该选项卡并选择“File Map”视图。然后,在右侧的窗口可以看到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值