IMAGE_FIRST_SECTION

最新推荐文章于 2021-10-26 18:15:15 发布
最新推荐文章于 2021-10-26 18:15:15 发布
阅读量3.2k 收藏 4
点赞数 5
分类专栏: c语言 文章标签: 区段表定位
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianxiayijia1998/article/details/50119435
版权
定位区块表(Section Table) 首先我们要知道,区段表是紧接在IMAGE_NT_HEADERS的后面的,如果我们找到了IMAGE_NT_HEADERS的地址,然后再加上IMAGE_NT_HEADERS的大小,是不是就找到了Section Table的地址了呢。知道了这个好开心微软在WinNT.h中提供了一个宏定义——IMAGE_FIRST_SECTION,用来定位区块表的它的具体实现如下
摘要由CSDN通过智能技术生成

定位区块表(Section Table)
首先我们要知道,区段表是紧接在IMAGE_NT_HEADERS的后面的,如果我们找到了IMAGE_NT_HEADERS的地址,然后再加上IMAGE_NT_HEADERS的大小,是不是就找到了Section Table的地址了呢。知道了这个好开心

微软在WinNT.h中提供了一个宏定义——IMAGE_FIRST_SECTION,用来定位区块表的

它的具体实现如下

// IMAGE_FIRST_SECTION doesn't need 32/64 versions since the file header is the same either way.

#define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER)        \
    ((ULONG_PTR)(ntheader) +                                            \
     FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) +                 \
     ((ntheader))->FileHeader.SizeOfOptionalHeader   \
    ))

由这个宏的定义我们可以看出来,其实区段表是3部分的和。
1、IMAGE_NT_HEADERS的起始地址
2、IMAGE_OPT

最低0.47元/天 解锁文章
tianxiayijia1998
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件学习--Section头部
KOOKNUT的博客
03-25 411
IMAGE_NT_HEADERS后紧跟着节,节中节的数量由IMAGE_FILE_HEADER.NumberOfSections来定义,它由许多个节IMAGE_SECTION_HEADER组成: #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE ...
[PE结构分析] 6.IMAGE_SECTION_HEADER
weixin_34190136的博客
08-15 224
IMAGE_SECTION_HEADER 的源代码如下: typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节名称,如“.text” //IMAGE_SIZEOF_SHORT_NAME=8 union { DWORD ...
IMAGE_SECTION_HEADER
dengjiatao9832的博客
09-21 148
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress;//不用关心,始终是NULL DWORD VirtualSize; //指出实际的、被使用的区块的大小...
_IMAGE_SECTION_HEADER
zdwcmy的专栏
06-17 393
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress;//不用关心,始终是NULL DWORD VirtualSize; //指出实际的、被使用的区块的大小(也就是区块的数据没有对齐处理的实际大小)16H个 } Misc; DWORD VirtualAddress...
PE中节IMAGE_SECTION_HEADER详(四)
想喝奶茶的胖大海
12-27 958
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_ SIZEOF_ SHORT_ NAME]; //ASCI字符串 可自定义只截取8个 union { DWORD PhysicalAddress; DWORD VirtualSize; } Mlisc; DWORD VirtualAddress;//在内存中的偏移地址,加上Im...
PE文件格式--IMAGE_SECTION_HEADER
暧昧倾城的专栏
03-26 1732
转自【看雪】 我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。 要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节)。 typedef struct _IMAGE_SECTION_HEADER {      BYTE     Name[IMAGE_SIZEOF_SHORT_NAME];      union {              DWORD    PhysicalAddress;           
first_deployment
02-12
属性用于设置元素的特性,如`<img src="image.jpg" alt="描述">`中的`src`和`alt`。 3. **HTML5新增元素**:HTML5引入了许多新元素,如`<header>`、`<footer>`、`<section>`、`<article>`等,增强了语义化,有助于...
ehlib_vcl_src_9_3.26
04-26
Section 2. Installation Library After installation, make sure the operability of all installed components. To do this, open the IDE, compile and launch a major demonstration project .\Demos\MainDemo...
从BMP文件中装入位图并显示(6KB).rar_BITMAPINFOHEADER_BMP 显示_DIB bmp_LoadImag
09-23
the color table contains two or more rgbquad structures the final section is the actual bits that define the bitmap image. by the way, the bmp file holds a device independent bitmap and sometimes ...
HAPEiD_jb51
09-29
You can also optionally dump a module and scan the dumped image. You can also view all dependant modules of the processes. Multiple File Scan Module ------------------------- You can scan multiple...
first
03-06
此外,`<img src="image.jpg" alt="图像描述">`用于插入图片,`<ul>`和`<li>`组合用于无序列,`<ol>`和`<li>`用于有序列。 了解了基础元素后,我们还需要掌握如何使用CSS(Cascading Style Sheets)来控制页面...
PE文件详解三:节(区块IMAGE_SECTION_HEADER结
weixin_34013044的博客
01-11 326
(区块):PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来 描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为 结束,所以节中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节总是被存放在紧接在PE...
5.PE文件之节(IMAGE_SECTION_HEADER)
kernelhack
10-26 5341
PE头IMAGE_NT_HEADERS后紧跟着节(也可以理解为IMAGE_OPTIONAL_HEADER后为节).它由许多个节项(IMAGE_SECTION_HEADER)组成,每个节项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
可选头 IMAGE_OPTIONAL_HEADER
dengjiatao9832的博客
09-21 228
//IMAGE_OPTIONAL_HEADER结构(可选映像头) typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; //幻数,一般为10BH BYTE MajorLinkerVersion; //链接程序的主版本...
PE文件,节头有感IMAGE_SECTION_HEADER
friendan的专栏
01-13 2023
// PE节头描述如下,占40个字节 typedef struct _IMAGE_SECTION_HEADER {   BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];   union {       DWORD   PhysicalAddress;       DWORD   VirtualSize;   } Misc;   DWORD   Virtu
C语言编程获取PE文件Section_Header
一根火柴博客
02-02 1331
#include #include #include void viewImageSectionHeaderCharacteristics(DWORD); int _tmain(int argc, TCHAR *argv[]) { PIMAGE_DOS_HEADER pImageDosHeader; PIMAGE_NT_HEADERS pImageNTHeaders; PIMAGE
PE文件 节IMAGE_SECTION_HEADER的正确定位方法
qingzai_的专栏
08-08 2698
网络上大部分资料对PE文件的节定位方式都是下面这样的 1 (LPVOID)((BYTE *)a + ((PIMAGE_DOS_HEADER)a)->e_lfanew + SIZE_OF_NT_SIGNATURE + sizeof(IMAGE_FILE_HEADER) + sizeof(IMAGE_OPTIONAL_HEADER): 其意思是这样的: 为了在解释上面的代码之
PE结构详解
weixin_44870554的博客
12-09 729
PE文件结构 PE文件是portable File Format(可移植文件)的简写 PE的解释:PE文件是指某一种格式的文件 比如可执行文件(exe) 动态链接库文件(dll) 驱动文件(sys)等 PE文件大概分为两部分:头与主体 两部分会在内部进行细分 PE格式文件的组成: DOS头部: 为兼容DOS程序设立 NT头部 : 存储PE文件的全部属性 初始化信息等 区段: 对于PE文件...
C/C++ 对代码节的动态加解密
热门推荐
CSDN
10-02 1万+
加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。运行后对.text节进行动态解密,然后一个jmp跳转到程序的OEP位置即可,这也就是壳的基本原理。下一步就是将.text节进行加密了,这里为了简单我使用的是异或加密,如下是加密前的机器码。使用我们编写的工具进行加密,传入两个参数,一个是文件,一个则是加密密钥。加壳的首要目标是要创建一个具有可写属性的新节。
_get_next_member_name怎么实现
最新发布
06-09
`_get_next_member_name` 函数的实现需要用到一些Windows API,具体来说是 `ImageNtHeader`、`ImageDirectoryEntryToData`、`ImageRvaToVa` 等函数。以下是一个简单的实现示例代码: ```c++ #include <Windows.h> #include <DbgHelp.h> const char* _get_next_member_name(const char* className, size_t* offset) { const char* memberName = nullptr; IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)GetModuleHandle(nullptr); IMAGE_NT_HEADERS* pNTHeader = (IMAGE_NT_HEADERS*)((DWORD_PTR)pDosHeader + pDosHeader->e_lfanew); IMAGE_SECTION_HEADER* pSectionHeader = IMAGE_FIRST_SECTION(pNTHeader); for (int i = 0; i < pNTHeader->FileHeader.NumberOfSections; i++) { if (strcmp((char*)pSectionHeader->Name, ".rdata") == 0) { DWORD_PTR rdataBase = (DWORD_PTR)GetModuleHandle(nullptr) + pSectionHeader->VirtualAddress; DWORD_PTR rdataEnd = rdataBase + pSectionHeader->Misc.VirtualSize; PIMAGE_SECTION_HEADER pRdataHeader = pSectionHeader; PIMAGE_SECTION_HEADER pRsrcHeader = pSectionHeader + 1; DWORD_PTR rsrcBase = (DWORD_PTR)GetModuleHandle(nullptr) + pRsrcHeader->VirtualAddress; DWORD_PTR rsrcEnd = rsrcBase + pRsrcHeader->Misc.VirtualSize; IMAGE_RESOURCE_DIRECTORY* pRootDirectory = (IMAGE_RESOURCE_DIRECTORY*)rsrcBase; IMAGE_RESOURCE_DIRECTORY_ENTRY* pRootEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pRootDirectory + 1); int typeOffset = 0x0; IMAGE_RESOURCE_DIRECTORY* pTypeDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pTypeEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pNameDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pNameEntry = nullptr; IMAGE_RESOURCE_DIRECTORY* pLanguageDirectory = nullptr; IMAGE_RESOURCE_DIRECTORY_ENTRY* pLanguageEntry = nullptr; for (int rootIndex = 0; rootIndex < pRootDirectory->NumberOfIdEntries + pRootDirectory->NumberOfNamedEntries; rootIndex++) { if (pRootEntry[rootIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pRootEntry[rootIndex].NameOffset); if (wcsncmp(pName->NameString, L"TYPEINFO", pName->Length) == 0) { typeOffset = pRootEntry[rootIndex].OffsetToDirectory; break; } } } if (typeOffset > 0) { pTypeDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + typeOffset); pTypeEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pTypeDirectory + 1); for (int typeIndex = 0; typeIndex < pTypeDirectory->NumberOfIdEntries + pTypeDirectory->NumberOfNamedEntries; typeIndex++) { if (!pTypeEntry[typeIndex].NameIsString) { if (pTypeEntry[typeIndex].Id == 0x7) { pNameDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pTypeEntry[typeIndex].OffsetToDirectory); pNameEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pNameDirectory + 1); for (int nameIndex = 0; nameIndex < pNameDirectory->NumberOfIdEntries + pNameDirectory->NumberOfNamedEntries; nameIndex++) { if (pNameEntry[nameIndex].NameIsString) { IMAGE_RESOURCE_DIR_STRING_U* pName = (IMAGE_RESOURCE_DIR_STRING_U*)(rsrcBase + pNameEntry[nameIndex].NameOffset); if (strcmp((char*)pName->NameString, className) == 0) { pLanguageDirectory = (IMAGE_RESOURCE_DIRECTORY*)(rsrcBase + pNameEntry[nameIndex].OffsetToDirectory); pLanguageEntry = (IMAGE_RESOURCE_DIRECTORY_ENTRY*)(pLanguageDirectory + 1); for (int languageIndex = 0; languageIndex < pLanguageDirectory->NumberOfIdEntries + pLanguageDirectory->NumberOfNamedEntries; languageIndex++) { if (!pLanguageEntry[languageIndex].NameIsString) { DWORD_PTR symbolAddress = (DWORD_PTR)ImageDirectoryEntryToData(GetModuleHandle(nullptr), TRUE, IMAGE_DIRECTORY_ENTRY_EXPORT); PIMAGE_EXPORT_DIRECTORY pExportDirectory = (PIMAGE_EXPORT_DIRECTORY)symbolAddress; DWORD_PTR* pFuncAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfFunctions); DWORD_PTR* pNameAddress = (DWORD_PTR*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNames); WORD* pOrdinalAddress = (WORD*)(symbolAddress + (DWORD_PTR)pExportDirectory->AddressOfNameOrdinals); DWORD_PTR classVTableAddress = 0; for (int i = 0; i < pExportDirectory->NumberOfFunctions; i++) { if (strcmp((char*)(symbolAddress + pNameAddress[i]), className) == 0) { classVTableAddress = (DWORD_PTR)pFuncAddress[pOrdinalAddress[i]]; break; } } if (classVTableAddress > 0) { DWORD_PTR* pVTable = (DWORD_PTR*)*(DWORD_PTR*)classVTableAddress; int memberIndex = 0; while (true) { DWORD_PTR* pMemberAddress = (DWORD_PTR*)(pVTable[memberIndex]); if (*pMemberAddress == 0) { break; } if (*pMemberAddress >= rdataBase && *pMemberAddress < rdataEnd) { DWORD_PTR memberOffset = *pMemberAddress - rdataBase; if (memberOffset == *offset) { memberName = (const char*)(pMemberAddress + 1); *offset += sizeof(DWORD_PTR); break; } } memberIndex++; } } } if (memberName != nullptr) { break; } pLanguageEntry++; } } } if (memberName != nullptr) { break; } pNameEntry++; } } } if (memberName != nullptr) { break; } pTypeEntry++; } } break; } pSectionHeader++; } return memberName; } ``` 需要注意的是,由于这个函数的实现依赖于一些Windows API,因此在使用前需要先添加相关的头文件和库文件,并且在调用该函数时需要保证程序已经加载了相关的模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值