滴水逆向第三期-节表

最新推荐文章于 2024-07-09 22:37:42 发布
最新推荐文章于 2024-07-09 22:37:42 发布
阅读量261 收藏
点赞数
分类专栏: 滴水逆向第三期-实践 文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tscg_/article/details/129451661
版权

union联合体

union TestUnion
{
	char x;
	int y;
};

1、联合体共享内存空间
2、联合体的内存空间大小是其成员中内存最大成员的大小
在这里插入图片描述
3、上图中两个联合体的意义不一样,第一个联合体的类型名是TestUnion;而第二个相当于创建了一个匿名的联合体,这个联合体声明了一个变量,变量名为TestUnion

节表结构

#define IMAGE_SIZEOF_SHORT_NAME 8
typedef struct _IMAGE_SECTION_HEADER{
BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //该节的名字
union{
DWORD   PhysicalAddress;
DWORD   VirtualSize;
}Misc; //该节在内存中对齐前的大小,用到了联合体
DWORD   VirtualAddress;                       //该节在ImageBuffer中的偏移
DWORD   SizeOfRawData;                        //该节在文件中对齐后的大小
DWORD   PointerToRawData;                     //该节在在文件中的偏移
DWORD   PointerToRelocations;
DWORD   PointerToLinenumbers;
WORD    NumberOfRelocations;
WORD    NumberOfLinenumbers;
DWORD   Characteristics;                       //该节的属性(比如是否可读,是否可写...)
}IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

1.Name:它占8个字节,一般情况下是以"\0"结尾的ASCII码字符串来标识的名称,内容可以修改。存在一种极端情况——当Name是八个字节,那么数组后面不能继续加”\0”,会导致用char*的时候,会一直往后面找,直到找到0为止

2.Misc:双字,该节在没有对齐前的真实尺寸

3.VirtualAddress :节区在内存中的偏移地址,加上ImageBase才是在内存中的真正地址

4.SizeOfRawData : 节在文件中对齐后的尺寸

5.PointerToRawData :节区在文件中的偏移

6.PointerToRelocations:在obj文件中使用,对exe无意义

7.PointerToLinenumbers:行号表的位置,调试时使用

8.NumberOfRelocations:在obj文件中使用,对exe无意义

9.NumberOfLinenumbers:行号表中行号的位置,调试时使用

10.Characteristics: 节的属性

节表的位置

e_lfanew尾部+4字节(NT头的Signature标记)+20字节(标准PE头)+E0字节(32位可选PE头默认大小,64位默认为F0个字节,可修改)

打印节表

下面附上代码

//#define _CRT_SECURE_NO_WARNINGS
#include <stdio.h>
#include <Windows.h>

#define FILE_PATH "C:\\Users\\Allure_Love\\Desktop\\notepad.exe"

LPVOID ReadPEFile(LPCSTR lpszFile)	//const char[]相当于const char*,LPSTR相当于char*,两者不兼容,所以可以把LPSTR改成LPCSTR
{
	FILE *pFile;
	DWORD fileSize = 0;
	LPVOID pFileBuffer = NULL;

	//打开文件
	errno_t err;
	err = fopen_s(&pFile,lpszFile,"rb");	//"rb"只读
	if (!pFile)
	{
		printf("无法打开.exe文件!");
	}

	//读取文件大小
	fseek(pFile,0,SEEK_END);
	//fseek(FILE * stream, long offset, int fromwhere);	//函数设置文件指针stream的位置,以fromwhere为基址,偏移offset个字节的位置
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	//分配缓冲区
	pFileBuffer = malloc(fileSize);
	if (!pFileBuffer)
	{
		printf("分配文件失败!");
		fclose(pFile);	//关闭文件
		return NULL;
	}

	//将文件数据读取到缓冲区
	size_t n = fread(pFileBuffer, fileSize, 1, pFile);	//size_t无符号整数,sieof()返回的结果类型
	//size_t fread(void *ptr, size_t size, size_t nmemb, FILE *stream) 从给定流stream读取nmemb个size大小的数据到ptr所指向的数组中
	
	if (!n)
	{
		printf("读取数据失败!");
		free(pFileBuffer);
		fclose(pFile);
		return NULL;
	}

	//关闭文件
	fclose(pFile);
	return pFileBuffer;
}

void PrintNTHeaders()
{
	//初始化
	LPVOID pFileBuffer = NULL;
	PIMAGE_DOS_HEADER pDosHeader = NULL;	//DOS头指针
	PIMAGE_NT_HEADERS pNTHeader = NULL;		//NT头指针
	PIMAGE_FILE_HEADER pPEHeader = NULL;	//标准PE头指针
	PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = NULL;	//可选PE头指针ReadPEFile(FILE_PATH)
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;

	pFileBuffer = ReadPEFile(FILE_PATH);
	if (!pFileBuffer)
	{
		printf("文件读取失败!");
		return;
	}

	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志!");
		free(pFileBuffer);	//释放指针内存
		return;
	}

	//打印DOS头
	pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
	printf("***************DOS头****************\n");
	printf("MZ标志:%x\n",pDosHeader->e_magic);
	printf("PE偏移:%x\n", pDosHeader->e_lfanew);

	//判断是否是有效的PE标志
	if (*((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志!");
		free(pFileBuffer);
		return;
	}

	//打印NT头
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
	printf("***************NT头****************\n");
	printf("NT:%x\n", pNTHeader->Signature);

	//打印标准PE头
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	printf("*************标准PE头****************\n");
	printf("PE:%x\n", pPEHeader->Machine);
	printf("节的数量:%x\n", pPEHeader->NumberOfSections);
	printf("可选PE头的大小:%x\n", pPEHeader->SizeOfOptionalHeader);
	//打印可选PE头
	pOptionalHeader = (PIMAGE_OPTIONAL_HEADER32)(((DWORD)pPEHeader)+ IMAGE_SIZEOF_FILE_HEADER);	//const IMAGE_SIZEOF_FILE_HEADER = 20	标准PE头大小
	printf("*************可选PE头****************\n");
	printf("Optional_PE:%x\n", pOptionalHeader->Magic);

	//打印节表
	pSectionHeader = (PIMAGE_SECTION_HEADER)(((DWORD)pOptionalHeader)+ pPEHeader->SizeOfOptionalHeader);
	char Name[IMAGE_SIZEOF_SHORT_NAME + 1];
	//防止Name为8字节时没有存放'\0'的空间
	memset(Name, 0, sizeof(Name));
	printf("***************节表******************\n");
	
	while (pPEHeader->NumberOfSections--)
	{
		memcpy(Name, pSectionHeader->Name, IMAGE_SIZEOF_SHORT_NAME);
		printf("节表名:%x\n", pSectionHeader->Name);
		printf("内存对齐前大小:%x\n", pSectionHeader->Misc);
		printf("内存中偏移:%x\n", pSectionHeader->VirtualAddress);
		printf("文件对齐前大小:%x\n", pSectionHeader->SizeOfRawData);
		printf("文件中偏移:%x\n", pSectionHeader->PointerToRawData);
		printf("节表属性:%x\n", pSectionHeader->Characteristics);
		pSectionHeader ++;
	}
	//释放内存
	free(pFileBuffer);
}

int main()
{
	PrintNTHeaders();
	return 0;
}
a11ure_1ove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水逆向3期作业Filebuffer->Imagebuffer->Newbuffer->存盘功能C++源码
06-23
滴水逆向3期作业——filebuffer->imagebuffer->newbuffer->存盘功能源码,了解对文件的PE头解析等原理等,代码容易理解,注释丰富,是学习PE的好帮手!
滴水逆向第三期课件(全)
06-02
滴水逆向课程课件,完整版! 滴水逆向课程课件,完整版!
滴水逆向3期笔记与作业——01汇编
weixin_43657383的博客
04-24 1291
B站滴水逆向3期视频的笔记以及作业。 函数功能: MOV EAX,DWORD PTR SS:[EBP+8] ADD EAX,DWORD PTR SS:[EBP+C]主要功能 主要功能 5+6-5+0xA=0x10 主要功能 比较5,0C和9的最大值 计算7+6+5+4+3+2+3+2=0x20海哥牛逼。
滴水逆向3期作业——新增一个节
king_ink的博客
06-23 1035
// testt.cpp : Defines the entry point for the console application. // #define _CRT_SECURE_NO_WARNINGS #include "stdafx.h" #include <malloc.h> #include <windows.h> #include <string.h> int Read2file(char* file_path,PVOID* FileBuffer); DWO
滴水逆向第三期-fileBuffer_imageBuffer
tscg_的博客
03-20 456
本文详细介绍了一个PE文件从FileBuffer到ImageBuffer的具体过程
滴水逆向三期实践5:新增节
Rivival_S 的博客
09-29 1088
如图,是新增节的大致思路,标红的位置为我们新增的部分,如果在已存在的节表后存在可以继续插入节表的空间,那么就多加一个节表。有了节表就要有对应的节,于是需要在文件末尾添加新的节存放代码或数据。 上述思路具体为: 1、判断是否有足够的空间,可以添加一个节表. 判断条件: SizeOfHeader - (DOS + dos stub+ PE标记 + 标准PE头 + 可选PE头 + 已存在节表) >= 2个节表的大小 为什么要两个节表的大小,因为除了根据SizeOfHeader判断头大小外..
滴水逆向三期实践2:PE节表解析
Rivival_S 的博客
09-22 1246
书接上回 节表,就是在NT_HEADER之后紧接着的那块区域,有多个相同结构的节表,整个区域就是个结构体数组,具体有多少个这样相同的节表结构在COFF头(FILE_HEADER)的 NumberOfSections字段。 所以要遍历节表,只需 for 循环 NumberOfSections 次即可 节表各字段说明如下,后续有更详细的解析: 1、Name 8个字节 一般情况下是以"\0"结尾的ASCII吗字符串来标识的名称,内容可以自定义. 注意:该名称并不遵守必须以...
滴水逆向三期笔记和作业-c语言总结1
weixin_44449397的博客
01-18 1745
裸函数,调用约定,if语句,if语句逆向
滴水逆向第二集-作业
v_3483608762的博客
10-01 350
壹push esp和pop esp的其他写法。 一,push esp 第一种: mov eax,dword ptr ss:[esp] mov dword ptr ss:[esp-4],eax sub esp,4 第二种: mov dword ptr ss:[esp-4],esp sub esp ,4 第三种: mov dword ptr ss:[esp-4],esp lea esp,dword ptr ss:[esp-4] 二,pop esp 第一种: mov dword ptr ss:[esp+4
滴水逆向三期实践3:FileBuffer-ImageBuffer
Rivival_S 的博客
09-22 1521
书接上回 这张图上回已经有过了,这里加上更详细的说明 设该文件文件对齐FileAlignment为200,内存对齐SectionAlignment为1000,则有如下节: 节1:PointerToRawData 400 VirtualAddress 1000 节2:PointerToRawData 600 VirtualAddress 2000 节3:Poi...
编程达人-滴水逆向全套课件.zip
06-10
滴水逆向课程的数据,PDF及程序
滴水逆向三期课件.zip
07-09
滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码 滴水逆向三期全部课件(海东老师讲),全套包括 EXE 练手文件 配套电子书,源码
滴水逆向三期课件(全)
11-20
滴水逆向初级班三期课件,全套包括 EXE 练手文件 配套电子书 推荐下载绝对不亏!!
c++习题08-计算星期几
码到成龚的博客
07-03 604
问题描述 假设今天是星期日,那么过a^b天之后是星期几? 输入描述 两个正整数a,b,中间用单个空格隔开。0
C++初探究(2)
最新发布
Frenemy__的博客
07-09 876
public:// 成员函数private:// 成员变量int* array;size_t top;而我们如果想要对函数定义,则需要专门使用类域来定义函数.
Android 开发中 C++ 和Java 日志调试
小羊子的技术专栏
07-04 920
Android 开发中 C++ 和Java 日志调试方法小结
C++(week11): C++基础 第五章: 运算符重载、友元
Edward2022的博客
07-09 748
友元、运算符重载、类型转换函数、嵌套类、单例模式的自动释放、std::string的三种底层实现
C++:CV::Point函数简介
Ethan_Rich的博客
07-08 270
cv::Point是 OpenCV 库中用于表示二维坐标系下点的一个基本数据类型。它提供了在图像处理、计算机视觉等领域中定位和操作点的能力。以下是关于cv::Point。
滴水逆向三期课件,滴水逆向三期课件下载,cc++源码
07-05
滴水逆向三期课件是一套关于滴水逆向技术的教学材料,其目的是帮助学习者掌握滴水逆向的基本原理和操作方法。 滴水逆向三期课件下载是指将滴水逆向三期课件从网络上下载到本地设备中,以便离线学习和研究。通过下载...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值