PE 学习之路 —— 区块表

最新推荐文章于 2021-05-27 10:36:40 发布
最新推荐文章于 2021-05-27 10:36:40 发布
阅读量136 收藏
点赞数
原文链接:http://www.cnblogs.com/importthis/p/10192523.html
版权

1. 前述

在 NT 头结束后,紧接着就是区块表,区块表包含每个块在映象中的信息,分别指向不同的区块实体。

2. 区块表

区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含区块的信息,比如位置、长度、属性等,区块的数目是由 NT 头中的文件头里的 NumberOfSections 给出。以下为 `IMAGE_SECTION_HEADER` 结构:

在上述图中,有两个字段比较重要,分别为 `VirtualAddress`、`PointerToRawData`,这两个字段用于将相对虚拟地址或虚拟地址转换为文件偏移地址,以下为 RVA 转 FOA 函数:

DWORD RVAtoFOA(DWORD dwRva)
{
    // 获取区段表的数量
    DWORD dwCounts = g_NtHeader->FileHeader.NumberOfSections;

    // 获取区段表数组的首元素
    auto Sections = IMAGE_FIRST_SECTION(g_NtHeader);

    // 遍历所有的区段表找到符合要求的区段
    for (DWORD i = 0; i < dwCounts; ++i)
    {
        // 要求:RVA >= 区段的首地址 并且 RVA < 区段的结尾的地址
        if (dwRva >= Sections[i].VirtualAddress &&
            (Sections[i].VirtualAddress + Sections[i].SizeOfRawData))
        {
            // FOA = VA - ImageBase - (所在区段的 RVA - 所在区段的 FOA)
            // FOA = RVA - 所在区段的 RVA + 所在区段的 FOA
            return dwRva - Sections[i].VirtualAddress + Sections[i].PointerToRawData;
        }
    }

    // 如果找不到就返回 -1
    return -1;
}

计算公式为:`FOA = VA - ImageBase - (所在区段的 RVA - 所在区段的 FOA)` 或 `FOA = RVA - 所在区段的 RVA + 所在区段的 FOA`。在上述代码中,有一个为 `IMAGE_FIRST_SECTION`,我们来看下它的定义,如下:

其实 `IMAGE_FIRST_SECTION` 为一个宏,它主要由三部分相加组成,作用是获取到第一个区段的首地址,参数为 NT 头。你可以把这个首地址理解成数组名,数组的首地址。在获取到了地址后,下面的 for 循环遍历所有的区段表找到符合要求的区段。这三部分内容具体如下:

  • IMAGE_NT_HEADERS 的起始地址
  • IMAGE_OPTIONAL_HEADER32 (PE 扩展头)在 IMAGE_NT_HEADERS 中的偏移
  • IMAGE_OPTIONAL_HEADER32 的大小

 其中后两个加起来的大小恰好就是 IMAGE_NT_HEADERS 的大小,再跟第一个相加就得到区段表的地址了。看到这你可以会问,为什么不直接加上 `IMAGE_NT_HEADERS` 的大小呢?因为 `IMAGE_OPTIONAL_HEADER32` 大小不固定,32 位下该值为 0x00E0H,64 位下该值为 0x00F0H,并且用户还可以自定义其大小。

 3. 额外说明

扩展头大小是由文件头中 `SizeOfOptionalHeader` 字段给出,`FIELD_OFFSET` 这个是给出 `OptionalHeader` 在 `IMAGE_NT_HEADERS` 结构中的偏移,如下:

(本小节完)

转载于:https://www.cnblogs.com/importthis/p/10192523.html

weixin_30512089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于GWS平台的深度学习方法应用研究——以大庆油田某区块为例.pdf
08-18
本文主要探讨了在石油勘探开发领域中,如何利用基于GWS(Geological Workstation System)平台的深度学习方法提高工作效率和智能化水平,以大庆油田某区块为例。深度学习作为一种人工智能技术,近年来在数据预测、...
IMAGE_FIRST_SECTION
星空下的约定
11-30 3229
定位区块(Section Table) 首先我们要知道,区段是紧接在IMAGE_NT_HEADERS的后面的,如果我们找到了IMAGE_NT_HEADERS的地址,然后再加上IMAGE_NT_HEADERS的大小,是不是就找到了Section Table的地址了呢。知道了这个好开心微软在WinNT.h中提供了一个宏定义——IMAGE_FIRST_SECTION,用来定位区块的它的具体实现如下
PE解析器的编写(三)——区块的解析
Masimaro的专栏
05-06 736
PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。 具有相同属性的数据被安排到同一个区块中。 区块结构为IMAGE_SECTION_HEADER,在PE文件中存在一个该结构的数组,用来保存各个区块的信息,这个数组的大小在PE头的结构 IMAGE_NT_H
PE格式详细讲解5 - 系统篇05|解密系列
weixin_33733810的博客
05-08 168
PE格式详细讲解5-系统篇05 让编程改变世界 Change the world by program 这一讲我们结合实例来谈谈区块的定义以及各个属性的含义。 首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块,这样做的好处是可以使你很快的对PE结构牢记于心。 学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。 这里我们经过千辛万苦终于找到了我们的...
小甲鱼PE详解之区块(节)和区块(节)(PE详解04)
07-29 3669
上一讲:小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块,也成节)。(视频教程:http://f
PE文件:节区块
pjz969的专栏
02-26 5417
区块): PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。全部有效结构的最后以一个空的IMAGE_SECTION_HEADER结构作为结束,所以节中总的IMAGE_SECTION_HEADER结构数量等于节的数量加一。节总是被存放在紧接在PE文件
PE学习资料2.zip
02-06
PE学习笔记-增加区块
基于特征提取和机器学习的文档区块图像分类算法.pdf
09-24
基于特征提取和机器学习的文档区块图像分类算法 基于特征提取和机器学习的文档区块图像分类算法是文档图像处理领域中的一个重要课题。文档区块图像分类对于文档版面图像的理解和分析至关重要。传统机器学习分类模型...
基于LM优化神经网络的固井质量预测方法——以顺北油田X区块为例.pdf
09-25
本文重点介绍了基于LM优化神经网络的固井质量预测方法,并以顺北油田X区块的实际案例进行阐述。 神经网络作为一种强大的机器学习工具,能够处理复杂的非线性关系,对于固井质量这种多因素影响的问题特别适用。LM...
影响煤层气井压后产量的因素分析——以韩城区块为例
06-05
通过对韩城区块2009—2010年大量施工数据的统计、处理和分析归纳,探讨了影响煤层气井压后产量的压裂施工因素。结果显示:停泵压力、入井液量和入井加砂量等参数与A#、B#、C#各煤层压裂效果呈正比关系;煤层的压降倾角...
PE文件详解之区块
知其所以然
09-05 998
趁热打铁,今天开始对块的学习。      块最重要的结构体是:_IMAGE_SECTION_HEADER 。        PE文件中所有节的属性都被定义在节中,节由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。节总是被存放在紧接在PE文件头的地方;节中 IMAGE_SECTION_HEA
小甲鱼PE详解之区块(节)和区块(节)续(PE详解05)
乘风的专栏
07-24 1970
这一讲我们结合实例来谈谈区块的定义以及各个属性的含义。 首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块,这样做的好处是可以使你很快的对PE结构牢记于心。学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。 (具体过程演示大伙可参考小甲鱼的视频教程:《解密系列》系统篇.第五讲) 这里我们经过千辛万苦终于找到了我们的区块了(当然将来我会教大家写一个自己的工具,让工具去
PE格式详细讲解6(下)- 系统篇06|解密系列
weixin_33826268的博客
05-18 108
PE格式详细讲解6(下)-系统篇06 让编程改变世界 Change the world by program 当然我们在Visual C++ 中也可以自己命名我们的区块,用#pragma 来声明,告诉编译器插入数据到一个区块内,格式如下: #pragma data_msg( "FC_data" ) 大家还记得吧,#为宏处理符号,啥是宏?简单的说就是编译器的时候由编译器直接...
逆向-PE文件添加新区块
写代码的小阿帆的博客
05-27 668
该部分是加壳技术的基础,创建新区段后,将壳代码装入该区段,并在程序运行时先行执行,如果新区段的创建注入完成了,可以说加壳也成功了一半。 思路分析 经过前面的学习我们会发现,所谓PE文件也只是由一些基础的数据结构构成的,只是他们的变量名太长,整体结构稍许复杂让我们觉得比较恼火,其本质并不难。所以对PE文件的修改,我们只需要遵循其本质规律与特征即可。 在添加区块之前,我们要修改PE文件中的一些相关“配置”,区块的有关信息分别存储在PE文件头的FILE_HEADER的区块数量、区块中的区块数据,OPTINONA
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2351
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
区块结构(二)
s37
06-26 8903
1.区块:        区块是一种被包含在公开账簿(区块链)里的聚合了交易信息的容器数据结构。它由一个包含元数据的区块头和紧跟其后的构成区块主体的一长串交易组成。区块头是80字节,而平均每个交易至少是250字节,而且平均每个区块至少包含超过500个交易。区块结构2.区块头        区块头由三组区块元数据组成。首先是一组引用父区块哈希值的数据,这组元数据用于将该区块区块链中前一区块相连接。...
PE结构
晋文子上的博客
05-28 495
什么是PE文件百度百科 1.常见的PE文件:exe、dll、ocx 、sys…… 2.OS和可执行文件的关系: OS依靠PE结构知道代码和数据是如何分布的。可执行文件的格式是操作系统本身执行机制的反映。 3.Exe和Dll都是使用完全相同的PE格式,唯一的区别就是用一个字段标识出这个文件是Exe还是Dll 4.32位和64位PE格式不区别:64位Windows只是针对
美国地图json文件,可以使用arcgis转为spacefile
最新发布
06-24
美国地图json文件,可以使用arcgis转为spacefile
区块大小对联邦学习训练有什么影响
06-09
一般来说,区块大小越大,模型的训练速度越快,但在联邦学习中,较大的区块大小会导致参与方之间的通信开销增大,从而降低联邦学习的效率。此外,较大的区块大小还容易导致模型过拟合,训练出来的模型泛化能力较差。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值