union all动态表_[PE](5)数据目录表

最新推荐文章于 2022-12-12 17:00:41 发布
最新推荐文章于 2022-12-12 17:00:41 发布
阅读量173 收藏
点赞数
文章标签: union all动态表 为什么android数据跳转到其他页面的时候会空指针异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39656206/article/details/111274635
版权

一、数据目录表的说明

由16个IMAGE_DATA_DIRECTORY结构线性排列而成,用于定义PE中的16种不同类别的数据所在的位置和大小

 具体的16个数据目录表前面已经说过了,这里再介绍一下:

数组编号英文描述中文描述
0Export table address and size导出表地址和大小
1Import table address and size导入表地址和大小
2Resource table address and size资源表地址和大小
3Exception table address and size异常表地址和大小
4Certificate table address and size属性证书数据地址和大小
5Base relocation table address and size基地址重定位表地址和大小
6Debugging infomation starting address and size调试信息地址和大小
7Architecture-specific data预留为0
8Global pointer register relative virtual address指向全局指针寄存器的值
9Thread local storage(TLS) table address and size线程局部存储地址和大小
10Load configuration table address and size加载配置表地址和大小
11Bound import table address and size绑定导入表地址和大小
12Import address table address and size导入函数地址表地址和大小
13Delay import descriptor address and size延迟导入表地址和大小
14CLR Runtime Header address and sizeCLR运行时头部数据地址和大小
15Reserved系统保留

[0]导出数据所在的节通常被命名为.edata,包含了一些可被其他exe程序访问的符号的相关信息,比较重要的就是导出函数和资源等。

[1]导入数据所在的节通常被命名为.idata,包含了PE映像中所有导入的符号。导入信息在dll和exe中几乎都存在

[2]资源数据所在的节通常被命名为.rsrc,该节是一个多层的二叉排序树,该树的节点指向PE中各种类型的资源,如图标、对话框、菜单等。树的深度可达231

[3]异常数据表所在的节通常命名为.pdata,该节是由用于一长串处理的函数表项组成的数组。

[4]属性证书数据的作用类似于PE文件的校验和或者MD5,通过这种属性证书方式可以验证一个PE文件是否被非法修改过。为PE文件添加属性证书表可以使该PE与属性证书相关联。(如果想防止PE文件被修改,比如说修改跳转的字节码,绕过验证等,是否可以考虑这种方法)

[5]基址重定位信息所处的节通常被命名为.reloc,表中包含了映像中所有需要重定位的内容。被划分为很多块,每一块表示一个4KB页面范围内的基址重定位信息。

[6]调试数据所处的节通常被命名为.debug,它指向IMAGE_DEBUG_DIRECTORY结构数组。其中的每个元素都描述了PE中的一些调试信息。

调试目录可能被加载到虚拟内存中,而大部分情况下是被丢弃的

[7]预留,必须为0

[8]Global Ptr数据描述的是被存储在全局指针寄存器中的一个值

[9]线程本地存储所在的节,通常命名为.tls,本地线程存储TLS是windows支持的一种特殊存储类别,其中的数据对象不是栈变量,而是对应于运行相应代码的单个线程。

当创建线程时,PE加载器通过将线程环境块(TEB)的地址放入FS寄存器来传递线程的TLS数组地址,距TEB开头0x2C(这个地址很重要,特别是在内核调试的时候)的位置处有一个指针指向TLS数组。线程本地存储技术是特定于Intel x86平台的

[10]加载配置信息用于包含保留的SEH技术。该技术基于x86的32位系统,它提供了一个安全的结构化异常处理程序列表,操作系统在进行异常处理的时候要用到这些异常处理程序

[11]绑定导入数据的存在主要是为了优化导入信息,提高PE的加载效率。当PE文件加载到内存时,加载器会先检查导入表,然后把需要加载的DLL载入到地址空间中。

还有一个比较重要的工作是根据导入信息的描述使用动态链接库里输入函数的实际地址去替换IAT表的内容,这个步骤会花去一部分时间。

如果能够知道函数的地址,就可以直接把数组中的元素替换成地址,这种方法称为绑定。

[12]IAT是导入地址表的英文缩写。准确来说,它是导入表的一部分,这个双字数组里定义了所有导入表的VA,程序可以直接通过跳转指令跳转到VA处执行。

[13]延迟导入表也和动态链接库调用有关,这种数据的存在是为了给“应用程序知道首次调用某个DLL中的函数或数据时才加载这个DLL(也就是延迟加载)”这种行为提供了一种统一的访问机制

[14]CLR(Common Language Runtime,公共语言运行时)数据所处的节通常被命名为.cormeta,该信息是.NET框架的一个重要责成部分,所有基于.NET框架开发的程序,其初始化部分都是通过访问这部分定义而实现的。

PE加载时将通过该结构加载托管代码机制(.NET中代码执行的方式,代码由虚拟机托管执行)需要的所有动态链接库文件,并完成与CLR有关的一些其他操作

[15]系统预留,未定义

二、数据目录项IMAGE_DATA_DIRECTORY的字段

typedef struct _IMAGE_DATA_DIRECTORY {    DWORD   VirtualAddress;       //数据的起始RVA    DWORD   Size;                 //数据块的大小(长度)      } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

1、IMAGE_DATA_DIRECTORY.VirtualAddress

这个字段记录了特定类型数据的起始RVA,针对不同的数据结构,该字段包含的数据含义并不一样,有的数据甚至还不是RVA(如属性证书数据中该字段的值表示的是FOA)

2、IMAGE_DATA_DIRECTORY.Size

记录了特定类型的数据块的长度

三、节表项IMAGE_SECTION_HEADER的字段

节表中的内容就是PE文件中大部分数据的所在,包括代码,数据,字符串等信息都在这部分

#define IMAGE_SIZEOF_SHORT_NAME              8typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];          //8个字节节命,这个值在上面有定义    union {                                                    DWORD   PhysicalAddress;                           DWORD   VirtualSize;                    //节区的尺寸    } Misc;                                             DWORD   VirtualAddress;                         //节区的RVA地址    DWORD   SizeOfRawData;                          //在文件中对齐后的尺寸    DWORD   PointerToRawData;                       //在文件中的偏移    DWORD   PointerToRelocations;                   //在OBJ文件中用到    DWORD   PointerToLinenumbers;                   //行号表的位置(供调试使用)    WORD    NumberOfRelocations;                    //在OBJ文件中用到    WORD    NumberOfLinenumbers;                    //行号表中行号的数量    DWORD   Characteristics;                        //节的属性 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

1、IMAGE_SECTION_HEADER.Name

该字段一共8个字节,一般情况下是一个以"\0"结尾的ASCII码字符串来标识节的名称,内容可以自行定义

该名称并不遵循Ansi字符串必须以"\0"结尾的规律,如果不以"\0"结尾,系统依然会认为它是一个字符串,但是会以8字节长度进行截断

2、IMAGE_SECTION_HEADER.Misc

该字段是一个union型的数据,这是节的数据在没有对齐前的真实尺寸,不过很多PE文件里该值并不准确

3、IMAGE_SECTION_HEADER.VirtualAddress

节区的RVA地址

4、IMAGE_SECTION_HEADER.SizeOfRawData

节在文件对齐后的尺寸

5、IMAGE_SECTION_HEADER.PointerToRawData

节区起始数据在文件中的偏移

6、IMAGE_SECTION_HEADER.PointerToRelocations

在".obj"文件中使用, 指向重定位表的指针

7、IMAGE_SECTION_HEADER.PointerToLinenumbers

行号表的位置(供调试用)

8、IMAGE_SECTION_HEADER.NumberOfRelocations

重定位表的个数(在OBJ文件中使用)

9、IMAGE_SECTION_HEADER.NumberOfLinenumbers

行号表中行号的数量

10、IMAGE_SECTION_HEADER.Characteristics

节的属性,这是一个四字节的字段,这个字段很重要,不同的数据位代表了不同的属性,这些数据位的组合描述了内存中一个节所拥有的访问属性

01fd153672afe1e589edb3778c7e9574.png

代码节的属性一般为0x60000020,二进制如下所示

d2bbf7f75d2ef8de4a2c3e1a3555e61b.png

也就是数据位的第5位、第29位、第30位的值为1,对照上面的表,就能够知道0x60000020代表的意思就是可执行,可读和节中包含代码。

数据节的属性一般为0xC0000040,二进制如下:

acef1e2c4cceb0a92252755a7c52ffb0.png

第6位、第30位和第31位的值为1,也就是0xC0000040代表可读,可写和节中包含已初始化数据

常量节(.const段)的属性为0x40000040,也就是可读和包含已初始化数据

资源节的属性和常量节的属性一般是相同的

当PE文件被压缩工具压缩以后,节属性就不一定是这些值了。包含代码的节往往被同时设置成具有可执行,可读和可写属性(正常是没有可写属性的),因为解压部分需要将解压后的代码回写到代码段中。

PE文件理论方面就介绍到这里,后面会从实际应用的角度去加深对PE文件结构的理解

weixin_39656206
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数据数据目录
xiangminlu的博客
07-30 2479
数据库 & 文件系统 存储引擎把存储在磁盘上,操作系统用文件系统来管理磁盘,所以像 InnoDB 、 MyISAM 这样的存储引擎都是把存储在文件系统上的。 当需要读取中的数据时,存储引擎从文件系统中读取数据并返回 当需要写入数据时,存储引擎将数据写入文件系统 数据目录 & 安装目录 安装目录 下的bin目录,有很多可执行文件 数据目录,是存储运行时产生的数据 SHOW VARIABLES LIKE ‘datadir’; 查看数据目录的位置 数据目录 1. 数据库在文件系
滴水三期:day34.2-数据目录
Edimade的博客
05-04 937
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE文件结构 - 数据目录学习
bcbobo21cn的专栏
03-20 1669
数据目录,是一个结构体数组。数组里的每个元素对应一个数据。通常有16个。 数组每个元素都是一个结构体,结构体如下 typedef struct _IMAGE_DATA_DIRECTORY { DWORD VirtualAddress;// 数据的起始虚拟地址 DWORD Size;// 数据大小 }IMAGE_DATA_DIRECTORY,*IMAGE_DATA_DIRECTORY 16个数据依次如下: 导出、导入、资源、异常处理、安全、...
PE解析器的编写(四)——数据目录的解析
Masimaro的专栏
05-08 1822
PE结构中最重要的就是区块数据目录,上已经说明了如何解析区块,下面就是数据目录,在数据目录中一般只关心导入,导出和资源这几个部分,但是资源实在是太复杂了,而且在一般的病毒木马中也不存在资源,所以在这个工具中只是简单的解析了一下导出和导出。这主要说明导入,下来说导出。 RVA到fRva的转化 RVA转化为fRva主要是通过某个数据在内存中的相对偏移地址找到其在文
解析数据目录
datouyu0824的博客
03-20 295
解析数据目录 - 导出 void AnalyzeExportsTabel(char* lpImage) { //1 获取到导出的结构 PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)lpImage; PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + lpImage); //1 获取到导出数据目录结构 PIMAGE_DATA_DIRECTORY
sql 查询结果合并union all用法_数据库技巧
12-15
代码如下:–合并重复行 select * from A union select * from B –不合并重复行 select * from A union all select * from B 按某个字段排序 –合并重复行 select * from ( select * from A union select * from B) ...
MySQL Union合并查询数据别名、字段别名用法分析
09-09
MySQL中的`UNION`和`UNION ALL`是两种用于合并多个`SELECT`查询结果集的方法,它们在处理数据合并时具有重要的作用。本篇文章将深入解析这两种操作以及如何使用别名和字段别名来简化和优化SQL查询。 1. **MySQL ...
数据库中unionunion all 的区别
09-11
数据库查询中,`UNION` 和 `UNION ALL` 是两种用于合并多个查询结果集的方法,它们在处理数据合并时具有不同的行为和性能特点。 首先,`UNION` 操作符用于合并两个或更多 `SELECT` 查询的结果,并且自动去除...
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
m0_62783065的博客
12-12 1268
【免杀前置课——PE文件结构】十八、数据目录及其内容详解——数据目录(导出、导入、IAT、TLS)详解;如何在程序在被调试之前反击?TLS反调试(附代码)
union all动态_故障分析 | MySQL 派生优化
weixin_39522408的博客
12-03 185
作者:xuty一、问题 SQL原 SQL 如下:select name,count(name) from bm_id a left JOIN (select TaskName from up_pro_accept_v3_bdc union all select TaskName from up_pro_accept_v3_hsjs union all sel...
union all动态_Power BI可视化技巧:时间维度动态折叠显示
weixin_39581571的博客
12-06 545
​作者/Beau数据分析爱好者,擅长PBI数据分析本文灵感来自于星球球友的一个求助帖,他的诉求是可以在矩阵中对于日期类型的列标题进行动态折叠显示。 何为折叠呢?简单的说就是当切片器选择日期长度超过一周时,则折叠为周维度显示,以此类推,可由日折叠为周,周折叠为月,月折叠为季,季折叠为年,换句话说就是日期由低纬度向高维度的汇总。 还是不明白?那就直接看效果图。特别提醒:为了便于大家理解,核心度量值代码...
PE文件结构-导入详解
wxf明的博客
12-30 1588
PE文件运行时,PE文件将被系统加载进入内存中,此时Windows加载器定位所有的导入的函数或者将定位到的内容填写到可执行文件的某个位置供使用,这个定位是需要借助于可执行文件的导入来实现的。导入中存放了所使用的DLL模块名称及导入函数的名称或者函数序列。 在PE文件中定位到PE头部的可选头的位置,可选头IMAGE_OPTIONAL_HEADER中最后一个成员: IMAGE_DATA_DI...
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 34万+
简述: PE文件结构分为五个部分: DOS文件头 DOS加载模块 PE文件头 区段 区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开头的地
PE文件结构
洋葱汪的博客
08-09 3163
参考《加密与解密》《Windows PE权威指南》 目录 1、PE文件的结构 1、什么是可执行文件? 2、PE文件的特征 3、PE文件的整体结构 4、PE文件到内存的映射 5、DOS部分 6、PE文件头(PE Header) 7、块 8、RVA与FOA的转换 2、输出和输入 1、输出(导出) 2、输入(导入) 3、重定位 4、资源 1、PE文件的结构...
PE文件解析-资源(Resource)
zhyulo的博客
01-06 4982
一、位置     PE文件头可选映像头中数据目录的第3成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE]指向映像调试信息,它保存在PE文件中,通常在".rsrc"区段。 二、资源简介     程序内部和外部的界面等元素的二进制数据统称为资源,程序把它们放在一个特定的中,符合数据和程序分离的设计原则。资源...
PEPE文件结构学习
dr0op's blog
03-31 1277
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块输入输出:基址重定位PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
PE文件结构详解(四)PE导入
zdwcmy的专栏
06-17 405
PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入。 也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入有关系,其中包括:IMAGE_DIRECTORY_ENTRY_IMPORT,IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT,IMAGE_DIRECTORY_ENTRY_IAT和IMAG
mysql union all怎么引用别的数据
最新发布
09-01
要在MySQL中使用UNION ALL引用其他数据,你需要将每个的查询结果作为子查询并使用UNION ALL将它们组合在一起。下面是一个示例: ``` SELECT column1, column2 FROM table1 UNION ALL SELECT column1, column2 FROM table2; ``` 在此示例中,table1和table2是你要引用的两个,column1和column2是你想选择的列。你可以根据自己的需求选择所需的列和,然后使用UNION ALL将它们连接起来。 注意:使用UNION ALL连接多个子查询时,每个子查询的列数和数据类型必须匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值