PE节表属性

最新推荐文章于 2022-04-11 19:32:41 发布
最新推荐文章于 2022-04-11 19:32:41 发布
阅读量602 收藏
点赞数
分类专栏: PE文件结构 文章标签: windows 系统安全 安全
本文链接:https://blog.csdn.net/weixin_43754657/article/details/122004508
版权

PE节表

每一个节表里都是一个结构体数组

#define IMAGE_SIZEOF_SHORT_NAME              8
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];						//ASCLL字符串,可以自定义,只截取8个 (当前节的名字)
    union {														//Misc 双字是该节在没有对齐前的真实尺寸,该值可以不准确
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;										//在内存中的偏移地址,加上lmageBase才是在内存中的真正地址
    DWORD   SizeOfRawData;										//节在文件中对齐后的尺寸
    DWORD   PointerToRawData;									//节在文件中的偏移
    DWORD   PointerToRelocations;								//调试相关
    DWORD   PointerToLinenumbers;								//调试相关
    WORD    NumberOfRelocations;								//调试相关
    WORD    NumberOfLinenumbers;								//调试相关
    DWORD   Characteristics;									//节的属性
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

在这里插入图片描述

DWORD Characteristics 值的属性

5	IMAGE_SCN_CODE												//节中包含代码
6	IMAGE_SCN_CNT_INTIALIZED_DATA								//节中包含已初始化数据
7	IMAGE_SCN_CUT_UNINITIALIZED_DATA							//节中包含未初始化数据
8	IMAGE_SCN_LNK_OTHER											//保留供将来使用
25	IMAGE_SCN_MEM_DISCARDABLE									//节中的数据在进程开始以后将被丢弃,如.reloc
26	IMAGE_SCN_MEM_NOT_CACHED									//节中的数据不会经过缓存
27	IMAGE_SCN_MEM_NOT_PAGED										//节中的数据不会被交换到磁盘
28	IMAGE_SCN_MEM_SHARED										//表示节中的数据将被不同的进程所共享
29	IMAGE_SCN_MEM_EXECUTE										//映射到内存后的页面包含可执行的属性
30	IMAGE_SCN_MEM_READ											//映射到内存后的页面包含可读属性
31	IMAGE_SCN_MEM_WRITE											//映射到内存后的页面包含可写属性

节的属性

60000020(转成二进制)

0110 0000 0000 0000 0000 0000 0010 0000

第六位为1:节中包含已初始化数据
第三十位为1:映射到内存后的页面包含可读属性
第三十一位为1:映射到内存后的页面包含可写属性

qwertyuiop_i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
滴水三期:day29.1-
Edimade的博客
05-02 1041
一、(1.引入>2.定位位置与计算个数>3.结构)>二、每个字段的含义>三、作业(1.手动解析>2.编写程序打印中的信息)
PE结构体成员详解
weixin_43698578的博客
02-20 364
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //块名。多数块名以一个“.”开始(例如.text),这个“.”不是必需的 union { DWORD PhysicalAddress; //常用第二个字段 DWORD VirtualSize; //加载到内存实际区块的大小(对齐前),为什么会变呢?可能是有时未初始化的全局变量不放bss段而是通过扩展这里 } Mi
PE文件~
2514804004的博客
04-11 592
结构体代码成员分析 结构体代码 _IMAGE_SECTION_HEADER #define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize
计算机病毒分析与对抗————2、PE文件
Fly_鹏程万里
04-24 1726
1、PE文件定义PE即(Portable Executable,可移植的执行体),它是Win32可执行文件的标准格式。2、PE文件结构总共五部分:DOS头、PE文件头、,调试信息。Dos头:由MZ文件头以及DOS插桩程序构成,其实际上就是一个在DOS环境下显示“Thisprogram can not be run in DOS  mode”或“This program must be ru...
PE文件添加.zip
08-19
- ****:PE文件由若干个(section)组成,每个有自己的属性,如名称、虚拟地址、大小等,存储着代码、数据或资源。 - ****:代码、初始化数据、未初始化数据等都存储在不同的中。 - **导出/导入**...
PE文件区添加并弹出简单的对话框
05-26
在Windows系统中,当我们谈论“添加区”时,实际上是在修改PE文件头的,增加新的条目来指示操作系统加载新的内存区域。 为了自动添加区,你需要熟悉PE文件的内部结构,特别是IMAGE_NT_HEADERS和IMAGE_...
PE文件结构分析(包括DOS头、的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
1. :列出PE文件的所有,每个都有名称、虚拟地址(RVA)、大小、物理地址(FOA)等信息。 2. RVA(Relative Virtual Address):内存中相对基地址的虚拟地址,不受文件实际位置影响。 3. FOA(File Offset...
pe.rar_pe
最新发布
09-23
4. 公共对象文件格式(COFF)列出了文件中的各个,每个都有自己的属性,如名称、大小、地址等。常见的有.text(代码),.data(初始化数据),.bss(未初始化数据),.rsrc(资源)等。 5. 区:...
添加,插入PE文件
10-31
此外,如果新包含导入或导出,还需要更新对应的导入和导出。 6. **写回文件**:最后,将修改后的PE文件结构写回磁盘,形成一个新的可执行文件。 这个过程在逆向工程和恶意软件分析中尤为常见,例如,黑客...
PE文件格式总结 - DOS文件头、PE文件头、详解
热门推荐
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、详解
PE文件详解(二)--
lj94093的专栏
01-12 4112
PE文件到内存的映射 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才会被从磁盘提交到物理内存,这种机制使文件装入的速度和文件大小没有太大的关系。
滴水--------------PE解析
clayoa的博客
12-19 818
上一篇文章我们说到PE头解析,我们这次继续解析 先学习一个新的类型【中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
小甲鱼PE详解之区块描述、对齐值以及RVA详解(PE详解06)
07-29 3708
上一讲:小甲鱼PE详解之区块)和区块()续各种区块的描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE
PE文件格式---
aod83029的博客
10-09 1011
17.1.4 从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是和多个不同的(如图17.1中的③和④所示)。要理解什么是,什么是以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射到内存的。 1. PE文件到内存的映射 在执行一个PE文件的时候,Windows并不在一开始就将整个文件读入内存,而是采用与内存 映射文件类似的机制,...
属性格式分析
hannibal_why的专栏
02-08 589
判断 属性 if (Characteristics & IMAGE_SCN_TYPE_NO_PAD){   } //   错误                                                   if (IMAGE_SCN_TYPE_NO_PAD==(Characteristics & IMAGE_SCN_TYPE_NO_PAD)){   } // 正确
PE文件操作-末尾添加
yeshahayes的博客
08-08 3201
有时候为了某些原因,需要在PE末尾添加,比如加壳,补丁等等,需要对PE文件进行扩展。 在末尾添加是最简单的方式,只需要做如下修改: 修改FILE_HEADER中的数目字段 修改OPTIONAL_HEADER中映像大小字段 在描述符数组中添加新描述符 在文件末尾添加新数据 首先找到文件最后一个并计算出PE范围内的文件结尾,这里的末尾是指PE描述范围内的文件结尾,即最后一个的结束:
PE介绍
penjie0418的专栏
01-10 1051
RVA(每个28位) +0 ==>名(8位) +8 ==>物理地址(4位) +C ==>真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般取后一个(4位) +10 ==>区的RVA地址(4位) +14 ==>在文件中对齐后的尺寸(4位) +18 ==>在文件中的偏移量(4位) +1C ==>在OBJ文件中使用,重定位的偏移(4位) +20 ==>行号的偏
PE
BiCai2的博客
09-18 604
总是在PE文件头开始的偏移00f8h处。 typedef struct _IMAGE_SECTION_HEADER{BYTE Name1[IMAGE_SIZEOF_SHORT_NAME]; // 8个字 名称,如“.text”//IMAGE_SIZEOF_SHORT_NAME=8union {DWORD PhysicalAddress; // 物理地址 区尺寸 未对齐前的实际大小 DWOR
Windows PE文件格式详解
5. (Section)头:定义了文件的各个,每个可能包含代码、数据或资源。 6. 重定位:当文件被加载到不同地址时,用于修正代码和数据的相对地址。 7. 资源:包含位图、图标、字符串等资源。 8. 异常处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值