.idata数据的解析

最新推荐文章于 2022-09-05 17:00:06 发布
最新推荐文章于 2022-09-05 17:00:06 发布
阅读量2.8k 收藏
点赞数
分类专栏: 业余开发 系统 文章标签: .idata PE Section
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybb_y1b1b1/article/details/10949683
版权

每类Section代表不同的数据,不同的数据存储组织方式一定是有非常大区别的。代码段与资源段一定区别巨大,这意味着我需要一个一个的学习每个段的解析。

 

idata段解析

这个段主要存储的是导入符号信息。昨天花了很多时间研究符号的获取,但就在刚刚开始就卡壳了,很多人都是说读取了IMAGE_IMPORT_DESCRIPTOR,就可以获取到链接库名称,但这个字段是一个地址,我根本不能理解这个地址如何对应到文件中的偏移,后来是今天才突然恍然大悟,原来那个是相对虚拟地址,而段头结构中还有一个相对虚拟地址,用来指示段数据被加载到内存后的相对虚拟地址,用段偏移+链接库名称相对虚拟地址-段头结构中的相对虚拟地址就是链接库名称在文件中的偏移。这个计算与基地址一丁点关系都没有,不明白很多文章在将这里的时候来时说基地址问题,有啥联系,白让我浪费脑细胞。

        关于地址转换问题想明白后,其余都是浮云,只要按照其它教程中提到的方法遍历就行,实在不行,看我写的代码就行了。

        另外这次代码做了改动,直接将所有知道的细节都输出到xml文件中,用于以后分析,是否将文件中的每个字节都真的明白了。是否还有很多数据游离于我们分析的结构外?

 

代码:

#include<iostream>

#include<Windows.h>

 

#include<sstream>

#include<string>

#include<vector>

#include <map>

 

 

FILE* fpOutput =NULL;

 

// 对文件数据信息分类

//主要目的是更加准确的确定每个数据的位置

struct Section

{

intm_iStart;

intm_iEnd;

std::stringm_strSectionName;

 

std::map<std::string,std::string>m_mapProperties;

 

std::vector<Section*>vecChild;

};

std::vector<Section*>g_vecSection;

 

void AddSection(intiOffset,int iLen,const char* pName)

{

Section*s = new Section;

s->m_iStart= iOffset;

s->m_iEnd   = iOffset + iLen;

s->m_strSectionName= pName;

 

g_vecSection.push_back(s);

}

void AddSection(intiOffset,int iLen,const char* pName,conststd::map<std::string,std::string>& mapProperties)

{

Section*s = new Section;

s->m_iStart= iOffset;

s->m_iEnd   = iOffset + iLen;

s->m_strSectionName= pName;

s->m_mapProperties  = mapProperties;

 

g_vecSection.push_back(s);

}

 

voidAddChild(std::vector<Section*>& vecChild,Section* pS)

{

for(size_ti=0; i<vecChild.size(); i++)

{

if(pS->m_iStart>=vecChild[i]->m_iStart&&

pS->m_iEnd<= vecChild[i]->m_iEnd)

{

returnAddChild(vecChild[i]->vecChild,pS);

}

}

 

vecChild.push_back(pS);

}

voidOutputInfo(std::vector<Section*>& vecS)

{

for(size_ti=0; i<vecS.size(); i++)

{

std::stringstreamstream;

stream<<"<SectionName=\""<<vecS[i]->m_strSectionName<<"\"Start=\""<<vecS[i]->m_iStart<<"\"End=\""<<vecS[i]->m_iEnd<<"\" ";

 

std::map<std::string,std::string>::iteratorit = vecS[i]->m_mapProperties.begin();

for(;it != vecS[i]->m_mapProperties.end(); it++)

{

stream<<it->first<<"=\""<<it->second<<"\"";

}

stream<<">"<<std::endl;

 

fprintf(fpOutput,"%s",stream.str().c_str());

OutputInfo(vecS[i]->vecChild);

 

std::stringstreamstream1;

stream1<<"</Section>"<<std::endl;

fprintf(fpOutput,"%s",stream1.str().c_str());

}

}

void OutputSection()

{

std::map<int,std::map<int,Section*>>mapS;

 

for(size_ti=0; i<g_vecSection.size(); i++)

mapS[g_vecSection[i]->m_iStart][g_vecSection[i]->m_iEnd]= g_vecSection[i];

 

Section*root = new Section;

root->m_iStart= -1;

root->m_iEnd   = 200000000;

 

std::map<int,std::map<int,Section*>>::iteratorit = mapS.begin();

最低0.47元/天 解锁文章
ybb_y1b1b1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PNG文件格式详解
bisword的专栏
08-06 16万+
 PNG文件结构分析(上:了解PNG文件存储格式) 前言我们都知道,在进行J2ME的手机应用程序开发的时候,在图片的使用上,我们可以使用PNG格式的图片(甚至于在有的手机上,我们只可以使用PNG格式的图片),尽管使用图片可以为我们的应用程序增加不少亮点,然而,只支持PNG格式的图片却又限制了我们进一步发挥的可能性(其实,应该说是由于手机平台上的处理能力有限)。 在MIDP2中,或者
TCGA甲基化数据(.idat)champ.load文件导入Sample Sheet构建
weixin_46803812的博客
04-21 2246
TCGA甲基化数据挖掘,用.idat文件导入数据的过程。
内存分堆栈.BBS段,数据段,文本段
weixin_33922670的博客
08-05 210
预定义段 一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用...
IDA .edata .rdata .idata .text segments
weixin_34233679的博客
09-07 412
.rdata is for const data. It is the read only version of the .data segment. .idata holds the import directory (.edata for exports). It is used by EXE's and DLL's to designate the imported and export...
PNG-的IDAT解析
CJJ的专栏
05-03 9720
     前段时间在做PNG的解析问题,对于PNG格式基于字节的读写有了一定了解,此文记录如何解析PNG图片的数据字段,也就是真实像素的二进制解析,PNG的data数据基本数据块的组成为 :Filter +  压缩数据。(这里除去校验头尾),二进制读取自己写即可,文件头的解析等,本文也不记录,可以参看https://www.w3.org/TR/PNG/#9Filter或者参考这里中文解释https...
单片机原理和应用试题库-答案解析.docx
11-12
C51支持的数据类型包括char、int、long、float、bit、sbit、sfr和sfr16,存储类型则包括code、data、bdata、idata、xdata和pdata。 9. C51程序结构分为顺序结构、选择结构和循环结构,其中int型变量占用16位,值域...
互联网金融基础第8章习题---在线练习(答案与解析).doc
04-14
"互联网金融基础第8章习题---在线练习(答案与解析)" 本资源是一个在线练习的习题集,涵盖了互联网金融基础的第8章内容。习题涵盖了大数据、人工智能、云计算、自然语言处理、精准营销、客户画像、金融保险等领域的...
51单片机存储器组织.ppt
06-19
《51单片机存储器组织》的文档深入解析了51单片机的存储架构,包括其数据存储器和程序存储器的不同类型及其特点。51单片机的存储器主要由RAM(随机访问存储器)和ROM(只读存储器)组成,其中ROM又细分为了Flash ...
蓝桥杯单片机9~13届省赛客观题带解析
最新发布
05-12
4. C51关键字:xdata是外部数据存储器,idata是间接寻址的内部数据存储器,bdata是可位寻址的内部数据存储器,code是程序存储器。 5. 数字电路计数器设计:设计一位8421码计数器至少需要4个触发器。 6. 数码管显示...
单片机C语言期末考试题.doc
10-09
4. **间接寻址片数据存储区**:256字节的片数据存储区使用`idata`存储类型,选项C正确。 5. **单片机上电复位信号**:MCS-51单片机上电复位通常需要高电平,选项D正确。 6. **置高P1口低4位**:使用`P1|=0x0f`可以...
静态分析:IDA逆向代码段说明 text、idata、rdatadata
weixin_30902251的博客
10-17 876
通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的段text、idata、rdatadata, 四个段为PE文件的结构中对应的段。 一、text段: 该段位程序代码段,在该段一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute ...
关于MPLAB C18编译提示“Error - section '.udata_main.o' can not fit the section. Section '.udata_main.o' len
xiebingsuccess的博客
06-19 1377
关于MPLAB C18编译提示“Error - section '.udata_main.o' can not fit the section. Section '.udata_main.o' length=0x00000606”这类错误的解决方法 这两天用MPLAB IDE v8.84 + MPLAB C18 + PIC18F2620编译程序,程序中有一个比较大的数组,长度超过了25...
新冠疫情数据采集
涛涛不淘
09-05 2814
本项目基于真实疫情数据,进行数据分析,在疫情爆发后各大新闻主页每天都会发布关于疫情的动态,例如今日新增病例、累计病例等等;这些数据不仅包括国内各省,还包括世界各国的数据;本项目的数据源是某新闻网站的疫情数据页面,其链接为coviddata.idatascience.cn。
读取DNA甲基化IDAT文件
热门推荐
Joshua_HIT的博客
06-02 1万+
今天我想要给ChAMP写一个import程序,因为目前大部分DNA Methylation领域的研究软件都是给予minfi程序提供的读取IDAT文件的程序,但是最近minfi似乎崩溃了,整个研究领域都快挂了……所以最好还是有自己的一条“供应链”Manifest文件过滤。
芯片数据分析笔记【05】 | 处理芯片数据的R包
BioInfoNotes
09-04 4859
芯片数据分析笔记【01】 | 基因芯片的基本原理芯片数据分析笔记【02】 | 芯片数据库芯片数据分析笔记【03】 | GEO数据库使用教程及在线数据分析工具芯片数据分析笔记【04】 | A...
idata 数据访问组件库 (2021版)
sczyq的专栏
03-04 1555
idata数据访问组件库下载:idata数据访问组件库 for RAD Studio RX10.2 使用 bin\dclidata250.bpl 安装组件idata 组件是基于 Indy10 开发的, 由服务端作为中间层服务器,建立客户端与后台数据库的通信。idata是高效、安全、稳定的数据访问组件,你可以构建自己的登录认证系统,同时数据传输(SQL指令、参数、数据集)是经过压缩与动态...
关于单片机中idatadata类型数据
tony_0620的专栏
06-09 1501
发现如果是如果一个存储数据的数组,在使用idatadata类型分别存储后的不同之处在于,data类型的存储是会保存的,而idata类型的存储是不会实时保存的。
PE文件格式详解(下)
08-04 982
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
导入表
zzx的博客
12-14 315
标题:[笨笨之菜鸟应该明白之一]IAT表和导入表之间的关联 作者:笨笨学破解 洋名:EasyStudy 日期:NOP掉 工具:什么都有!:) 注意:截图就能省就省了吧!太累人撒!就生硬的文字吧! 一、前言             大家好!我又来了,一直想写个XXX之二的。但是,现在觉得写不大好!明年吧!呵呵~~   最近,想发点东西给大家,但是苦于没什么好发的,因为本人
eCriticalSection(LPCRITICAL_SECTION lpCriticalSection) .idata:00408134 extrn DeleteCriticalSection:dword .idata:00408134 ; CODE XREF: sub_402DA0+8C↑p .idata:00408134 ; DATA XREF: sub_402DA0+8C↑r的含义
05-11
这段代码是在声明一个外部函数 `DeleteCriticalSection`,它的作用是删除一个临界区对象,释放被该对象锁定的资源。 而 `eCriticalSection` 是一个函数,它的参数是一个指向临界区对象的指针,它的作用是释放该临界...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值