PE文件解析-异常处理表与数字签名

最新推荐文章于 2021-12-18 16:43:52 发布
最新推荐文章于 2021-12-18 16:43:52 发布
阅读量2.6k 收藏 9
点赞数 2
分类专栏: 文件解析 文章标签: PE文件解析 异常处理表 数字签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhyulo/article/details/85920807
版权
本文详细介绍了PE文件中的异常处理表,包括其位置、结构和异常处理函数的详细信息。同时,探讨了数字签名的定位、作用,以及Authenticode的签名结构和验证软件完整性的功能。内容涵盖了Windows操作系统的不同版本。
摘要由CSDN通过智能技术生成

一、异常处理表

1.位置及概述

    PE文件头可选映像头中数据目录表的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理表,它保存在PE文件中,通常在".pdata"区段。

    x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。

2.异常处理表结构

    数据目录表的第四个元素指向异常表,RVA指向的是一个IMAGE_IA64_RUNTIME_FUNCTION_ENTRY的结构体,其结构如下:

typedef struct _IMAGE_IA64_RUNTIME_FUNCTION_ENTRY {
    DWORD BeginAddress;      //与SEH相关代码的起始偏移地址
    DWORD EndAddress;        //与SEH相关代码的末尾偏移地址
    DWORD UnwindInfoAddress; //指向描述上面两个字段之间代码异常信息的UNWIND_INFO
} IMAGE_IA64_RUNTIME_FUNCTION_ENTRY, *PIMAGE_IA64_RUNTIME_FUNCTION_ENTRY;

    BeginAddress与EndAddress之间,是异常处理函数的内容。UnwindInfoAddress指向的位置是用来描述BeginAddress与EndAddress之间的代码异常属性信息的UNWIND_INFO。UNWIND_INFO也叫作异常展开信息,此结构用来描述堆栈指针的记录属性与寄存器中保存的地址属性,它的结构体如下:

struct _UNWIND_INFO {
   U
最低0.47元/天 解锁文章
zhyulo
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
PE文件格式学习(六):异常(Exception)
tutucoo
11-07 2408
1.概述 x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构,它保存在PE文件中,通常在.pdata区段。因此本文的例子采用x64编译过的程序。 异常在资源的后面。 2.异常解析 数据目录的第四个元素指向异常,RVA指向的是一个IMAGE_IA64_RUNTIME_FUNCTION_ENTRY的结构体,本例的RVA是0xA000(也就是.pdata段...
Windows平台 PE文件数字签名格式
weixin_34272308的博客
07-10 167
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 概览Overview 在PE文件中的可信代码数字签名是PKCS #7 签名块结构。该签名可以...
PE文件格式详解(上)
04-01 1298
PE文件格式详解(上)作者:MSDN译者:李马 (http://home.nuc.edu.cn/~titilima) 摘要    Windows NT 3.1引入了一种名为PE文件格式的新可执行文件格式。PE文件格式的规范包含在了MSDN的CD中(Specs and Strategy, Specifications, Windows NT File Format Specifications)
PE文件数字签名格式
her0z的专栏
02-13 4155
摘要Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。这份文档不讨论如何签发/处理X.509证书,如何使用Windows SDK工具来签署二进制
PE文件数字签名格式 (收集)
weixin_30411819的博客
04-21 328
Windows平台PE文件数字签名格式 版本 1.0 — 2008年3月31日 摘要 Authenticode®是一种数字签名格式,它是用来验证二进制软件的来源和完整性。Authenticode是基于公开密匙加密标准(PKCS) #7 来签名数据,并使用X.509证书来绑定经过数字签发的二进制程序与其软件发布者的身份的联系。这份文档包含Authenticode签名的结构和技术细节。 这份文档不...
易语言-易语言验证PE文件签名
06-25
在实际编写过程中,需要对PE文件格式有深入理解,包括节区、导出、导入以及证书目录等。 6. 错误处理:在验证过程中,可能会遇到各种错误,如证书无效、证书链不完整等,需要编写合适的错误处理代码,以便在...
PE-FIle-format.rar_PE file format
最新发布
09-20
- **数字签名**:用于验证PE文件的来源和完整性,防止恶意篡改。 - **DEP(Data Execution Prevention)**:防止数据被当作指令执行,提升安全性。 7. **PE文件的加载与执行** - **Loader**:操作系统中的加载器...
易语言验证PE文件签名源码
06-03
2. **检查数字签名**:PE文件的签名通常位于PE头的`IMAGE_DIRECTORY_ENTRY_SECURITY`目录项中。通过这个入口,可以找到签名数据的位置。签名包含了证书信息和对文件内容的哈希值,用于验证文件的完整性和来源。 3. ...
易语言源码易语言取PE文件区段源码.rar
02-18
2. 结构体与数据类型:PE文件的头部信息和区段信息都是按照特定的结构体定义的,易语言需要创建相应的结构体并解析其内容。 3. 数字转换:PE文件的二进制数据需要转换成可读的十六进制或十进制形式,易语言提供了...
PE文件格式详细讲解
10-19
- 描述了PE文件如何处理运行时的异常情况,如硬件故障、软件错误等。 8. **安全特性** - 包括数字签名,用于验证文件的完整性和来源,防止恶意篡改。 9. **线程局部存储(TLS)** - 允许在每个线程有自己的数据...
异常处理
wuhui_gdnt的专栏
07-08 3738
原文地址:https://mentorembedded.github.io/cxx-abi/exceptions.pdf 本节描述了编译器生成的数据,使运行时能够找到关于在异常发生时所采取行动的合适信息。 概览 从当前PC查找异常处理信息的过程总结在下图: 所有的都在“代码”空间。由typeinfo指针指向的类型由一个GP相对偏移确定。 系统回滚 这些都描述在《
异常处理和异常
实践求真知
08-14 217
一捕获异常 1代码 public void tryCatch() { try { File file = new File("d:/hello.txt"); FileInputStream fis = new FileInputStream(file); String info = "hello!"; } catch (FileNotFoundException e) { e.printStackTrace(); ..
PE文件解析_Dos头
qq_50052051的博客
12-18 332
Dos部分主要为现代PE文件可以对早期的DOS文件进行良好兼容存在,其对应结构体为IMAGE_DOS_HEADER,所在头文件为winnt.h typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic; // Magic number WORD e_cblp; // Bytes on last page of ...
对Windows 平台下PE文件数字签名的一些研究
snowfoxmonitor的专栏
04-05 6940
Windows平台上PE文件数字签名有两个作用:确保文件来自指定的发布者和文件被签名后没有被修改过。因此有些软件用数字签名来验证文件是否来自家厂商以及文件的完整性,安全软件也经常通过验证文件是否有数字签名来防误报。但是因为windows对于常用的数字签名验证API- WinVerifyTrust实现的问题,以及一些并不恰当的示例代码,很多地方在验证数字签名时存在卡慢或者安全性不高的问题。本文将介...
【逆向】PE结构分析和关于PE的一些问题及解决
lanlanla的成长历程
01-08 1324
目录 前言: 开始需要大概了解一些名词: 程序的装入(地址的变换) 分页机制: 大概带着这些知识后,再来看PE的结构: 一些结构的定义 关于地址计算的一些问题 经典例题: 例题分析 ☆如何在PE中查找并计算这些地址? 计算:解决地址转换问题(使用PEView) ①计算每个节区在内存中的位置、大小: ②每个节区在文件中的偏移 ③每个节区在内存中的大小?每个节区在文件中的...
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 2974
下面有几个网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION异常处理】 CPU特定的并且基于异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
PE结构-3
Starr
07-05 395
PE结构-3 文章目录PE结构-39. 异常10. 安全11. 调试 9. 异常 PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。 平台不同,异常结构也不同。x64的异常结构如下: typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY { DWORD BeginAddress;...
PE文件解析-全局指针表与线程局部存储(TLS)
zhyulo的博客
01-06 1023
一、全局指针     PE文件头可选映像头中数据目录的第9成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR]指向全局指针。     在x86与x64系列平台没有使用全局指针,目前只应用于MIPS等平台上,多用于参数传递。 二、线程局部存储(TLS) 1.位置与简介     PE文件头可选映像头中...
秦万强PE文件系统详解与学习笔记概览
5. **节(Blocks)与加载过程**:详细解释了节的结构,如区块的偏移地址、名称、大小、特性等,以及区块在PE文件加载时如何被处理。 6. **导入和导出**:PE文件中的这两部分描述了程序如何调用其他模块(导入)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值