PE知识复习之PE的节表
一丶节表信息,PE两种状态.以及重要两个成员解析.
确定节表位置: DOS + NT头下面就是节表.
确定节表数量: 节表数量在文件头中存放着.可以准确知道节表有多少个.
节表是一个结构体数组.没一个节表表示了数据在哪,怎么存储.
下方是节的结构体
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //8个字节名字.自己可以起.编译器也可以给定.不重要. union { DWORD PhysicalAddress; DWORD VirtualSize; //节数据没有对齐后的大小.也就是没有对齐.节数据有多大. } Misc; DWORD VirtualAddress; //加载到内存中的第一个字节的地址.也就是虚拟地址.节在内存中哪里开始.内存中的VA + ImageBase 才是真正的节开始位置 DWORD SizeOfRawData; //节在文件中对齐后的属性.跟是可选头中文件对齐的整数倍. sizeofRawData /文件对齐==0 DWORD PointerToRawData; //在文件中的偏移.是文件对齐成员倍数. DWORD PointerToRelocations; //一下都是调试相关. DWORD PointerToLinenumbers; // WORD NumberOfRelocations; WORD NumberOfLinenumbers; DWORD Characteristics; //节的属性 } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
节表重要成员都标红了.我们知道.PE文件有两种状态.一种是内存状态.一种则是文件状态.
而节就是分别保存了内存中节展开的位置偏移. 以及文件展开后.节数据在文件中的那个偏移位置.
1.内存中节开始的位置
我们分别以PE两种状态.来加深一下.在内存中跟文件中节数据起始位置.
VirtualAddress 是内存中节展开的起始地址.我们可以随便打开一个文件.查看内存中起始位置值是多少.
随便打开一个文件看一下节表.可以得出.内存中偏移位置是0x1000位置.文件中节数据的位置是0x400. 偏移+ImageBase就是内存中开始的位置.我们看一下.
可以看到机器码为: 40 30 40 00 90 ..... 那么我们去文件中看一下,看一下节数据是否相同.
2.文件中节开始的位置
根据上方我们观看节表.得出在文件中的偏移是0x400位置.所以跳转到文件偏移处.发现节数据跟内存的数据是一样的.
这也解释了PE在内存中展开跟在文件中是不一样的.
也加深了节表中 VirtualAddress成员 以及 PointerToRawData成员了.
值得一说节表的大小是 0x28个字节.也就是两行半
观看一行半可以得出节名称.节在内存中的偏移. 以及节数据在文件中的偏移.
二丶节成员解析
根据上方节中两个重要成员我们明白了其意思.那么我们看看其他成员.
联合体中的成员.
联合体中的成员我们一般看第二个.
union { DWORD PhysicalAddress; DWORD VirtualSize; //节数据没有对齐后的大小.也就是没有对齐.节数据有多大. } Misc;
VirtualSize 虚拟大小.指的就是节数据没有对齐后的大小.
换句话说就是节的数据真实大小. 但是注意,如果此成员大于SizeofRawData.那么就填0.因为实际大小数据.不可能大于对齐后的大小.
SizeOfRawData 这个成员则是对齐后的大小.比如我们节数据大小是0x1FFC 那么对齐后的大小就是0x2000 就是按照对齐之后进行存放的.对齐是按照文件对齐进行对齐的.
根据文件对齐后的大小.那么我们就能确定一个节数据到底由多大.
文件中开始的位置已经有了.然后对齐后的大小也已经有了. 文件开始位置是0x400.对齐后的数据有0x2000.那么节数据大小就是从0x400开始.占0x2000大小.那么结束位置就是0x2400位置.
节的属性.也就是最后一个成员.表明了这个节是可读的可写的.还是可读可写可执行. 具体可以查看一下宏.
三丶总结
总结来说节表中重要成员有三个.
1.内存中起始位置
2.节数据对齐后大小
3.文件中起始位置.
根据第二个成员和第三个成员可以得出节数据从哪里结束. 计算公式 节起始位置+节数据对齐后大小 = 节结束位置.
节属性也很重要. 这个需要查询.所以一定牢记.