首页
社区
课程
招聘
[原创]PE解析思路
发表于: 2024-1-26 11:12 17923

[原创]PE解析思路

2024-1-26 11:12
17923

本文的目的是编写解析器,故本文叙述的PE细节不像其他文章那么详细,想学习更加详细的解析可以翻到文本最后的参考文章

头部分分为5部分:

Dos部分为兼容古老的DOS 16位系统,目前来说用处已经不大,整体结构在winnt.h中定义为:

目前只用到两个参数,一个是e_magic,该参数为整个PE文件的开头部分,可用于区别ELF和PE

在PE中,一般表现为0x5A4D,字符串表现为MZ

ELF文件中,表现为:

第二个使用到的参数为DOS Header中的最后一个参数e_lfanew,该参数用来指向exe文件的开始位置,也就是

第二部分Nt Header的位置从Dos Header 到 Nt Header中间空出来的部分数据可以理解为历史残留,都是一些脏数据,一般都会有这样一段话:This program cannot be run in DOS mode

Nt Header 结构体(winnt.h)

Nt Header的开头为一个Signature,该值通过宏进行定义为PE文件的固定值,不受32位或者64位影响:

File Header 结构体(winnt.h)

这里用到的参数就比较多了,首先是Machine,在wint.h中定义了宏,目前常见的应该只有IMAGE_FILE_MACHINE_I38632位程序和IMAGE_FILE_MACHINE_AMD6464位程序

可用来区分Windows 下的32位程序和64位程序:

第二个是NumberOfSections,就是节的数量,关于节遍历时需要用到,还有对于节的增加和合并时需要对该参数的值进行修改

第三个是SizeOfOptionalHeader,关于可选PE头的大小,默认情况下,32位程序该值为E0,64位程序该值为F0

最后一个参数Characteristic可以理解为操作权限

Optional Header 结构体(winnt.h)

#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

pe32:

pe64:

通过对比可以发现在32位的Optional Header中多了一个DWORD BaseOfData

在不做修改的情况下,OptionalHeader的长度是固定的,所以32位程序在File Header中的SizeOfOptionalHeader为0xE8,而64位程序的SizeOfOptionalHeader为0xF0,通过上图也可以看出在ImageBaseSIzeOfStackReserveSizeOfStackeCommitSizeOfHeapReserve, SizeOfHeapCommit这五个参数中,64位程序的参数长度为ULONGLONG,就是8字节QDWORD,加上少掉的一个DWORD,刚好默认情况下64位程序的OptionalHeader比32位的多0x04*5-0x04=16个字节

在OptionalHeader的开头Magic参数会再一次显示32位和64位的区别:

在winnt.h中也定义了相关的宏:

所以总结之后可以得到区分32位和64位程序的方式:

OptionalHeader中会用到的参数:

OptionalHeader中解析到的OEP为相对偏移并且这个偏移应该是内存对齐后的偏移

载入x32dbg查看,此时发现OEP的地址为A80233,这时候就要提到ImageBase了,可以看到在OptionalHeader中的ImageBase为0x400000,但是程序此时的ImageBase为0xA80233 - 0x10233 = 0xA70000,这个原因是OptionalHeader中解析到的ImageBase为理想状况下的,内存的地址是连续,0x40000只有一个,所以有且只有一个程序可以刚好分配到0x40000作为镜像基址,那么其他程序怎么办,这时候就会产生一个重定位的情况,这个后面会说到,总之,当程序载入内存时,相对偏移是不会变的,会发生变化的是镜像基址,当然这里指的相对偏移,是指内存对齐后的相对偏移,在PE解析中,存在着文件对齐的情况,特别是该程序中,文件对齐与内存对齐是不一致的,所以当程序从FileBuffer加载到内存成为ImageBuffer后,需要对程序进行拉伸,对齐成内存对齐,那么相应的某些本身处于文件对齐的地址,就需要通过转化,转换成内存对齐地址

SizeOfImage:经过内存对齐后整个镜像大小

SizeOfCode:文件对齐下镜像大小

SizeOfHeaders: 头+节表文件对齐下的大小

BaseOfCode: 内存对齐下代码的开始(一般为SectionAlignment的整数倍)

BaseOfData:内存对齐下数据段的开始(一般为SectionAlignment的整数倍)

SectionHeader(winnt.h):

节表是整个PE文件最重要的一部分,因为只有通过他进行内存地址的转化,以及各种节都是通过节表进行索引,

Name:一个Char数组,用来存储节名

Misc:这是一个union联合体,具体的含义这里不作解释,一般表现为VirtualSize,或者直接把它当作VirtualSize也行,这里指的是每个节的未对齐大小

VirtualAddress:指的是内存对齐后节的开始地址,这里也是一个相对地址

SizeOfRawData:指的是进行文件对齐后的节大小

在该文件中,FileAlignment(文件对齐)的大小为0x200,所以这里RawSize就会对齐为0x200的整数倍

PointerToRawData:文件对齐后该节的起始地址

PointerToRelocations\PointerToLinenumbers\NumberOfRelocations\NumberOfLinenumbers,暂时用不到:

Characteristics:为每个节的权限

Data Directory位于Optional Header,结构体(winnt.h):

在Optional中该结构体数组数量为16个:#define IMAGE_NUMBEROF_DIRECTORY_ENTRIES 16

各个表的序号:

该结构体中的Size不影响对于各个表的解析,影响表的解析是VirtualAddress

前面4个参数可以不用管,重点在后面的6个参数:

PE文件中函数导出有两种方式:

AddressOfFunctions指向的是一张导出函数表,而NumberOfFunctions是这张表的长度

AddressOfNames指向的是导出函数名称表,NumberOfNames是该表的长度

AddressOfNameOrdinals指向的是导出函数的序号表

这里需要注意导出函数表和其余两张表的长度是不一定相同的,而AddressOfNames和AddressOfNameOrdinals指向的表的长度是一样长度

注意Ordinals序号表中,序号为偏移值,真的序号应该是要加上导出表中的Base参数的值,作为起始序号:

例:DWORD base = 10;

NameOrdinals Table:

那么真正的序号应该为:

当导出表的DataDirectory中的VirtualAddress为0时,说明该PE文件不存在导出函数,当然这个可以人为修改,在PE解析中需要通过该VirtualAddress找到导出表存储的位置,如果该值为0,则无法找到

函数名称表AddressOfNames和函数序号表AddressOfNameOrdinals的数量是一样的,当某个函数在导出时写了NoName不以名称导出时,那么此时导出函数序号表中也不会有该函数的函数序号

通过函数名称找函数地址的步骤:

通过函数序号找函数地址的步骤:

通过对比两种方式的索引可以发现,通过函数序号找函数地址的时候根本不需要用到AddressOfNameOrdinals,Ordinals是跟Names绑定的一张表,所以才会发现这两张表的成员数量是相同的

通过DataDirectory索引到的VirtuallAddress为导入表的描述符,Name为该导入dll的名称,为偏移量,这里所有的描述符的值都可以理解为偏移,偏移到的是真正存储的位置,这里通过ForwarderChain来确定是否是最后一张导入表描述符,通过,如果该值为-1,则说明该描述符为最后一个导入表描述符

INT:Import Name Table,根据名称找函数

IAT:Import Address Table,根据地址找函数

文件加载前:

OriginalFirstThunk指向的是INT表,INT表中就会涉及到新的结构体:IMAGE_THUNK_DATA,该结构体同样是属于偏移,所以会区分32位和64位

FirstThunk指向的IAT表,IAT表中的结构体跟INT表中的结构体完全相同(ps:文件加载前)

其原因跟THUNK结构体中的类型有关,可以看到该结构体实际上内部是一个union包着4个参数,长度为DWORD,只需要看后面两个,Ordinal和AddressOfData

在程序加载前,对于每个导入表的导出函数而言,是无法知道其是否可以通过函数名称进行查找的,所以此时才有了INT和IAT

查找IAT表有两种办法,一个是通过DataDirectory[13],第二个是通过导入表中的FirstThunk偏移找到IAT表的起始位置

文件加载后:

INT中的数据不变,IAT中的值替换成函数地址,函数地址通过INT或者IAT进行替换

在查找时,如果文件不存在

重定位表关乎到程序能否正常运行,该表的解析很有意思

通过Data Directory[IMAGE_DIRECTORY_ENTRY_BASERELOC]定位到第一张表的指针位置,同样需要通过RVAToRAW拿到文件中存放该表的位置

Relocation结构体:

既然是表,就说明不止有这一个结构体,这里的索引也是同样的,通过当前的指针来索引下一个表的位置,最后通过结构体全0来判断该表的结束:

SizeOfBlock表明指向的Relocation结构体的实际大小,该大小是包括已知两个参数的大小:所以实际的大小应该为SizeOfBlock - 8,在32位程序中,块大小为2的12次方,也就是4096,所以只需要12位就可以遍历整个块,根据字节对齐需要,编译器对程序进行分配时不会直接分12位,而是会分16位,也就是2个字节,所以对于该2字节,低12位为偏移,高4位为填充,当高4位的值为3时,说明该地址需要被重定位,如果为其他值,则说明该2字节的值可作为填充数据处理

打印结果:

通过这几张表的解析也可以发现PE的特点,由于程序的大小不确定,所以无法静态or动态的分配空间给各种表,所以通过自索引的方式来实现表的遍历,实现了程序的可扩展性,这确实是一种好的方式,这个结构的优点也一直延续至今

该表分成三层进行解析

First Layer:

第一层为资源样式,最后两个参数之和决定资源数:

DWORD resourceNum = NumberOfNamedEntries + NumberOfIdEntries

在该结构体后紧跟的就是第二层,resourceNum决定后面跟着多少个_IMAGE_RESOURCE_DIRECTORY_ENTRY

PIMAGE_RESOURCE_DIRECTORY_ENTRY = (PIMAGE_RESOURCE_DIRECTORY_ENTRY)(PIMAGE_RESOURCE_DIRECTORY + 1)

该结构体为两个2联合体,第一个union中的NameIsString表示该资源是否通过字符串进行索引,该值为1时说明通过字符串进行索引,说明该资源为开发者资源,该值为0说明通过Id进行索引,说明该资源为系统资源,第二个union中的DataIsDirectory表示该数据是否是一个目录,值为1说明该数据为目录

Windows预定义了一些资源,位于winuser.h,一般只用到前面的11个资源,预定义的资源都是通过ID进行索引

关于资源表的结构可以理解为资源管理器,在文件夹中即可以创建文件也可以创建文件夹,所以在解析该结构的时候可以通过递归去做解析

[1]PE整体结构体:https://docs.microsoft.com/en-us/windows/win32/debug/pe-format

[2]资源表解析:https://www.cnblogs.com/iBinary/p/7712932.html

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
 
typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
typedef struct _IMAGE_NT_HEADERS64 {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER64 OptionalHeader;
} IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;
 
typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;
#define IMAGE_NT_SIGNATURE                  0x00004550  // PE
#define IMAGE_NT_SIGNATURE                  0x00004550  // PE
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;
#define IMAGE_FILE_MACHINE_UNKNOWN           0
#define IMAGE_FILE_MACHINE_TARGET_HOST       0x0001  // Useful for indicating we want to interact with the host and not a WoW guest.
#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
#define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
#define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
#define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
#define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
#define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
#define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
#define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
#define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
#define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
#define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
#define IMAGE_FILE_MACHINE_THUMB             0x01c2  // ARM Thumb/Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_ARMNT             0x01c4  // ARM Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_AM33              0x01d3
#define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian
#define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64
#define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS
#define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64
#define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS
#define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS
#define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64
#define IMAGE_FILE_MACHINE_TRICORE           0x0520  // Infineon
#define IMAGE_FILE_MACHINE_CEF               0x0CEF
#define IMAGE_FILE_MACHINE_EBC               0x0EBC  // EFI Byte Code
#define IMAGE_FILE_MACHINE_AMD64             0x8664  // AMD64 (K8)
#define IMAGE_FILE_MACHINE_M32R              0x9041  // M32R little-endian
#define IMAGE_FILE_MACHINE_ARM64             0xAA64  // ARM64 Little-Endian
#define IMAGE_FILE_MACHINE_CEE               0xC0EE
#define IMAGE_FILE_MACHINE_UNKNOWN           0
#define IMAGE_FILE_MACHINE_TARGET_HOST       0x0001  // Useful for indicating we want to interact with the host and not a WoW guest.
#define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
#define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
#define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
#define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
#define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
#define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
#define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
#define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
#define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
#define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
#define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
#define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
#define IMAGE_FILE_MACHINE_THUMB             0x01c2  // ARM Thumb/Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_ARMNT             0x01c4  // ARM Thumb-2 Little-Endian
#define IMAGE_FILE_MACHINE_AM33              0x01d3
#define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian
#define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1
#define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64
#define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS
#define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64
#define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS
#define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS
#define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64
#define IMAGE_FILE_MACHINE_TRICORE           0x0520  // Infineon
#define IMAGE_FILE_MACHINE_CEF               0x0CEF
#define IMAGE_FILE_MACHINE_EBC               0x0EBC  // EFI Byte Code
#define IMAGE_FILE_MACHINE_AMD64             0x8664  // AMD64 (K8)
#define IMAGE_FILE_MACHINE_M32R              0x9041  // M32R little-endian
#define IMAGE_FILE_MACHINE_ARM64             0xAA64  // ARM64 Little-Endian
#define IMAGE_FILE_MACHINE_CEE               0xC0EE
typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //
 
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
 
    //
    // NT additional fields.
    //
 
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //
 
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;
 
    //
    // NT additional fields.
    //
 
    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;
typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;
    BYTE        MajorLinkerVersion;
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;
    DWORD       BaseOfCode;
    ULONGLONG   ImageBase;
    DWORD       SectionAlignment;
    DWORD       FileAlignment;
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;
    DWORD       SizeOfHeaders;
    DWORD       CheckSum;
    WORD        Subsystem;
    WORD        DllCharacteristics;
    ULONGLONG   SizeOfStackReserve;
    ULONGLONG   SizeOfStackCommit;
    ULONGLONG   SizeOfHeapReserve;
    ULONGLONG   SizeOfHeapCommit;
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
typedef struct _IMAGE_OPTIONAL_HEADER64 {
    WORD        Magic;
    BYTE        MajorLinkerVersion;
    BYTE        MinorLinkerVersion;
    DWORD       SizeOfCode;
    DWORD       SizeOfInitializedData;
    DWORD       SizeOfUninitializedData;
    DWORD       AddressOfEntryPoint;
    DWORD       BaseOfCode;
    ULONGLONG   ImageBase;
    DWORD       SectionAlignment;
    DWORD       FileAlignment;
    WORD        MajorOperatingSystemVersion;
    WORD        MinorOperatingSystemVersion;
    WORD        MajorImageVersion;
    WORD        MinorImageVersion;
    WORD        MajorSubsystemVersion;
    WORD        MinorSubsystemVersion;
    DWORD       Win32VersionValue;
    DWORD       SizeOfImage;
    DWORD       SizeOfHeaders;
    DWORD       CheckSum;
    WORD        Subsystem;
    WORD        DllCharacteristics;
    ULONGLONG   SizeOfStackReserve;
    ULONGLONG   SizeOfStackCommit;
    ULONGLONG   SizeOfHeapReserve;
    ULONGLONG   SizeOfHeapCommit;
    DWORD       LoaderFlags;
    DWORD       NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;
#define IMAGE_NT_OPTIONAL_HDR32_MAGIC      0x10b
#define IMAGE_NT_OPTIONAL_HDR64_MAGIC      0x20b
#define IMAGE_NT_OPTIONAL_HDR32_MAGIC      0x10b
#define IMAGE_NT_OPTIONAL_HDR64_MAGIC      0x20b
#define IMAGE_SIZEOF_SHORT_NAME              8
#define IMAGE_SIZEOF_SECTION_HEADER          40
 
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
#define IMAGE_SIZEOF_SHORT_NAME              8
#define IMAGE_SIZEOF_SECTION_HEADER          40
 
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-1-26 11:42 被Gushang编辑 ,原因:
收藏
免费 12
支持
分享
最新回复 (13)
雪    币: 2150
活跃值: (2001)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
第二张图和第三张图贴反了
2024-1-26 11:31
0
雪    币: 2877
活跃值: (1010)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
3
五毒女 第二张图和第三张图贴反了
好的我更正一下
2024-1-26 11:42
0
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
编写解析器,yyds
2024-1-26 12:24
0
雪    币: 3070
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2024-1-29 09:54
1
雪    币: 262
活跃值: (758)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
重定位表的遍历错了。。。。。。。。。网上说的都是错的,你这里写的还是错的。
不能用VirtualAddress和SizeofBlock来判断重定位表的结尾。而应该用整个重定位表的大小。

你这里能运行是因为刚好重定位表没有对齐,后面的是一段0x00.

你找一个刚好对齐的DLL去加载,后面的内存是无效的,就会segment fault了。

详细的看我这里https://github.com/fancycode/MemoryModule/pull/116
2024-1-29 17:56
4
雪    币: 2877
活跃值: (1010)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
7
_emmm_ 重定位表的遍历错了。。。。。。。。。网上说的都是错的,你这里写的还是错的。 不能用VirtualAddress和SizeofBlock来判断重定位表的结尾。而应该用整个重定位表的大小。 你这里 ...
感谢纠正!
2024-2-5 09:28
0
雪    币: 25
活跃值: (580)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
加油
2024-2-6 10:18
0
雪    币: 351
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
感谢分享
2024-2-17 16:43
0
雪    币: 224
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
开始还能看懂点,留个记号、、、、
2024-2-18 18:39
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
小白学习中
2024-2-27 14:40
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
mark
2024-3-13 10:33
0
雪    币: 1041
活跃值: (733)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
大佬,有没有解析elf的
2024-3-13 13:07
0
雪    币: 2877
活跃值: (1010)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
14
鸭子咯咯哒 大佬,有没有解析elf的
有,还没整理完,后续会发ELF和Mach-O的
2024-3-14 00:56
0
游客
登录 | 注册 方可回帖
返回
//