PE文件（三）节表

news2024/11/24 16:16:06

节表引入

PE文件的结构是由DOS头+PE标记+标准PE头+可选PE头+节表+多个节构成的，如下便是一个pe文件结构图，它的每一段都可以被称作节

图中这么多的节在硬盘上和内存中的存储位置都由节表去管理和记录，而不是随意的存储。

节表相当于是一个对各个节（.text、.idata等）进行概要性描述的具有管理权限的一个目录，与之相对的DOS头和NT头则是对整个文件的概要性描述

节表位置与个数

节表个数

一个PE文件有多少个节，就有多少个节表，(标准PE头中的NumberOfsections的值便是节的数量，也就是节表的数量)。每一个节表都是一个结构体，他们的的大小都是40字节，用来记录管理一个节的信息

节表位置：节表紧接着可选PE头后面，如果有多个节表，它们就一个接一个顺序排列直到没有节表可排。

硬盘上的地址： DOS头大小（64字节） + 垃圾空位 + PE签名大小（4字节） + 标准PE头大小（20字节） + 可选PE头大小（查标准PE头中的SizeOfOptionalHeader字段的值）。所以e_lfanew + 4 + 20 + SizeOfOptionalHeader = 节表开始地址

内存中的地址：节表在4GB内存中的地址要加上imagebase的值，才是节表真正在内存中的起始地址

节表结构

节表是一个结构体，其具体结构如下：

#define IMAGE_SIZEOF_SHORT_NAME 8 //宏定义

由上图可知，每个节都有相应的节表，每个节表记录着对应的节的信息。节表数据紧接着可选PE头数据后面，如果有多个节表，它们就一个接一个顺序排列直到没有节表可排。所有的节表一起记录了该.exe文件中所有的节的信息，每一个节都有对应的节表来存储信息，所有的节对应的节表组合在一起就构成了PE文件的节表结构

节表主要字段含义

1.Name[IMAGE_SIZEOF_SHORT_NAME]：8个字节大小，一般情况下是以"\0"结尾的ASCII码来表示节的名称，名字可以自定义（一般是编译器加的）。

注意：数组元素是从最后一个元素开始倒着入栈的，所以从低地址往高地址分别是从数组的第一个元素到最后一个元素

容易出现的安全问题：

Name数组的长度最大为8字节，如果定义节的名称为.text，由于.text对应的ASCII码分别为0x2E， 0x74， 0x65， 0x78，0x74，所以Name数组中的数据为2E 74 65 78 74 00 00 00，一共8字节。如果此时用一个指针指向Name数组首地址，即char* np = Name。由于使用printf("%s",np)的方式去打印一个数组，程序会从数组首地址一直打印到\0停下，即0x00结束打印。所以此时以该方式打印此节表的名字，将会正常打印.text

但是如果我们自定义名字或者编译器帮我们定义的名字长度等于8，把这8位全占了，没有给\0留位置存储。比如.abcdefg，每个字符转换成1字节的ASCII码后， Name数组中的数据为2E 61 62 63 64 65 66 67，一共8字节。如果此时我们还是使用char* p = Name作为数组的起始地址，使用printf("%s",p);来打印名字，就会有越界问题。这是因为该数组没有以\0结尾了，所以程序会接着把Name后面的内存中的数据打印出来，直到遇到一个0x00为止。此时打印的名字就可能是.abcdefg 5J@.??.等乱码

解决方法：自己定义一个char arr[9] 的数组，然后使用库函数strncpy(arr,name,8)，或者自己写一个循环将名字依次赋值进我们自定义的数组中，最后一位补‘\0’，此时使用char* p = arr作为数组的起始地址，printf("%s",p);的方法便可以正常打印出节的名字了

2.Misc：该成员为联合体类型变量，大小为4字节，用于表示该节表管理的节在没有对齐前（装入内存）的真实尺寸，该值不确定。该值的修改了对程序的运行没有影响

由于有的编译器或者软件喜欢用PhysicalAddress，，有些喜欢用VirtualSize，但这两个东西是一样的，为了减少内存占用就选择使用了联合体

如图是一个节在内存中被0填充对齐后的数据，圆圈中的数据便是没有对齐前的真实尺寸：