【作业内容】
1、手动查,画个PE文件图。
2、编写程序打印节表中的信息。
3、根据节表中的信息,到文件中找到所有的节,观察节的开始位置与大小是否与节表中的描述一致
【PE file_buffer文件图】
【IMAGE_SECTION_HEADER解析】
<winNT.h> 头文件定义如下
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //保存节的名字的数组。
union {
DWORD PhysicalAddress; //该节在文件中的实际大小
DWORD VirtualSize; //该节在内存中占用的大小,节在内存中的大小会因为对齐或填充而增加
} Misc;
DWORD VirtualAddress; //该节在进程的虚拟空间中的起始地址,内存偏移。加载器使用这个地址将节的内容映射到内存中相应的虚拟地址上。
DWORD SizeOfRawData; //该节在PE文件中对齐后的原始数据大小,由于 SizeOfRawData 字段是四舍五入的,而 VirtualSize 字段不是四舍五入的,因此 SizeOfRawData 字段也可能大于 VirtualSize。
DWORD PointerToRawData; //该节在PE文件的实际位置,即相对于文件开始的偏移量。加载器会根据这个偏移量从文件中读取节的内容,并将其加载到内存中。
DWORD PointerToRelocations; //该节的重定位表在文件中的起始位置,如果节中有重定位项,该字段指出重定位表的文件偏移量。数据节可能需要重定位以修正基于位置的引用;没有重定位的映像,该值设为零。(在obj文件中使用,对exe无意义)。
DWORD PointerToLinenumbers; //如果节包含源代码行号信息;;已被弃用,改值应为0
WORD NumberOfRelocations; //该节有多少重定位条目;对于可执行文件,该值设为零。(在obj文件中使用,对exe无意义)。
WORD NumberOfLinenumbers; //该行有多少行号条目;已被弃用,该值应为0
DWORD Characteristics; //指定节的属性标志
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;【SECTION_CHARACTERISTICS】节表中Characteristics字段解析
<winNT.h> 头文件定义如下
1. **`IMAGE_SCN_TYPE_NO_PAD`** (`0x00000008`):指示该节不应该在文件中进行填充。
2. **`IMAGE_SCN_CNT_CODE`** (`0x00000020`):表示该节包含可执行代码。
3. **`IMAGE_SCN_CNT_INITIALIZED_DATA`** (`0x00000040`):表示该节包含已初始化的数据。
4. **`IMAGE_SCN_CNT_UNINITIALIZED_DATA`** (`0x00000080`):表示该节包含未初始化的数据(通常是`.bss`节)。
5. **`IMAGE_SCN_LNK_OTHER`** (`0x00000100`):保留,用于非标准链接器特定的节。
6. **`IMAGE_SCN_LNK_INFO`** (`0x00000200`):表示该节包含链接器信息,如重定位表和行号表。
7. **`IMAGE_SCN_LNK_REMOVE`** (`0x00000800`):指示链接器应该从最终输出中删除此节。
8. **`IMAGE_SCN_LNK_COMDAT`** (`0x00001000`):表示该节包含COMDAT数据,即在链接时可能与其他节合并的数据。
9. **`IMAGE_SCN_NO_DEFER_SPEC_EXC`** (`0x00004000`):表示该节中的代码不应延迟特定异常处理。
10. **`IMAGE_SCN_GPREL`** (`0x00008000`):表示该节中的数据相对于全局页基址(即PE文件的基地址)是相对的。
11. **`IMAGE_SCN_MEM_PURGEABLE`** (`0x00020000`):表示该节在内存中是可丢弃的,即可以由系统在需要时清除。
12. **`IMAGE_SCN_MEM_16BIT`** (`0x00020000`):表示该节包含16位代码或数据。
13. **`IMAGE_SCN_MEM_LOCKED`** (`0x00040000`):表示该节在内存中是锁定的,即不能被页面调度器交换出去。
14. **`IMAGE_SCN_MEM_PRELOAD`** (`0x00080000`):表示该节应该在进程启动时预加载到内存中。
15. **`IMAGE_SCN_ALIGN_1BYTES`** (`0x00100000`) 至 **`IMAGE_SCN_ALIGN_8192BYTES`** (`0x04000000`):这一系列标志位用于指定节在内存中的对齐方式。
16. **`IMAGE_SCN_LNK_NRELOC_OVFL`** (`0x01000000`):表示该节的重定位溢出,即重定位表中包含了太多重定位条目。
17. **`IMAGE_SCN_MEM_DISCARDABLE`** (`0x02000000`):表示该节中的数据在内存中是可以被丢弃的,即可以由系统在需要时清除。
18. **`IMAGE_SCN_MEM_NOT_CACHED`** (`0x04000000`):表示该节在内存中不应该被缓存。
19. **`IMAGE_SCN_MEM_NOT_PAGED`** (`0x08000000`):表示该节在内存中不应该被分页。
20. **`IMAGE_SCN_MEM_SHARED`** (`0x10000000`):表示该节在内存中是可以被共享的。
21. **`IMAGE_SCN_MEM_EXECUTE`** (`0x20000000`):表示该节在内存中是可以执行的。
22. **`IMAGE_SCN_MEM_READ`** (`0x40000000`):表示该节在内存中是可以读取的。
23. **`IMAGE_SCN_MEM_WRITE`** (`0x80000000`):表示该节在内存中是可以写的。
#define IMAGE_SCN_MEM_FARDATA (0x00008000):用于指示一个节是远数据(far data)节,遗留产物,现代程序用不上。
#define IMAGE_SCN_ALIGN_MASK(0x00F00000):定义了一个掩码,用于从`Characteristics`字段中提取对齐属性.它被设计为与`Characteristics`字段进行位与操作(&),以提取出对齐属性。这个掩码的二进制表示中,只有对齐属性位被设置为1,其他位被设置为0。【PE文件节表打印】
#include <windows.h>
#include <winnt.h>
#include <stdio.h>
const char* filename= "C:\\Users\\Administrator\\Desktop\\SunloginClient\\远控项目(1)\\service\\Release\\client.exe";
char* file_buffer;
//读文件,返回存储文件内容的缓冲区
int Read_File(){
FILE* pfile = NULL;
if ((fopen_s(&pfile, filename, "rb"))) {
printf("file open error with %d .\n",errno);
fclose(pfile);
return 0;
}
//判断文件大小
fseek(pfile,0,SEEK_END);
int file_size=ftell(pfile);
rewind(pfile);
file_buffer = (char*)calloc((file_size+1), 1);
//读取文件
if (!((fread_s(file_buffer, file_size, 1, file_size, pfile)) == file_size))
{
printf("fread faild with %d.\n",errno);
file_buffer = NULL;
free(file_buffer);
fclose(pfile);
return 0;
}
return 0;
}
int Section_Operator() {
/*
1、判断DOS 头前word个字节是否为5A4D
2、读取e_lfanew
3、跳到NT头位置,
*/
PIMAGE_DOS_HEADER dos_header;
dos_header = (PIMAGE_DOS_HEADER)file_buffer;
if (!(dos_header->e_magic== IMAGE_DOS_SIGNATURE))
{
printf("Not PE file!\n");
return 0;
}
DWORD Pe_sig = dos_header->e_lfanew;
//file_temp_buffer==MACHINE
char* file_temp_buffer= (char*)calloc(sizeof(file_buffer), 1);
//1、获得 WORD NumberOfSections 判断节的数量
//2、获得 WORD SizeofOptionsHeader 此头没有本节课作业相关的数据,先不读取,直接跳过此头。
//有个DOWRD signature字节,直接跳过,到FILE_HEADER 部分
file_temp_buffer = file_buffer + Pe_sig+4 ;
PIMAGE_FILE_HEADER file_header;
file_header = (PIMAGE_FILE_HEADER)file_temp_buffer;
//1、获得 WORD NumberOfSections 判断节的数量
int section_number=file_header->NumberOfSections;
//2、获得 WORD SizeofOptionsHeader 此头没有本节课作业相关的数据,先不读取,直接跳过此头。
int option_header_size = file_header->SizeOfOptionalHeader;
file_temp_buffer = file_temp_buffer + option_header_size+sizeof(IMAGE_FILE_HEADER);
PIMAGE_NT_HEADERS;
PIMAGE_SECTION_HEADER section_header;
section_header = (PIMAGE_SECTION_HEADER)file_temp_buffer;
while (section_number--)
{
printf("====================== %s节表信息 =======================\n", section_header->Name);
printf("节在内存中的大小:%08X\n",section_header->Misc.VirtualSize);
printf("节的内存偏移:%08X\n",section_header->VirtualAddress);
printf("节在文件中对齐后的大小:%08X\n",section_header->SizeOfRawData);
printf("节在PE文件的偏移:%08X\n",section_header->PointerToRawData);
printf("该值应为0:%08X\n",section_header->PointerToRelocations);
printf("该值应为0:%08X\n",section_header->PointerToLinenumbers);
printf("该值应为0:%08X\n",section_header->NumberOfRelocations);
printf("该值应为0:%04X\n",section_header->NumberOfLinenumbers);
printf("节的权限:%08X\n",section_header->Characteristics);
//section_header 是PIMAGE_SECTION_HEADER类型,(section_header++) 等于 指针向下顺移一个节的位置。
//printf("====================== %s节表信息 =======================\n",section_header->Name);
section_header++;
}
file_buffer = NULL;
file_temp_buffer = NULL;
free(file_buffer);
free(file_temp_buffer);
}
int main() {
Read_File();
Section_Operator();
return 0;
}注:如有不正确或可完善的地方请私聊,直接评论也可以。本人在编辑的时候可能会受到自身逻辑限制,无法想到一些重要的情况,欢迎各位一起学习的小伙伴多多批评指正。
![Redis学习[6] ——Redis缓存设计](https://i-blog.csdnimg.cn/direct/4f46579c8252451983184b3b74cfe24b.png)
