最新消息:

PE结构学习01-DOS头-NT头-节表头

逆向工程 ONDragon 14808浏览 0评论

什么是PE结构:PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,就是只要在Windows下的可执行程序的内部结构都是PE结构,就是一个程序代码的分布结构,什么位置放什么数据代码,是有一定格式的,不然就乱了,系统就找不到了。

为什么学习PE结构:逆向分析一个Windows程序,必须了解它的代码分布情况,知己知彼百战不殆。

常用基本概念:

名称 描述
地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大)
镜像文件 包含以EXE文件为代表的“可执行文件”、以DLL文件为代表的“动态链接库”。为什么用“镜像”?这是因为他们常常被直接“复制”到内存,有“镜像”的某种意思。看来西方人挺有想象力的哦^0^
RVA 英文全称Relatively Virtual Address。偏移(又称“相对虚拟地址”)。相对镜像基址的偏移。
节是PE文件中代码或数据的基本单元。原则上讲,节只分为“代码节”和“数据节”。
VA 英文全称Virtual Address。基址

一个PE文件的结构。

DOS头部结构体:

typedef struct _IMAGE_DOS_HEADER {     

    WORD   e_magic;                                     // [0x00] Magic number(重要,是否为PE文件的第一个标志)

    WORD   e_cblp;                                       // [0x02]Bytes on last page of file

    WORD   e_cp;                                         // [0x04]Pages in file

    WORD   e_crlc;                                       // [0x06]Relocations

    WORD   e_cparhdr;                                   // [0x08]Size of header in paragraphs

    WORD   e_minalloc;                                  //[0x0A] Minimum extra paragraphs needed

    WORD   e_maxalloc;                                  //[0x0C] Maximum extra paragraphs needed

    WORD   e_ss;                                          // [0x0E]Initial (relative) SS value

    WORD   e_sp;                                          // [0x10]Initial SP value

    WORD   e_csum;                                       // [0x12]Checksum

    WORD   e_ip;                                          //[0x14] Initial IP value

    WORD   e_cs;                                          //[0x16] Initial (relative) CS value

    WORD   e_lfarlc;                                      // [0x18]File address of relocation table

    WORD   e_ovno;                                       // [0x1A]Overlay number

    WORD   e_res[4];                                     // [0x1C]Reserved words

    WORD   e_oemid;                                      // [0x24]OEM identifier (for e_oeminfo)

    WORD   e_oeminfo;                                    //[0x26] OEM information; e_oemid specific

    WORD   e_res2[10];                                  // [0x28]Reserved words
  
    LONG   e_lfanew;                                     // [0x3C]File address of new exe header(有用,PE解析时用它找到PE头的位置)

  } IMAGE_DOS_HEADER, * PIMAGE_DOS_HEADER;
一共有64个字节,一个WORD两个字节,一个LONG四个字节。

上图随便用16进制文本编辑器打开一个可执行程序,前64字节就是DOS头部。

重要数据的是第一个和最后一个,也就是e_magic与e_lfanew这两个数据成员,也就是4D 5A 和 F8 00 00 00 00,e_magic,翻译为魔数,其实它就是一个标记,DOS头标志位,其值恒为4D5A,在系统中用宏定义为:IMAGE_DOS_SIGNATURE,e_lfanew,它表示NT头部在文件中的偏移。

NT头部结构体:

typedef struct _IMAGE_NT_HEADERS 
{

    DWORD Signature;                                   //标记(重要,判断是否为PE文件的第二个标志)

    IMAGE_FILE_HEADER FileHeader;                      //文件头(重要,存储着PE文件的基本信息)

    IMAGE_OPTIONAL_HEADER32 OptionalHeader;  //扩展头(重要,存储着关于PE文件时加载的信息)

} IMAGE_NT_HEADERS32, * PIMAGE_NT_HEADERS32;

IMAGE_FILE_HEADER fileheader:

typedef struct _IMAGE_FILE_HEADER {

    WORD      Machine;                         1  (文件的运行平台)
  
    WORD      NumberOfSections;               2  (区段的数量)

    DWORD   TimeDateStamp;                     3  (文件创建时间)

    DWORD   PointerToSymbolTable;             4  (符号表偏移,用于调试)

    DWORD   NumberOfSymbols;                 5   (符号个数,用于调试)

    WORD    SizeOfOptionalHeader;            6   (扩展头的大小)

    WORD    Characteristics;                    7   (PE文件的一些属性)

} IMAGE_FILE_HEADER, * PIMAGE_FILE_HEADER;

一共有2 + 2 + 4 + 4 + 4 + 2 + 2 = 20个字节。

Machine :01 4C(注意是小端)
值        描述
0x0       适用于任何类型处理器
0x1d3      Matsushita AM33处理器
0x8664    x64处理器
0x1c0    ARM小尾处理器
0xebc    EFI字节码处理器
0x14c    Intel 386或后继处理器及其兼容处理器
0x200    Intel Itanium处理器
0x9041    Mitsubishi M32R小尾处理器
0x266    MIPS16处理器
0x366    带FPU的MIPS处理器
0x466    带FPU的MIPS16处理器
0x1f0    PowerPC小尾处理器
0x1f1    带符点运算支持的PowerPC处理器
0x166    MIPS小尾处理器
0x1a2    Hitachi SH3处理器
0x1a3    Hitachi SH3 DSP处理器
0x1a6    Hitachi SH4处理器
0x1a6    Hitachi SH5处理器
0x1c2    Thumb处理器
0x169    MIPS小尾WCE v2处理器

 

  • NumberOfSections(区段的数量):00 07
  • TimeDateStamp (文件创建时间): 58 A1 43 31
  • PointerToSymbolTable(符号表偏移): 00 00 00 00
  • NumberOfSymbols (符号表个数):00 00 00 00
  • SizeOfOptionalHeader(扩展头的大小):00 E0
  • Characteristics:01 02
位置 描述
0

它表明此文件不包含基址重定位信息,因此必须被加载到其首选基地址上。如果基地址不可用,加载器会报错。

1

它表明此镜像文件是合法的。看起来有点多此一举,但又不能少。

2

保留,必须为0。

3
4
5

应用程序可以处理大于2GB的地址。

6

保留,必须为0。

7
8

机器类型基于32位体系结构。

9

调试信息已经从此镜像文件中移除。

10

如果此镜像文件在可移动介质上,完全加载它并把它复制到交换文件中。几乎不用

11

如果此镜像文件在网络介质上,完全加载它并把它复制到交换文件中。几乎不用

12

此镜像文件是系统文件,而不是用户程序。

13

此镜像文件是动态链接库(DLL)。

14

此文件只能运行于单处理器机器上。

15

保留,必须为0。

IMAGE_OPTIONAL_HEADER32 OptionalHeader

typedef struct _IMAGE_OPTIONAL_HEADER {

    //

    // Standard fields.

    //

    WORD    Magic;                                 1    文件类型标识,32位一般是0x010B,64位的PE文件一般是0x020B,还有0x0170,代表ROM镜像。

    BYTE    MajorLinkerVersion;                    2    连接器主版本

    BYTE    MinorLinkerVersion;                    3    连接器次版本

    DWORD   SizeOfCode;                            4   (重要)指所有代码区段(节)的总大小

    DWORD   SizeOfInitializedData;                 5    已初始化数据的总大小

    DWORD   SizeOfUninitializedData;               6    未初始化数据的总大小,在磁盘中不占用空间,在加载进内存之后,会预留这么大的空间。一般存储在.bss区段中。

    DWORD   AddressOfEntryPoint;                   7   (重要)程序开始执行的相对虚拟地址(RVA),也叫OEP,Orginal Entry Point ,源入口点。

    DWORD   BaseOfCode;                            8   (重要)起始代码的相对虚拟地址(RVA),一般这个值为0x00001000.

    DWORD   BaseOfData;                            9    起始数据的相对虚拟地址(RVA)

    //

    // NT additional fields.

    //

    DWORD   ImageBase;                             10  (重要)默认加载基址(如果没有加载到这个地址,会发生重定位.)

    DWORD   SectionAlignment;                      11  (重要)块对齐数,就是在映射到内存中的区段(节)对齐,这个数必须大于文件对齐数,一般是0x1000

    DWORD   FileAlignment;                         12  (重要)文件对齐数,就是在硬盘中的文件的区段(节)对齐,一般是0x200

    WORD    MajorOperatingSystemVersion;           13   主操作系统版本号

    WORD    MinorOperatingSystemVersion;           14   次操作系统版本号

    WORD    MajorImageVersion;                     15   主映像版本

    WORD    MinorImageVersion;                     16   次映像版本

    WORD    MajorSubsystemVersion;                 17   主子系统版本

    WORD    MinorSubsystemVersion;                 18   次子系统版本

    DWORD   Win32VersionValue;                     19   保留值,一般是0

    DWORD   SizeOfImage;                           20  (重要)要把文件加载进内存,所需要的内存大小,注意是进行了块对齐之后

    DWORD   SizeOfHeaders;                         21   所有头部大小,Dos头、PE头、区段表的尺寸之和

    DWORD   CheckSum;                              22   校验和(一般无用)对于驱动和一些系统dll来说需要校验(使用IMAGEHLP.DLL中的CheckSumMappedFile API)

    WORD    Subsystem;                             23  (重要)子系统值

    WORD    DllCharacteristics ;                   24  (重要)指示Dll特征的标志,DllMain()函数何时被调用,默认为0.

    DWORD   SizeOfStackReserve;                    25   初始化时栈的大小

    DWORD   SizeOfStackCommit;                     26   初始化时实际提交的栈的大小

    DWORD   SizeOfHeapReserve;                     27   初始化时保留的堆的大小

    DWORD   SizeOfHeapCommit;                      28   初始化时实际提交的堆的大小

    DWORD   LoaderFlags;                           29   与调试相关  

    DWORD   NumberOfRvaAndSizes;                   30   数据目录的个数,也就是下面那个数组中元素的个数。

    IMAGE_DATA_DIRECTORY DataDirectory[ IMAGE_NUMBEROF_DIRECTORY_ENTRIES];   31  (非常重要)数据目录表

} IMAGE_OPTIONAL_HEADER32, * PIMAGE_OPTIONAL_HEADER32;

一共有96个字节再加上IMAGE_DATA_DIRECTORY DataDirectory[ IMAGE_NUMBEROF_DIRECTORY_ENTRIES]的大小,32位系统中扩展头大小一般是224(0x00E0),在64位系统中一般是240(0x00F0)。

偏移 大小 英文名 中文名 描述
0 2 Magic 魔数 这个无符号整数指出了镜像文件的状态。
0x10B表明这是一个32位镜像文件。
0x107表明这是一个ROM镜像。
0x20B表明这是一个64位镜像文件。
2 1 MajorLinkerVersion 链接器的主版本号 链接器的主版本号。
3 1 MinorLinkerVersion 链接器的次版本号 链接器的次版本号。
4 4 SizeOfCode 代码节大小 一般放在“.text”节里。如果有多个代码节的话,它是所有代码节的和。必须是FileAlignment的整数倍,是在文件里的大小。
8 4 SizeOfInitializedData 已初始化数大小 一般放在“.data”节里。如果有多个这样的节话,它是所有这些节的和。必须是FileAlignment的整数倍,是在文件里的大小。
12 4 SizeOfUninitializedData 未初始化数大小 一般放在“.bss”节里。如果有多个这样的节话,它是所有这些节的和。必须是FileAlignment的整数倍,是在文件里的大小。
16 4 AddressOfEntryPoint 入口点 当可执行文件被加载进内存时其入口点RVA。对于一般程序镜像来说,它就是启动地址。为0则从ImageBase开始执行。对于dll文件是可选的。
20 4 BaseOfCode 代码基址 当镜像被加载进内存时代码节的开头RVA。必须是SectionAlignment的整数倍。
24 4 BaseOfData 数据基址 当镜像被加载进内存时数据节的开头RVA。(在64位文件中此处被并入紧随其后的ImageBase中。)必须是SectionAlignment的整数倍。
28/24 4/8 ImageBase 镜像基址 当加载进内存时镜像的第1个字节的首选地址。它必须是64K的倍数。DLL默认是10000000H。Windows CE 的EXE默认是00010000H。Windows 系列的EXE默认是00400000H。
32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。
36 4 FileAlignment 文件对齐 用来对齐镜像文件的节中的原始数据的对齐因子(以字节计)。它应该是界于512和64K之间的2的幂(包括这两个边界值)。默认是512。如果SectionAlignment小于相应系统的页面大小,那么FileAlignment必须与SectionAlignment相等。
40 2 MajorOperatingSystemVersion 主系统的主版本号 操作系统的版本号可以从“我的电脑”→“帮助”里面看到,Windows XP是5.1。5是主版本号,1是次版本号
42 2 MinorOperatingSystemVersion 主系统的次版本号
44 2 MajorImageVersion 镜像的主版本号
46 2 MinorImageVersion 镜像的次版本号
48 2 MajorSubsystemVersion 子系统的主版本号
50 2 MinorSubsystemVersion 子系统的次版本号
52 2 Win32VersionValue 保留,必须为0
56 4 SizeOfImage 镜像大小 当镜像被加载进内存时的大小,包括所有的文件头。向上舍入为SectionAlignment的倍数。
60 4 SizeOfHeaders 头大小 所有头的总大小,向上舍入为FileAlignment的倍数。可以以此值作为PE文件第一节的文件偏移量。
64 4 CheckSum 校验和 镜像文件的校验和。计算校验和的算法被合并到了Imagehlp.DLL 中。以下程序在加载时被校验以确定其是否合法:所有的驱动程序、任何在引导时被加载的DLL以及加载进关键Windows进程中的DLL。
68 2 Subsystem 子系统类型 运行此镜像所需的子系统。参考后面的“Windows子系统”部分。
70 2 DllCharacteristics DLL标识 参考后面的“DLL特征”部分。
72 4/8 SizeOfStackReserve 堆栈保留大小 最大大小。CPU的堆栈。默认是1MB。
76/80 4/8 SizeOfStackCommit 堆栈提交大小 初始提交的堆栈大小。默认是4KB。
80/88 4/8 SizeOfHeapReserve 堆保留大小 最大大小。编译器分配的。默认是1MB。
84/96 4/8 SizeOfHeapCommit 堆栈交大小 初始提交的局部堆空间大小。默认是4KB。
88/104 4 LoaderFlags 保留,必须为0
92/108 4 NumberOfRvaAndSizes 目录项数目 数据目录项的个数。由于以前发行的Windows NT的原因,它只能为16。

  • Magic:01 0B
  • ?AddressOfEntryPoint:3A 74
  • ?ImageBase:00 40 00 00
  • ?SectionAlignment:1000
  • ?FileAlignment:200
  • ?SizeOfImage:E7 28
  • ?SizeOfHeaders:400

IMAGE_DATA_DIRECTORY

typedef struct _IMAGE_DATA_DIRECTORY 
{

    DWORD   VirtualAddress;     // 数据的相对虚拟地址(RVA)

    DWORD   Size;               // 数据的大小

} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

IMAGE_SECTION_HEADER

typedef struct _IMAGE_SECTION_HEADER 
{
  +0 BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text” 
  //IMAGE_SIZEOF_SHORT_NAME=8
  +8 union
  {
    DWORD PhysicalAddress; // 物理地址
    DWORD VirtualSize; // 真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一
    // 般是取后一个
  } Misc;
  +ch  DWORD VirtualAddress; // 节区的 RVA 地址
  +10h DWORD SizeOfRawData; // 在文件中对齐后的尺寸
  +14h DWORD PointerToRawData; // 在文件中的偏移量
  +18h DWORD PointerToRelocations; // 在OBJ文件中使用,重定位的偏移
  +1ch DWORD PointerToLinenumbers; // 行号表的偏移(供调试使用地)
  +1eh WORD NumberOfRelocations; // 在OBJ文件中使用,重定位项数目
  +20h WORD NumberOfLinenumbers; // 行号表中行号的数目
  +24h DWORD Characteristics; // 节属性如可读,可写,可执行等
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

 

Name: 区块名。这是一个由8位的ASCII 码名,用来定义区块的名称。多数区块名都习惯性以一个“.”作为开头(例如:.text),这个“.” 实际上是不是必须的。值得我们注意的是,如果区块名超过 8 个字节,则没有最后的终止标志“NULL” 字节。并且前边带有一个“$” 的区块名字会从连接器那里得到特殊的待遇,前边带有“$” 的相同名字的区块在载入时候将会被合并,在合并之后的区块中,他们是按照“$” 后边的字符的字母顺序进行合并的。
另外每个区块的名称都是唯一的,不能有同名的两个区块。但事实上节的名称不代表任何含义,他的存在仅仅是为了正规统一编程的时候方便程序员查看方便而设置的一个标记而已。所以将包含代码的区块命名为“.Data” 或者说将包含数据的区块命名为“.Code” 都是合法的。当我们要从PE 文件中读取需要的区块时候,不能以区块的名称作为定位的标准和依据,正确的方法是按照 IMAGE_OPTIONAL_HEADER32 结构中的数据目录字段结合进行定位。

Virtual Size:该区块表对应的区块的大小,这是区块的数据在没有进行对齐处理前的实际大小。

Virtual Address:该区块装载到内存中的RVA 地址。这个地址是按照内存页来对齐的,因此它的数值总是 SectionAlignment 的值的整数倍。在Microsoft 工具中,第一个快的默认 RVA 总为1000h。在OBJ 中,该字段没有意义地,并被设为0。

SizeOfRawData:该区块在磁盘中所占的大小。在可执行文件中,该字段是已经被FileAlignment 潜规则处理过的长度。

PointerToRawData:该区块在磁盘中的偏移。这个数值是从文件头开始算起的偏移量哦。

PointerToRelocations:这哥们在EXE文件中没有意义,在OBJ 文件中,表示本区块重定位信息的偏移值。(在OBJ 文件中如果不是零,它会指向一个IMAGE_RELOCATION 结构的数组)

PointerToLinenumbers:行号表在文件中的偏移值,文件的调试信息,于我们没用,鸡肋。

NumberOfRelocations:这哥们在EXE文件中也没有意义,在OBJ 文件中,是本区块在重定位表中的重定位数目来着。

NumberOfLinenumbers:该区块在行号表中的行号数目,鸡肋。

Characteristics:该区块的属性。该字段是按位来指出区块的属性(如代码/数据/可读/可写等)的标志。

IMAGE_SCN_CNT_CODE
0x00000020
 

The section contains executable code.

包含代码,常与 0x10000000一起设置。

 

IMAGE_SCN_CNT_INITIALIZED_DATA
0x00000040
 

The section contains initialized data.

该区块包含以初始化的数据。

 

IMAGE_SCN_CNT_UNINITIALIZED_DATA
0x00000080
 

The section contains uninitialized data.

该区块包含未初始化的数据。

 

IMAGE_SCN_MEM_DISCARDABLE
0x02000000

The section can be discarded as needed.
该区块可被丢弃,因为当它一旦被装入后,
进程就不在需要它了,典型的如重定位区块。

IMAGE_SCN_MEM_SHARED
0x10000000
The section can be shared in memory.
该区块为共享区块。

IMAGE_SCN_MEM_EXECUTE
0x20000000

The section can be executed as code.
该区块可以执行。通常当0x00000020被设置
时候,该标志也被设置。

IMAGE_SCN_MEM_READ
0x40000000

The section can be read.
该区块可读,可执行文件中的区块总是设置该
标志。

IMAGE_SCN_MEM_WRITE
0x80000000
The section can be written to.
该区块可写。

每个节一共有40个字节,这个程序有7个节,所以一共有280个字节。

用程序解析代码(C/C++):

// PE.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <iostream>
using namespace std;

int main(int argc, char *argv[])
{
    //定义变量
    IMAGE_DOS_HEADER            DosHeader;
    IMAGE_NT_HEADERS            NtHeader;
    IMAGE_SECTION_HEADER        SecHeader;

    HANDLE                        hFile;
    LPWSTR                        FileName;
    DWORD Dwsize;

    FileName = L"test.exe";
    int OffsetSection = 0, NumSection = 0;
    int i = 0, j = 0;
    int Offset = 0;
    int Num = 0;


    //以系统自带的CMD程序为例进行说明
    
    if ((hFile = CreateFile(FileName, GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL)) == INVALID_HANDLE_VALUE)
    {
        cout << "INVALID_HANDLE_VALUE";
        return 0;
    }

    //SetFilePointer()
    SetFilePointer(hFile, 0, 0, FILE_BEGIN);

    //ReadFile()
    ReadFile(hFile, &DosHeader, sizeof(DosHeader), &Dwsize, NULL);

    if (DosHeader.e_magic != IMAGE_DOS_SIGNATURE)
    {
        cout << "没有DOS头" << endl;
        CloseHandle(hFile);
        return 0;
    }
    else
    {
        cout << "有DOS头" << endl;
    }

    SetFilePointer(hFile, DosHeader.e_lfanew, 0, FILE_BEGIN);

    ReadFile(hFile, &NtHeader, sizeof(NtHeader), &Dwsize, NULL);

    if (NtHeader.Signature != IMAGE_NT_SIGNATURE)
    {
        cout << "没有PE头" << endl;
        CloseHandle(hFile);
    }


    else
    {
        cout << "PE有效" << endl;
        cout << "IMAGE_FILE_HEADER" << endl;
        cout << "Machine:" << hex << NtHeader.FileHeader.Machine << endl;
        cout << "NumberOfSections:" << hex << NtHeader.FileHeader.NumberOfSections << endl;
        cout << "SizeOfOptionalHeader:" << hex << NtHeader.FileHeader.SizeOfOptionalHeader << endl;
        cout << endl;
        cout << "IMAGE_OPTIONAL_HEADER" << endl;
        cout << "AddresssOfEntryPoint:" << hex << NtHeader.OptionalHeader.AddressOfEntryPoint << endl;
        cout << "ImageBase:" << hex << NtHeader.OptionalHeader.ImageBase << endl;
        cout << "SectionAlignment:" << hex << NtHeader.OptionalHeader.SectionAlignment << endl;
        cout << "FileAlignment:" << hex << NtHeader.OptionalHeader.FileAlignment << endl;
        cout << "SizeOfImage:" << hex << NtHeader.OptionalHeader.SizeOfImage << endl;
        cout << "NumberOfHeaders:" << hex << NtHeader.OptionalHeader.SizeOfHeaders << endl;
        cout << endl;
        cout << "IMAGE_DESCRITOR结构数组的RVA地址" << endl;
        cout << "IMAGE_IMPORT_DESCRIPTOR的 RVA:" << hex << NtHeader.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress << endl;

    }


    ////采用IMAGE_DOS_HEADER.e_lfanew+sizeof(IMAGE_NT_SIGNATURE)+sizeof(IMAGE_FILE_HEADER)+sizeof(IMAGE_OPTIONAL_HEADER)的算法
    //NumSection = NtHeader.FileHeader.NumberOfSections;
    //OffsetSection = DosHeader.e_lfanew + 0x18 + sizeof(IMAGE_OPTIONAL_HEADER);
    //for (i = 0; i < NumSection; i++)
    //{
    //    SetFilePointer(hFile, OffsetSection + sizeof(IMAGE_SECTION_HEADER)*i, 0, NULL);
    //    ReadFile(hFile, &SecHeader, sizeof(IMAGE_SECTION_HEADER), &Dwsize, NULL);
    //    for (j = 0; j < 8; j++)
    //    {
    //        //输出每一个节头
    //        cout << SecHeader.Name[j];
    //    }
    //    cout << endl;
    //    //输出每一个节的信息
    //    cout << "PointToRawOfData:" << hex << SecHeader.PointerToRawData << endl;
    //    cout << "VirtualAddress:" << hex << SecHeader.VirtualAddress << endl;
    //    //输出第一个节的节偏移并计算IMAGE_IMPORT_DESCRIPTOR结构数组的物理偏移
    //    if (i == 0)
    //    {
    //        //offset=va-ImageBase-节偏移
    //        cout << ".text段的节偏移:" << hex << SecHeader.VirtualAddress - SecHeader.PointerToRawData << endl;
    //        cout << "IMAGE_IMPORT_DESCRIPTOR的物理偏 移:" << NtHeader.OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress - (SecHeader.VirtualAddress - SecHeader.PointerToRawData) << endl;
    //    }
    //}


    CloseHandle(hFile);

    system("pause");
    return 0;

}

转载请注明:即刻安全 » PE结构学习01-DOS头-NT头-节表头

您必须 登录 才能发表评论!

网友最新评论 (1)



合作伙伴