PE结构-3

最新推荐文章于 2023-05-20 11:14:44 发布
最新推荐文章于 2023-05-20 11:14:44 发布
阅读量485 收藏
点赞数 1
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ga4ra/article/details/94759537
版权

PE结构-3

文章目录

9. TLS

数据目录表索引:#define IMAGE_DIRECTORY_ENTRY_TLS 9,我查看了一下位于rdata段,不知道是不是固定的。

  • 为了解决多线程变量同步问题
  • 声明为TLS变量后,当线程去访问这个全局变量是,会将这个变量拷贝到自己线程中的TLS空间中。线程只能修改自己的空间tls变量,不会修改到全局变量
  • TLS经常会用于反调试,抢占式执行。
__declspec (thread) int g_nNum;

正常用法:定义一个线程内的全局数据,回调函数做初始化工作。

非正常用法:安全上,将反调试代码写在回调函数里。抢占执行等。

另外,还可以提高壳的兼容性。

typedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData;
    DWORD   EndAddressOfRawData;
    DWORD   AddressOfIndex;             // PDWORD
    DWORD   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
    DWORD   SizeOfZeroFill;
    union {
        DWORD Characteristics;
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

} IMAGE_TLS_DIRECTORY32;
  • StartAddressOfRawData:数据起始位置,在TLS节;
  • EndAddressOfRawData:数据结束位置,在TLS节;
  • AddressOfCallBacks:回调函数地址表位置,在rdata节。

数据起始位置和结束位置中间是TLS数据初始值。

回调函数触发事件:

  • DLL_PROCESS_ATTACH 1
  • DLL_THREAD_ATTACH 2
  • DLL_THREAD_DETACH 3
  • DLL_PROCESS_DETACH 0

注册TLS回调函数,".CRT$XLB"的含义是:

  • CRT表明使用C RunTime机制
  • X表示标识名随机
  • L表示TLS callback section
  • B其实也可以为B-Y的任意一个字母

TLS回调函数在.text段中,但回调函数地址保存在.tls段。

#include<iostream>
#include<windows.h>
#pragma comment(linker, "/INCLUDE:__tls_used")

__declspec (thread) int g_nNum = 0xdeadbeef;
__declspec (thread) char g_szStr[] = "TLS g_nNum : 0x%x at 0x%p ... \n";

void NTAPI tTlsCallBack_A(PVOID DllHandle, DWORD Reason, PVOID red)
{
	if (DLL_THREAD_DETACH == Reason) // 如果线程退出则打印信息
		printf("tTlsCallBack_A -> ThreadDetach!\r\n");
	return;
}

void NTAPI tTlsCallBack_B(PVOID DllHandle, DWORD Reason, PVOID red)
{
	if (DLL_THREAD_DETACH == Reason) // 如果线程退出则打印信息
		printf("tTlsCallBack_B -> ThreadDetach!\r\n");
	return;
}

#pragma data_seg(".CRT$XLB")
PIMAGE_TLS_CALLBACK pThreadCallBack[] =
{
	tTlsCallBack_A,
	tTlsCallBack_B,
	NULL
};
#pragma data_seg()

DWORD WINAPI t_ThreadFun(PVOID pParam) {
	printf("t_Thread ->  first printf:");
	printf(g_szStr, g_nNum);

	g_nNum = 0x22222222; // 注意这里
	printf("t_Thread -> second printf:");
	printf(g_szStr, g_nNum);
	return 0;
}


int main()
{
	CreateThread(NULL, 0, t_ThreadFun, NULL, 0, 0);
	Sleep(100);
	printf("\n");
	CreateThread(NULL, 0, t_ThreadFun, NULL, 0, 0);
	system("pause");
	return 0;
}

10. 异常

PE文件的异常目录位于.pdata区段,数据目录中的IMAGE_DIRECTORY_ENTRY_EXCEPTION指向此结构。

平台不同,异常结构也不同。x64的异常结构如下:

typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY {
    DWORD BeginAddress;
    DWORD EndAddress;
    union {
        DWORD UnwindInfoAddress;
        DWORD UnwindData;
    } DUMMYUNIONNAME;
} _IMAGE_RUNTIME_FUNCTION_ENTRY, *_PIMAGE_RUNTIME_FUNCTION_ENTRY;

typedef  _IMAGE_RUNTIME_FUNCTION_ENTRY  IMAGE_IA64_RUNTIME_FUNCTION_ENTRY;
typedef _PIMAGE_RUNTIME_FUNCTION_ENTRY PIMAGE_IA64_RUNTIME_FUNCTION_ENTRY;

BeginAddressEndAddress是SEH相关代码的起始和末尾偏移地址,这一部分的代码差异属性由UNWIND_INFO结构描述。

这个结构可以译为展开处理程序(unwind handler)结构,记录函数对堆栈指针的影响以及非易失寄存器在堆栈中的保存位置。

typedef struct _UNWIND_INFO {
    UBYTE Version       : 3;
    UBYTE Flags         : 5;
    UBYTE SizeOfProlog;
    UBYTE CountOfCodes;
    UBYTE FrameRegister : 4;
    UBYTE FrameOffset   : 4;
    UNWIND_CODE UnwindCode[1];
    union {
        OPTIONAL ULONG ExceptionHandler;
        OPTIONAL ULONG FunctionEntry;
    };
    OPTIONAL ULONG ExceptionData[]; 
} UNWIND_INFO, *PUNWIND_INFO;

11. 安全

数据目录的IMAGE_DIRECTORY_ENTRY_SECURITY指向安全目录结构,该结构一般存有映像文件的数字签名。

该结构位于wintrust.h,已经弃用。

//
//
//  support for old calling convention: *** DO NOT USE ***
//
#ifdef WT_DEFINE_ALL_APIS

typedef struct _WIN_CERTIFICATE
{
    DWORD       dwLength;
    WORD        wRevision;
    WORD        wCertificateType;   // WIN_CERT_TYPE_xxx
    BYTE        bCertificate[ANYSIZE_ARRAY];

} WIN_CERTIFICATE, *LPWIN_CERTIFICATE;

12. 调试

数据目录表的 IMAGE_DIRECTORY_ENTRY_DEBUG指向调试目录结构,该结构位于.debug区段,主要协助第三方应用调试本程序,如提供调试数据块的位置与大小。

//
// Debug Format
//

typedef struct _IMAGE_DEBUG_DIRECTORY {
    DWORD   Characteristics;
    DWORD   TimeDateStamp;
    WORD    MajorVersion;
    WORD    MinorVersion;
    DWORD   Type;
    DWORD   SizeOfData;
    DWORD   AddressOfRawData;	//RVA in memory, 0 means no mapping
    DWORD   PointerToRawData;
} IMAGE_DEBUG_DIRECTORY, *PIMAGE_DEBUG_DIRECTORY;

//Type
#define IMAGE_DEBUG_TYPE_UNKNOWN          0
#define IMAGE_DEBUG_TYPE_COFF             1
#define IMAGE_DEBUG_TYPE_CODEVIEW         2		//vc++
#define IMAGE_DEBUG_TYPE_FPO              3		//框架指针忽略信息,引导调试器解释非标准框架结构
#define IMAGE_DEBUG_TYPE_MISC             4		//dbg文件位置
#define IMAGE_DEBUG_TYPE_EXCEPTION        5		//copy of .pdata
#define IMAGE_DEBUG_TYPE_FIXUP            6		//保留
#define IMAGE_DEBUG_TYPE_OMAP_TO_SRC      7		//将此映像的RVA映射到源映像的RVA
#define IMAGE_DEBUG_TYPE_OMAP_FROM_SRC    8		//将源映像的RVA映射到此映像的RVA
#define IMAGE_DEBUG_TYPE_BORLAND          9		//为Borland公司保留
#define IMAGE_DEBUG_TYPE_RESERVED10       10	//保留
#define IMAGE_DEBUG_TYPE_CLSID            11
PE结构 - PDF版本.zip
06-13
PE结构允许程序在不同的处理器架构上运行,是Windows平台上的核心组成部分。 PE文件结构分为几个主要部分: 1. **DOS头**:虽然现在大多数程序不再依赖MS-DOS,但为了兼容历史原因,PE文件仍保留了一个简化的DOS头...
编写PE文件解析器(三)
当我在写代码的时候我在写什么
10-24 3089
下面有几个表网上资料比较少,因为几乎用不到,我查文档写写吧,这篇写得比较久很抱歉。 7、IMAGE_DIRECTORY_ENTRY_EXCEPTION【异常处理表】 CPU特定的并且基于表的异常处理。用于除x86之外的其它CPU上。偏移到一个IMAGE_XXX_RUNTIME_FUNCTION_ENTRY数组,根据文件头的Machine来确定结构,64位用IMAGE_IA64_RUNT
PE文件结构详解(三)PE导出表
热门推荐
evil.eagle的专栏
09-30 2万+
上篇文章 PE文件结构详解(二)可执行文件头 的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,这次来看看第一项:导出表。
PE文件解析-异常处理表与数字签名
zhyulo的博客
01-06 2836
一、异常处理表 1.位置及概述     PE文件头可选映像头中数据目录表的第4成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]指向异常处理表,它保存在PE文件中,通常在".pdata"区段。     x86系统采用动态的方式构建SEH结构,相比而言x64系统下采用静态的方式处理SEH结构。 2.异常处...
滴水三期:day34.2-数据目录
Edimade的博客
05-04 1056
一、数据目录概述>二、作业(1.编程输出全部目录项)
PE文件结构—Data Diretoris,Sections,Section Header
最新发布
QXinHan的博客
05-20 721
今天将具体学习一下数据目录表和区域表的相关内容,这两部分中有很多内容在文件被执行时起关键作用。下面我们将具体分析一下数据目录表和区域表。
PE结构->【输入表】工具包
06-21
这个“PE结构->【输入表】工具包”显然聚焦于理解并操作PE文件中的“输入表”(Import Table)。输入表是PE文件中一个至关重要的部分,它记录了程序需要依赖哪些外部函数,这些函数通常来自其他的DLL文件。 输入表...
PE文件结构详解--(完整版).pdf
03-08
PE文件是portable File ...了解PE文件格式有助于加深对操作系统的理解,掌握可执行文件的数据结构机器运行机制,对于逆向破解,加壳等安全方面方面的同学极其重要。接下来我将通过接下来几篇详细介绍PE文件的格式。
PE结构->【导出表】工具包
06-22
PE(Portable Executable)结构是Windows操作系统中可执行文件的标准格式。它包含了代码、数据以及运行程序所需的元数据。在PE文件中,导出表是一个非常重要的组成部分,它定义了该文件可以提供给其他模块调用的函数...
A3PE3000-FG484I
01-31
7. 高性能路由层次结构:包括分段、分层的路由和时钟结构,超快速局部和长距离线路网络,增强的高速、非常长线路网络,以及高性能、低偏斜的全局网络。这些架构有助于实现超高利用率。 8. I/O功能:支持多达620个...
浅谈程序的数字签名
深耕安全技术研究
08-25 2605
数字签名原理解析
PE文件解析-全局指针表与线程局部存储(TLS)
zhyulo的博客
01-06 1120
一、全局指针表     PE文件头可选映像头中数据目录表的第9成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_GLOBALPTR]指向全局指针。     在x86与x64系列平台没有使用全局指针表,目前只应用于MIPS等平台上,多用于参数传递。 二、线程局部存储(TLS) 1.位置与简介     PE文件头可选映像头中...
PE文件结构及其加载机制
vbsourcecode的专栏
11-01 1981
PE文件结构及其加载机制(一) 一、PE文件结构 PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文
PEPE文件结构学习
dr0op's blog
03-31 1513
PEPE文件结构学习PE文件内存对齐文件对齐PE结构分析DOS头结构PE头文件区块表输入表输出表:基址重定位表: PE文件 内存对齐 PE文件包括: DLL,EXE,OCX,SYS等。 Windows加载器遍历PE文件并将其复制到内存镜像。PE文件结构在磁盘中和内存中基本是一样的,但又不是完全复制,对齐方式有所不同。 如图:在Windows系统中,一个节在内存中对齐单位是一个页的大小。 对于32位操作系统来说,这个值是4KB(1000H) 对于64位系统来说,这个值是8KB(2000H) 文件
计算机程序编译过程,程序编译过程
weixin_33048525的博客
07-14 401
相对虚拟地址在可执行文件中,许多地方都需要被指定一个在内存中的地址。例如在使用全局变量时需要它的地址。PE文件可以被加载到进程地址空间中的任何地方。虽然它有一个首选地址,但你却不能依赖可执行文件一定会被加载到那个地址。因此就需要按一定方式指定地址,使它们并不依赖于可执行文件的加载地址。为了避免在PE文件中硬编码内存地址,因此就使用了RVA。RVA只是一个相对于PE文件在内存中的加载位置的偏移。例如...
深入探究 Win32 PE 文件格式,第二部分
sqcfj的专栏
11-09 2713
深入探究 Win32 PE 文件格式,第二部分<br />Matt Pietrek<br />这篇文章假定你熟悉 C++ 和 Win32。<br />概述 Win32 可移植可执行(PE)文件格式被设计为可在所有版本的操作系统、所有受支持的处理器上都可使用的标准可执行文件格式。自从它被引入以来,PE 格式经历过一些大的变化,特别是 64 位 Windows 的出现。这篇文章的第一部分介绍了 RVA、数据目录和文件头。在第二部分将探究可执行文件中的各种节。包括导出节、导出转送、绑定和延迟加载。还包括调试目录、
PE文件解析-调试、版权与.NET信息(COM表)
zhyulo的博客
01-06 3024
一、映像调试信息     PE文件头可选映像头中数据目录表的第7成员IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_DIRECTORY_ENTRY_DEBUG]指向映像调试信息,它保存在PE文件中,通常在".debug"区段。   映像调试信息是一个IMAGE_DEBUG_DIRECTORY结构体数组,该结构体定义如下: typedef struct _I...
C++PE文件格式解析类(轻松制作自己的PE文件解析器)
paschen的专栏
02-06 8849
用C++封装了可以轻松高效获取PE文件中各信息的类,该类有较高可读性,同时具有一定的通用性,适合学习,也适合轻松实现自己的PE文件信息查看软件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值