PE文件格式分析系列(文章2)----一个PE文件rdata段的分析(Win32工程Release版)(一)

最新推荐文章于 2022-10-08 00:49:06 发布
原创 最新推荐文章于 2022-10-08 00:49:06 发布 · 4.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#import #descriptor #image #mfc #c #user

本文详细分析了一个Win32工程Release版的PE文件,指出其导入表位于.rdata段,不仅包含导入表信息,还有常量如字符串。文中列举了使用的两个DLL(USER32.dll和KERNEL32.dll),并展示了IAT、Import数据目录和IMAGE_IMPORT_DESCRIPTOR结构。此外,还提到了.rdata段的数据排列顺序以及与MFC工程调试版PE文件的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件格式分析系列(文章2)

一个PE文件rdata段的分析(Win32工程Release版)(一)

在分析MFC工程调试版的PE文件时, 导入表在idata段
而这个Win32工程Release版的PE文件, 导入表在rdata段, 并且rdata段不仅包含导入表信息,
还包含了一些常量, 例如一些字符串信息等. 下面先分析idata段.


IMAGE_DIRECTORY_ENTRY_IMPORT  (01 VirtualAddress:0x0000543C; Size:0x0000003C).rdata
OriginalFirstThunk       Name               FirstThunk    Count   StrName
0x00005514                 0x0000552A    0x0000509C  1          USER32.dll
0x00005478                 0x000057D0    0x00005000   38       KERNEL32.dll

一. 该PE文件使用了2个DLL
分别是:
1. USER32.dll
2. KERNEL32.dll

第2个段 .rdata 0x7DE(内存中实际数据大小)  0x5000(文件中位置) 0x1000(文件对齐大小)
也就是说.rdata 段在0x5000---0x6000(0x5000---0x57DE是有用数据)

Import 数据目录 RVA:543C  Size:3C
IAT 数据目录    RVA:5000  Size:A4

这次与MFC工程调试版的PE文件不同, IAT放在前面
明显看到
这是KERNEL32.dll的IAT(0x26 + 1个)
00005000 | BA 56

最低0.47元/天 解锁文章

200万优质内容无限畅学
PE文件格式分析系列(文章3)----一个PE文件rdata分析(Win32工程Release)()
cay22的专栏
06-23 3509
PE文件格式分析系列(文章3) 一个PE文件rdata分析(Win32工程Release)() 下面分析这个PE文件rdata的常量数据(000050A4---0000543D) 000050A0 |                         00 00 00 00 |     .... | 000050A8 | FF FF FF FF 27 11 40 00 |
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2638
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
PE文件解析--导入函数节.rdata
凌阳的博客
06-08 3092
讲导入函数节,就必须介绍下Datadirectory:Datadirectory放在可选文件头optional_header里面,有16个项,每项8字节,里面存放的是每个导入函数节,导出函数节等节的信息。可选文件头optional_header: 例如:14 20 00 00 3c 00 00 00前4位:代表该节的RVA,14 20 00 00RVA=0002014后4位:代表该节的大小,0x0000003c=60下面按rdata中存放的顺序介绍,注意此表中的地址是文件地址:其RVA(内存)=0x000
获取PE文件的区
十年磨一剑,霜刃未曾试!
05-08 4115
 //清空列表控件 m_ListCtrlSection.DeleteAllItems()IMAGE_DOS_HEADER DosHeader = {0}; IMAGE_FILE_HEADER FileHeader = {0}; HANDLE  hFile = INVALID_HANDLE_VALUE; DWORD  dwReadLen = 0; WORD  NumOfSec = 0; //区表个数 IMAGE_SECTION_HEADER *pSecHeader = NULL; //打开文件 hFil
PE】修改PE .rdata 区块属性 修改程序中只读内存
GoingJack博客
04-15 1016
前言 Windows下在C语言编程中我们常常关于字符串的操作一个很简单的代码如图所示。 参考 《加密于解密》第十章内容 int main() { char* str = "helloworld"; str[2] = 'a'; printf("%s\n", str); getchar(); return 0; } 我们编译运行程序得到下面的错误: 这是因为str字符串所指向的数据是位于 PE文件中的.rdata区块的数据。此区块的数据的默认属性为 这个这个程序编
data section .data/.rdata of PE file(.sys)
rayn2012的专栏
03-13 1714
转自http://blog.csdn.net/zoudaokou2006/article/details/5698343 Name Description .text The default code section. .data The default read/write data
自研PE文件分析器:VC6 Win32与VS2008 MFC
PE文件分析器是种专门用于分析Windows操作系统中的可执行文件PE,Portable Executable)的工具。PE文件格式是微软为其Windows平台上的应用程序定义的种标准文件格式,用于规范可执行文件.exe)、动态链接库...
新手入门PE文件格式win32程序解析
博客文章提供了通过实例讲解PE文件格式的途径,给出了一个具体的路径让初学者了解PE结构和格式。博客的地址提供了进步阅读的资源,链接为:http://blog.csdn.net/stgsd/archive/2008/01/18/2051183.aspx。 ### ...
PE文件格式详细解析()
weixin_47754894的博客
11-02 2012
3.PE文件的结构 3.2 NT头 由一个IMAGE_NT_HEADERS结构组成,该结构中包含了PE文件被载入内存时需要用到的重要域。通过DOS header中的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE签名 IMAGE_FILE_HEADER FileHeader; //PEIMAGE_OPTIONA
逆向工程核心原理——PE文件格式分析
weixin_46601374的博客
11-19 2342
什么是PE文件PE文件的全称是Portable Executable,意为可移植的可执行的文件 PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)种扩展形式(请注意不是PE64)。 常见种类 种 类 主扩展名 种 类 主扩展名 可执行系列 EXE、SCR 驱动程序系列
PE文件格式讲解
qq_43082315的博客
10-08 453
PE文件格式--各个节存储的数据类型
【恶意代码与软件安全分析】(PE——可执行文件
cwllll的博客
04-23 1903
【恶意代码与软件安全】课程与实验
修改PE文件.rdata属性, 使常量区可写
谢绝(无视)留言与私信
11-13 3415
构造点错误代码,向字符串存储的常量区(.rdata)写数据,使OS报0xC0000005错误. /// @file exam_test.cpp /// @brief 修改PE文件.rdata属性, 使常量区可写 #include #include #include void fnTest(); int main() { fnTest(); return 0; } vo
PE 文件.text .data .idata .rdata
墨鱼菜鸡
07-22 472
通常,一个 PE 文件中有 4 个区.text:(代码),可读、可执行 .data:(数据),存放全局变量、全局常量等 .idata:(数据),导入函数的代码,存放外部函数地址。(当然还有 edata ,导...
text,data,bss,堆和栈
似水流年的专栏
08-16 1249
转自:https://blog.51cto.com/bavies/1341426 一个程序般分为3:text,data,bss text:就是放程序代码的,编译时确定,只读。更进步讲是存放处理器的机器指令,当各个源文件单独编译之后生成目标文件,经连接器链接各个目标文件并解决各个源文件之间函数的引用,与此同时,还得将所有目标文件中的.text合在起,但不是简单的将它们“堆...
浅谈PE文件结构(四)
weixin_43137410的博客
07-02 1620
完结啦!撒花!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值