PE文件格式分析系列(文章3)----一个PE文件rdata段的分析(Win32工程Release版)(二)

最新推荐文章于 2022-10-08 00:49:06 发布
原创 最新推荐文章于 2022-10-08 00:49:06 发布 · 3.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#microsoft #initialization #c #thread #domain #library

本文深入分析了一个Win32 Release版PE文件的rdata段,探讨了其中包含的VC++运行时错误信息如R6028等的含义和用途。这些错误信息在代码段中未直接引用,而是通过全局变量rterrs间接使用,rterrs存储在data段而非rdata段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PE文件格式分析系列(文章3)

一个PE文件rdata段的分析(Win32工程Release版)(二)

下面分析这个PE文件rdata段的常量数据(000050A4---0000543D)
000050A0 |                         00 00 00 00 |     .... |
000050A8 | FF FF FF FF 27 11 40 00 |     '.@. | 这像一个地址00401127
000050B0 | 3B 11 40 00 5F 5F 47 4C | ;.@.__GL | 0040113B 也是
000050B8 | 4F 42 41 4C 5F 48 45 41 | OBAL_HEA | 一段字符
......
000050E0 | 00 00 00 00 72 75 6E 74 | ....runt | 运行时错误?
000050E8 | 69 6D 65 20 65 72 72 6F | ime erro |
000050F0 | 72 20 00 00 0D 0A 00 00 | r ...... |
......
00005128 | 52 36 30 32 38 0D 0A 2D | R6028..- | 好像是错误码
00005130 | 20 75 6E 61 62 6C 65 20 |  unable  | 不能初始化heap?
00005138 | 74 6F 20 69 6E 69 74 69 | to initi |
00005140 | 61 6C 69 7A 65 20 68 65 | alize he |
00005148 | 61 70 0D 0A 00 00 00 00 | ap...... |
00005150 | 52 36 30 32 37 0D 0A 2D | R6027..- |
00005158 | 20 6E 6F 74 20 65 6E 6F |  not eno |
00005160 | 75 67 68 20 73 70 61 63 | ugh spac |
00005168 | 65 20 66 6F 72 20 6C 6F | e for lo |
00005170 | 77 69 6F 20 69 6E 69 74 | wio init |
00005178 | 69 61 6C 69 7A 61 74 69 | ializati |
00005180 | 6F 6E 0D 0A 00 00 00 00 | on...... |
00005188 | 52 36 30 32 36 0D 0A 2D | R6026..- |
00005190 | 20 6E 6F 74 20 65 6E 6F |  not eno |
00005198 | 75 67 68 20 73 70 61 63 | ugh spac |
000051A0 | 65 20 66 6F 72 20 73 74 | e for st |
000051A8 | 64 69 6F 20 69 6E 69 74 | dio init |
000051B0 | 69 61 6C 69 7A 61 74 69 | ializati |
000051B8 | 6F 6E 0D 0A 00 00 00 00 | on...... |
000051C0 | 52 36 30 32 35 0D 0A 2D | R6025..- |
000051C8 | 20 70 75 72 65 20 76 69 |  pure vi |
000051D0 | 72 74 75 61 6C 20 66 75 | rtual fu |
000051D8 | 6E 63 74 69 6F 6E 20 63 | nction c |
000051E0 | 61 6C 6C 0D 0A 00 00 00 | all..... |
000051E8 | 52 36 30 32 34 0D 0A 2D | R6024..- |
...
00005370 | 4D 69 63 72 6F 73 6F 66 | Microsof | 哈哈, 这个很熟悉哦
00005378 | 74 20 56 69 73 75 61 6C | t Visual |
00005380 | 20 43 2B 2B 20 52 75 6E |  C++ Run |
00005388 | 74 69 6D 65 20 4C 69 62 | time Lib |
00005390 | 72 61 72 79 00 00 00 00 | rary.... |
...
000053E0 | 65 50 6F 70 75 70 00 00 | ePopup.. |
000053E8 | 47 65 74 41 63 74 69 76 | GetActiv |
000053F0 | 65 57 69 6E 64 6F 77 00 | eWindow. |
000053F8 | 4D 65 73 73 61 67 65 42 | MessageB |
00005400 | 6F 78 41 00 75 73 65 72 | oxA.user | 怎么也有user32.dll?
00005408 | 33 32 2E 64 6C 6C 00 00 | 32.dll.. |
...
00005428 | 22 3F 40 00 26 3F 40 00 |
00005430 | FF FF FF FF A6 40 40 00 |
00005438 | AA 40 40 00             |

分析过程如下:
OD反汇编了一下代码段, 看到一些指令
00401055  |.  68 A8504000   PUSH OFFSET 004050A8  ; FF FF FF FF
00401B0B  |.  68 B4504000   PUSH OFFSET 004050B4  ; |Arg1 = ASCII "__GLOBAL_HEAP_SELECTED"
00401ACC  |.  68 CC504000   PUSH OFFSET 004050CC  ; |Name = "__MSVCRT_HEAP_SELECT"
00401F46  |.  68 70534000   PUSH OFFSET 00405370  ; ASCII "Microsoft Visual C++ Runtime Library"
00401F1E  |.  68 98534000   PUSH OFFSET 00405398     ; ASCII ""
00401F00  |.  68 9C534000   PUSH OFFSET 0040539C     ; ASCII "Runtime Error! Program: "
00401EEC  |.  68 B8534000   PUSH OFFSET 004053B8     ; ASCII "..."
00401EAA  |.  68 BC534000   PUSH OFFSET 004053BC     ; ASCII "<program name unknown>"
00403C11  |.  68 D4534000   PUSH OFFSET 004053D4      ; /Procname = "GetLastActivePopup"
00403C09  |.  68 E8534000   PUSH OFFSET 004053E8     ; /Procname = "GetActiveWindow"
00403BF8  |.  68 F8534000   PUSH OFFSET 004053F8      ; /Procname = "MessageBoxA"
00403BE1  |.  68 04544000   PUSH OFFSET 00405404     ; /FileName = "user32.dll"
00403DB5  |.  68 10544000   PUSH OFFSET 00405410     ; |Src
00403D94  |.  68 14544000   PUSH OFFSET 00405414      ; |Src = ""
00403D63  |.  68 18544000   PUSH OFFSET 00405418
00403FB2  |.  68 30544000   PUSH OFFSET 00405430

看到了吗? 看看PUSH后面的地址, 就是对应了rdata段的位置的地址, 对应了响应的字符.
但是找不到 R6028, R6027, R6026, ...在哪里有使用.


00005128 | 52 36 30 32 38 0D 0A 2D | R6028..- | 好像是错误码
00005130 | 20 75 6E 61 62 6C 65 20 |  unable  | 不能初始化heap?
00005138 | 74 6F 20 69 6E 69 74 69 | to initi |
00005140 | 61 6C 69 7A 65 20 68 65 | alize he |
00005148 | 61 70 0D 0A 00 00 00 00 | ap...... |

其实这个Win32工程就只是一个只有WinMain函数的工程, 为什么会有这么多其他的东西的呢?
很明显, 这些字符常量是VC帮我们加的, WinMain函数并不是PE的入口点.

在VC的安装目录C:\Program Files\Microsoft Visual Studio\VC98\CRT\SRC
搜索"<program name unknown>", 找到了对应的代码在文件CRT0MSG.C中:
void __cdecl _NMSG_WRITE (int rterrnum)
{
        int tblindx;
        DWORD byte

最低0.47元/天 解锁文章

200万优质内容无限畅学
PE文件格式分析系列(文章2)----一个PE文件rdata分析(Win32工程Release)()
cay22的专栏
06-23 4656
PE文件格式分析系列(文章2) 一个PE文件rdata分析(Win32工程Release)()分析MFC工程调试PE文件时, 导入表在idata 而这个Win32工程ReleasePE文件, 导入表在rdata, 并且rdata不仅包含导入表信息, 还包含了一些常量, 例如一些字符串信息等. 下面先分析idata. IMAGE_DIRECTORY_ENT
PE文件格式之MS-DOS头,PE文件头,区块
The Road Of Sec
12-03 2638
PE文件格式之MS-DOS头,PE文件头,RVA,VA,虚拟地址,PE文件格式
PE文件格式详细解析()
weixin_47754894的博客
11-02 2011
3.PE文件的结构 3.2 NT头 由一个IMAGE_NT_HEADERS结构组成,该结构中包含了PE文件被载入内存时需要用到的重要域。通过DOS header中的e_lfanew,可以直接定位到真正的PE Header部分。该结构体的大小为0xf8字节。 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //PE签名 IMAGE_FILE_HEADER FileHeader; //PE头 IMAGE_OPTIONA
PE文件格式详解()
08-04 1107
预定义   一个Windows NT的应用程序典型地拥有9个预定义,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些,同样还有一些应用程序为了自己特殊的需要而定义了更多的。这种做法与MS-DOS和Windows 3.1中的代码和数据相似。事实上,应用程序定义一个独特的的方法是使用标
修改PE文件.rdata属性, 使常量区可写
谢绝(无视)留言与私信
11-13 3415
构造一点错误代码,向字符串存储的常量区(.rdata)写数据,使OS报0xC0000005错误. /// @file exam_test.cpp /// @brief 修改PE文件.rdata属性, 使常量区可写 #include #include #include void fnTest(); int main() { fnTest(); return 0; } vo
PE文件格式讲解
qq_43082315的博客
10-08 453
PE文件格式--各个节存储的数据类型
自研PE文件分析器:VC6 Win32与VS2008 MFC
PE文件分析器是一种专门用于分析Windows操作系统中的可执行文件PE,Portable Executable)的工具。PE文件格式是微软为其Windows平台上的应用程序定义的一种标准文件格式,用于规范可执行文件(.exe)、动态链接库...
新手入门PE文件格式win32程序解析
博客文章提供了通过实例讲解PE文件格式的途径,给出了一个具体的路径让初学者了解PE结构和格式。博客的地址提供了进一步阅读的资源,链接为:http://blog.youkuaiyun.com/stgsd/archive/2008/01/18/2051183.aspx。 ### ...
Windows PE文件各个节(Section)分析
fw72fw72的博客
03-30 3955
PE(Portable Executable),即可移植的执行体。PE文件通常包括以下节(Section).textbss/BSS,text/CODE,.rdata,.data,.idata,.edata,.rsrc,.reloc
RData数据读取和写入分析
热门推荐
zjguilai的博客
06-27 6万+
首先指定 load结果为一个对象 然后此对象的值 即为 str的 数据表名 然后使用 eval(parse(text = l)) 两个函数 将字符串 转可执行对象 即可完成重新赋值 l <- load(“D:\work\task\task_data\02_12306\get_inflection_point\data_ip_pv.Rdata) head(l) [1] “data_ip_...
C++的global data的位置 及PE 文件中的section的内容
guilanl的专栏
07-14 1285
1. 情况一: int a = 5; a 在.data section 里面 2. 情况: const int a = 5; a 在 .rdata section里面 扩展: 一般C语言的编译后执行语句都编译成机器代码,保存在.text。 已初始化的全局变量和局部静态变量都保存在. data 未初始化的全局变量一般放在一个叫.“bss”的
PE 文件:.text .data .idata .rdata
LYSM
07-22 9285
通常,一个 PE 文件中有 4 个区: .text:(代码),可读、可执行 .data:(数据),存放全局变量、全局常量等 .idata:(数据),导入函数的代码,存放外部函数地址。(当然还有 edata ,导出函数代码,但不常用) .rdata:(数据),资源数据,程序用到什么资源数据都在这里(包括自己打包的,还有开发工具打包的) ...
AndroidStudio错误:error:Unexpected lock protocol found in lock file. Expected 3, found 0.
可乐止饱
06-01 8771
在app/build.gradle中添加换行或空格,然后等它自动重新构建,或者手动构建
C Knowledge
billylu的专栏
10-10 4130
@C Programming Topics:C declarations^Complex C Declarations int i; i as an int int *i; i as a pointer to an int int **i; i is a pointer to a pointer to an int int *(*i)(); i is a
多线程 LOCK对象同步解决死锁
计忆芳华的博客
06-30 606
与synchronized类似的,lock也能够达到同步的效果,在说LOCK对象时,先来说一下synchronized 同步的方式。 synchronized 同步的方式 首先说一下synchronized 同步对象的方式 当一个线程占用 synchronized 同步对象,其他线程就不能占用了,直到释放这个同步对象为止 package multiplethread; import java.text.SimpleDateFormat; import java.util.Date; public cl.
Android Studio编译错误:Unexpected lock protocol found in lock file. Expected 3, found 0.
weixin_30448685的博客
05-26 743
如果不小心手动修改了.gradle文件夹中的内容,那么再打开之前编译成功的工程时,会出现类似下面的错误: Gradle app neame project refresh failed: Unexpected lock protocol found in lock file. Expected 3, found 0. Gradle settings 看到这个瞬间头大了,不知道...
解决Unexpected lock protocol found in lock file.
谢伟光的博客
01-09 4375
删除项目根目录下的.gradle文件,我删的时候发现有2个本的文件,导致的冲突  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值