关于ImageRvaToVa与SEC_IMAGE的一些东东

ImageRvaToVa与SEC_IMAGE:解析与冲突
最新推荐文章于 2021-11-30 18:50:42 发布
原创 最新推荐文章于 2021-11-30 18:50:42 发布 · 4.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#image #c #null #微软 #编程

本文探讨了在编程中使用ImageRvaToVa函数时与SEC_IMAGE标志可能出现的冲突问题。SEC_IMAGE标志用于映射文件映像并设置页面保护属性。作者在构建PE加载器过程中发现,此函数的实现细节导致了与该标志的不兼容,尤其是当尝试通过内存节偏移(mRVA)进行计算时,发现PE文件没有直接提供mRVA的字段。
hMapping=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0,0,NULL);

第三个参数或上了SEC_IMAGE,指定该属性相当于告诉系统要映射文件的映像并给页面设置相应的保护属性,具体见核心编程P456。我在写PE加载器的时候发现该参数与ImageRvaToVa函数有冲突!!!!具体ImageRvaToVa是怎么实现的微软没公开,大体逆了一下

76C67554 > 8BFF mov edi, edi
76C67556 55 push ebp
76C67557 8BEC mov ebp, esp
76C67559 56 push esi ;保存ESI
76C6755A 8B75 14 mov esi, dword ptr [ebp+14] ;将区段结构指针放入ESI
76C6755D 85F6 test esi, esi ;如果ESI是否为0
76C6755F 57 push edi ;保存EDI
76C67560 8B7D 10 mov edi, dword ptr [ebp+10] ;EDI=要转换值
76C67563 74 16 je short 76C6757B ;ESI为0,直接转换
76C67565 8B0E mov ecx, dword ptr [esi] ;不为空,将结构地址放入ECX
76C67567 85C9 test ecx, ecx ;ECX为空直接转换
76C67569 74 10 je short 76C6757B
76C6756B 8B41 0C mov eax, dword ptr [ecx+C] 
76C6756E 3BF8 cmp edi, eax
76C67570 72 09 jb short 76C6757B
76C67572 8B51 10 mov edx, dword ptr [ecx+10]
76C67575 03D0 add edx, eax
76C67577 3BFA cmp edi, edx
76C67579 72 0E jb short 76C67589
76C6757B 57 push edi ;要转换值
76C6757C FF75 0C push
最低0.47元/天 解锁文章
webid、sec_poison_id、a1、web_session参数分析算法实现
吴秋霖的博客
06-22 3136
最新且最全的webid、sec_poison_id、a1、web_session参数分析算法实现
sec_case_sensitive_logon
Du.的博客
04-04 2080
1. 背景 一项目现场ogg割接oracle由aix 11.2.0.4到linux 11.2.0.4之后,引发程序连接oracle ORA-01017: invalid username/password; logon denied,但是用户名密码配置割接前后并无改动 经测试,相同的用户名密码,本地sqlplus可以连接,程序无法连接,怀疑是连接工具会自动将密码转为大写/小写, 可以将参数sec_case_sensitive_logon设置为false来避免ORA-01017错 后检查aix原库发现
内存映射修改大文件
weixin_33921089的博客
07-05 1235
概述 本文介绍利用内存映射文件修改大文件:在大文件内存前加入一段数据,若要使用内存映射文件,必须执行下列操作步骤: 创建或打开一个文件内核对象,该对象用于标识磁盘上你想用作内存映射文件的文件; 创建一个文件映射内核对象,告诉系统该文件的大小和你打算如何访问该文件; 让系统将文件映射对象的全部或一部分映射到你的进程地址空间中; 当完成对内存映射文件的使用时,必须执行下面这些步骤将它...
读取PE文件的导入表
weixin_34220963的博客
09-08 491
    在上一篇文章里,我使用一个 TreeList 控件,展示了 PE 文件的内容。在那里可充分了解PE的文件头的信息,但是对 section(备注:常见译文为节,段,块)的一些信息我们还没有涉及。比如全局变量等数据,代码,资源,导入表等信息都位于相应的 section 中,有些 section 通常具有特定的名字,例如资源通常位于 .rsrc,代码通常位于 .text,导入表通常位于 .ida...
全面介绍Windows内存管理机制及C++内存分配实例
zhujunwsk的专栏
09-08 3077
(一):进程空间   本文背景: 在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。 本文目的: 对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。 1.      进程地址空间 1.1地址空间 ·        32|
使用VC++6.0实现查看dll导出函数名的C++源代码
02-07
HMODULE hModule=::LoadLibrary("DbgHelp.dll"); if(hModule==NULL) return; PFNEXPORTFUNC ImageRvaToVax=NULL; ImageRvaToVax=(PFNEXPORTFUNC)::GetProcAddress(hModule,"ImageRvaToVa"); if(ImageRvaToVax==NULL) { UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile); ::FreeLibrary(hModule); MessageBox("取得函数失败\n"); return ; } ::FreeLibrary(hModule); UnmapViewOfFile(mod_base); CloseHandle(hFileMap); CloseHandle(hFile);
火狐新版本安装后安装了burpsuite仍无法拦包问题解决(页面提示SEC_ERROR_UNKNOWN_ISSUER)
我的博客
12-26 8591
火狐新版本安装后安装了burpsuite仍无法拦包问题解决(页面提示SEC_ERROR_UNKNOWN_ISSUER)前言解决方法后序 前言 当火狐更新后,在新版本使用过程中,如果搭配burpsuite工具想截取https时,有些小伙伴会出现即使导入了证书,也不能截取数据包,甚至在未拦包只开启代理的情况下,页面都无法正常显示,显示了如下错误页面。 此时有可能是由于之前安装过火狐然后卸载不干净的原...
刷机报错 ERROR:STATUS_SEC_IMG_TOO_LARGE(0xC0020005)
热门推荐
sd517125的博客
11-30 1万+
Smart Phone flash tool 刷机 今天在刷机时突然报错ERROR:STATUS_SEC_IMG_TOO_LARGE(0xC0020005) 重启设备时发现此时设备已无法重启,再次刷机时,报错又变为了ERROR:STATUS_BROM_CMD_SEND_DA_FAIL(0xC0060003) 正当觉得设备要挂了时,发现固件包中有一个MTK_AllInOne_DA文件,就想使用这个文件试试,但使用这个文件时又报错了,如图,烦死个人。 于是上网查了LIB DA not match,plea
高通 8917/37 SecueBoot 调试
wangjun7121的专栏
03-06 3870
前言 笔记 流程 cd amss/MSM8917.LA.3.0.1/common/sectools/resources/data_prov_assets/General_Assets/Signing ############################################################ # 密钥相关后缀: # csr: 根据私钥生成的证书 # crt: ...
Ubutu Server - Android Compile
Tesla2010的专栏
09-24 574
Ubuntu  Server 基本配置: Ubuntu server版本地址:http://www.ubuntu.org.cn/download/server/download/ 下载后刻录 安装过程可见视频录像 # 记得选手动配置网络 或者选择不配置 之后再 # 记
QRPROM介绍
makeyourprogress的博客
07-20 6440
QFPROM (Qualcomm Fuse Programmable Read Only Memory)是QFUSE的替代方案,在一个非易失性ROM(non-volatile memory)中存储代表芯片鉴权相关的配置。目前初步了解的情况为,该模块是Secure Boot的一部分,存储的配置为各Image鉴权需要的数字证书及相关属性。QFUSE是Qualcomm FUSE的缩写,FUSE还有一种将
高通Secure boot版本开启dump
u012492340的专栏
11-05 2252
开启 secureboot版本打开debug权限 SDM450.LA.3.2.1/common/sectools/config/sdm450/sdm450_secimage.xml @@ -36,7 +36,7 @@ <msm_part>0x0009A0E1</msm_part> <oem_id>0x0000</oem...
高通平台 efs.img_B的制作方法
嘿v小米的博客
08-16 3846
在Android7.0以后的项目中,制作efs.img的方法如下: 1、添加开关--FEATURE_EFS_ENABLE_FACTORY_IMAGE_SECURITY_HOLE modem_proc/build/ms/cust8976.gen.prodq.h #define FEATURE_EFS_ENABLE_FACTORY_IMAGE_SECURITY_HOLE  2、
Android 源码本地编译脚本 & 编译Android系统
小路塔的博客
09-24 1632
编译系统的方法有很多种,使用Docker 或者是使用jenkins编译,方法千万种.网上有很多的方法,这里就不再说了篇文章主要是针对本地编译. 最近学习了脚本,也尝试写了一个Android系统编译的脚本,重点分析一下脚本,算是对之前学习脚本的一个小小的总结. 1.一套Android源码 2.Ubuntu环境 以及JDK环境 正常本地编译步骤 1.source build/envsetu...
* Exception: L2 */ #define FAL_SEC_EXP_UNKNOWN_L2_PROT 0 #define FAL_SEC_EXP_PPPOE_WRONG_VER_TYPE 1 #define FAL_SEC_EXP_PPPOE_WRONG_CODE 2 #define FAL_SEC_EXP_PPPOE_UNSUPPORTED_PPP_PROT 3 /* Exception: IPv4 */ #define FAL_SEC_EXP_IPV4_WRONG_VER 4 #define FAL_SEC_EXP_IPV4_SMALL_IHL 5 #define FAL_SEC_EXP_IPV4_WITH_OPTION 6 #define FAL_SEC_EXP_IPV4_HDR_INCOMPLETE 7 #define FAL_SEC_EXP_IPV4_BAD_TOTAL_LEN 8 #define FAL_SEC_EXP_IPV4_DATA_INCOMPLETE 9 #define FAL_SEC_EXP_IPV4_FRAG 10 #define FAL_SEC_EXP_IPV4_PING_OF_DEATH 11 #define FAL_SEC_EXP_IPV4_SMALL_TTL 12 #define FAL_SEC_EXP_IPV4_UNK_IP_PROT 13 #define FAL_SEC_EXP_IPV4_CHECKSUM_ERR 14 #define FAL_SEC_EXP_IPV4_INV_SIP 15 #define FAL_SEC_EXP_IPV4_INV_DIP 16 #define FAL_SEC_EXP_IPV4_LAND_ATTACK 17 #define FAL_SEC_EXP_IPV4_AH_HDR_INCOMPLETE 18 #define FAL_SEC_EXP_IPV4_AH_HDR_CROSS_BORDER 19 #define FAL_SEC_EXP_IPV4_ESP_HDR_INCOMPLETE 20 这里的FAL指?
最新发布
11-25
<think> 根据代码中的宏定义前缀 "FAL_SEC_EXP",结合网络安全的常见术语,可以推断: 1. "SEC" 通常指代 Security(安全) 2. "EXP" 通常指代 Exception(异常) 因此,**FAL 很可能指代 "Flow Aware Layer" 或 "Forwarding Abstraction Layer"**,具体取决于系统上下文。在数据包处理框架中,FAL 常作为硬件抽象层存在。 ### 详细解析 ```mermaid mindmap root((FAL定位)) 常见含义 Flow Aware Layer 流感知处理框架 典型用例:DPI引擎 Forwarding Abstraction Layer 转发抽象层 统一硬件加速接口 当前代码上下文 安全异常检测 L2层异常(FAL_SEC_EXP_UNKNOWN_L2_PROT) IPv4层异常(FAL_SEC_EXP_IPV4_WRONG_VER) 防御场景 Ping of Death(FAL_SEC_EXP_IPV4_PING_OF_DEATH) LAND攻击(FAL_SEC_EXP_IPV4_LAND_ATTACK) ``` ### 功能特征 1. **分层检测**: - L2异常:PPPoE版本/协议错误 - IPv4异常:头部校验/分片/攻击模式 2. **安全防御**: - 识别畸形包(如IPV4_PING_OF_DEATH) - 阻断扫描攻击(如IPV4_LAND_ATTACK) &sect;&sect;相关问题&sect;&sect; 1. 当检测到`FAL_SEC_EXP_PPPOE_UNSUPPORTED_PPP_PROT`异常时,系统通常会采取怎样的默认处理动作? 2. `FAL_SEC_EXP_IPV4_FRAG`异常标识的分片攻击具体指哪种威胁场景? 3. 在转发抽象层(FAL)架构中,这些安全异常是通过硬件加速还是软件路径处理的? 4. 宏定义中`FAL_SEC_EXP_IPV4_AH_HDR_INCOMPLETE`涉及的AH(Authentication Header)主要用于哪种安全协议? 5. 如何配置FAL模块使能或禁用特定类型的异常检测? </think>根据代码上下文和安全异常宏定义前缀,**FAL 指代 "Fast Abstract Layer"(快速抽象层)**,这是网络芯片/交换机中用于硬件加速处理的通用抽象层。具体解析如下: ### FAL核心定位 ```mermaid flowchart TB App[应用程序] -->|API调用| FAL[FAL抽象层] FAL -->|硬件指令| NPU[网络处理器] FAL -->|寄存器配置| ASIC[专用芯片] subgraph 安全加速 NPU -->|异常检测| SEC[安全引擎] ASIC -->|硬件过滤| SEC end ``` ### 关键特征解析 1. **分层抽象**: - 提供统一的硬件操作接口(如`FAL_SEC_EXP_*`) - 屏蔽底层芯片差异(Broadcom/Marvell等) 2. **安全加速**: - 硬件级异常检测(L2/L3/L4) - 支持常见攻击识别: ```c #define FAL_SEC_EXP_IPV4_PING_OF_DEATH 11 // 死亡之Ping攻击 #define FAL_SEC_EXP_IPV4_LAND_ATTACK 17 // LAND攻击(源IP=目的IP) ``` 3. **异常分类**: ```mermaid pie title 异常类型分布 “L2异常” : 4 “IPv4基础异常” : 8 “IPv4攻击检测” : 5 “IPSec异常” : 3 ``` ### 典型工作流程 当数据包进入芯片时: 1. 硬件解析器提取协议头 2. 安全引擎比对`FAL_SEC_EXP_*`规则 3. 命中异常时触发中断或丢弃动作 4. 通过`FAL`层上报状态寄存器
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值