2.4 简单看一下Metadata

最新推荐文章于 2024-05-03 20:27:14 发布
翻译 最新推荐文章于 2024-05-03 20:27:14 发布 · 1.6k 阅读 · 1
文章标签:

#header #编译器 #statistics #assembly #algorithm #build

本文详细介绍了托管PE文件的主要组成部分,包括PE32(+)header、CLR header、metadata和IL。深入探讨了metadata中的各类表格及其作用,并展示了如何使用ILDasm工具查看这些信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

现在我们知道了我们创建的是什么类型的PE文件了, 但是在Program.exe中真正是什么? 一个托管PE文件有如下四个主要部分: PE32 (+) header, CLR header, metadataIL. PE32(+) headerWindows需要的标准信息, CLR header是用于那些需要CLR才能运行的模块(托管模块)的一小块信息, 这个header包括CLR的主版本和次版本号: 一些标志, 一个MethodDef符号(后面会描述)用于表示模块的入口函数(如果这个模块是一个CUI或者GUI可执行程序), 和一个可选的强名字数字签名(3章会讨论). 最后, header还包括metadata的大小和偏移量. 你可以通过检查定义在CorHdr,h中的IMAGE_Cor20_HEADER来看看CLR header的准确格式.

Metadata是一块二进制的数据, 包含了几个表格. 3类表格: 定义表格, 引用表格, manifest表格. 2-1描述了一些常用的定义表格:

2-1 常用的metadata定义表格

Metadata定义表格的名称

描述

ModuleDef

总是包含一个条目用来标识模块, 包括模块的文件名和扩展名(没有路径)和模块的版本ID(编译器创建的GUID). 它允许文件被重新命名, 而保持原名字的一个记录. 然而, 强烈不推荐重命名一个文件, 重命名会导致CLR在运行时不能定位程序集, 所以不要这么做.

TypeDef

对定义在模块中的每一个类型都包含一个条目, 每个条目包括类型的名称, 基类型, 标志(public, private, )和它所包含的函数在MethodDef表格中的索引, 它所包含的字段在FieldDef表格中的索引, 它所包含的属性在PropertyDef表格中的索引, 和它所包含的事件在EventDef表格中的索引.

MethodDef

对定义在模块中的每个方法都包含一个条目, 每个条目包括方法的名字, 标志(private, public, virtual, abstract, static, final, ), 签名, 在模块中的偏移量(IL代码可在此处找到这个函数). 每个条目也指向ParamDef表格的一个条目, 后者记录着函数的参数信息.

FieldDef

对定义在模块中的每个字段都包含一个条目, 每个条目包括标志(private, public, ), 类型和名字.

ParamDef

对定义在模块中的每个参数都包含一个条目, 每个条目包含标志(in, out, retval, ), 类型, 和名字.

PropertyDef

对定义在模块中的每个属性都包含一个条目, 每个条目包含标志, 类型, 和名字.

EventDef

对定义在模块中的每个事件都包含一个条目, 每个条目包含标志和名字.

当编译器编译你的源代码时, 你的代码中定义的任何东西都会在表2-1中描述的一个表格中创建一个条目. 编译器也会检测到的你的代码中引用的类型, 字段, 函数, 属性, 事件, 所以也会对它们创建Metadata表格条目. 创建的metadata包括一组引用表格, 其对每个引用保存一个条目. 2-2给出了一些常见的引用metadata表格.

2-2 常用的引用metadata表格

Metadata引用表格的名称

描述

ModuleRef

对这个模块引用的类型, 都需要引用对应的实现模块PE, 都对应着这个表格中的一个条目, 每个条目包含模块的文件名和扩展名(没有路径). 这个表格被用于绑定在不同模块中实现的类型.

TypeRef

对这个模块引用的每个类型都包含一个条目, 每个条目包括类型的名字和一个能找到它的地方的引用. 如果类型是在另一个类型内实现的, 那么这个引用会指明一个TypeRef条目, 如果类型是在相同的模块中实现的, 那么引用会指明一个ModuleDef条目, 如果类型是在另一个模块中实现的, 那么引用会指明一个ModuleRef条目, 如果类型是在不同的程序集中实线的, 那么引用会指明一个AssemblyRef条目.

MemberRef

对这个模块引用的每个成员(字段和函数, 属性和事件方法)都包含一个条目, 每个条目包括成员的名字, 签名, 和指向TypeRef条目的指针(定义这个成员的那个type).

除了我在表2-12-2中列出的, 还有很多表格, 但是我只是想让你知道编译器都产生了哪些metadata信息, 早些时候, 我提到还有一组manifest metadata表格, 我将在后面讲解这件事情.

各种不同的工具允许你检查一个托管PE文件的metadata, 就我个人而言, 我比较喜欢使用ILDasm.exe, 它是IL反汇编器. 为了看到metadata表格, 执行如下的命令:

ILDasm Program.exe

这会运行ILDasm.exe, 从而载入Program.exe程序集, 为了能以可读的方式看到metadata, 选择view|MetaInfo|Show!菜单项(或者按Ctrl+M). 这回得到如下的信息:

================================================

ScopeName : Program.exe

MVID : {CA73FFE8-0D42-4610-A8D3-9276195C35AA}

================================================

Global functions

------------------------------------------------

Global fields

------------------------------------------------

Global MemberRefs

------------------------------------------------

TypeDef #1 (02000002)

------------------------------------------------

TypDefName: Program (02000002)

Flags : [Public] [AutoLayout] [Class] [Sealed] [AnsiClass]

[BeforeFieldInit] (00100101)

Extends : 01000001 [TypeRef] System.Object

Method #1 (06000001) [ENTRYPOINT]

------------------------------------------------

MethodName: Main (06000001)

Flags : [Public] [Static] [HideBySig] [ReuseSlot] (00000096)

RVA : 0x00002050

ImplFlags : [IL] [Managed] (00000000)

CallCnvntn: [DEFAULT]

ReturnType: Void

No arguments.

 

Method #2 (06000002)

------------------------------------------------

MethodName: .ctor (06000002)

Flags : [Public] [HideBySig] [ReuseSlot] [SpecialName]

[RTSpecialName] [.ctor] (00001886)

RVA : 0x0000205c

ImplFlags : [IL] [Managed] (00000000)

CallCnvntn: [DEFAULT]

hasThis

ReturnType: Void

No arguments.

 

TypeRef #1 (01000001)

------------------------------------------------

Token: 0x01000001

ResolutionScope: 0x23000001

TypeRefName: System.Object

MemberRef #1 (0a000004)

------------------------------------------------

Member: (0a000004) .ctor:

CallCnvntn: [DEFAULT]

hasThis

ReturnType: Void

No arguments.

 

TypeRef #2 (01000002)

------------------------------------------------

Token: 0x01000002

ResolutionScope: 0x23000001

TypeRefName: System.Runtime.CompilerServices.CompilationRelaxationsAttribute

MemberRef #1 (0a000001)

------------------------------------------------

Member: (0a000001) .ctor:

CallCnvntn: [DEFAULT]

hasThis

ReturnType: Void

1 Arguments

   Argument #1: I4

TypeRef #3 (01000003)

------------------------------------------------

Token: 0x01000003

ResolutionScope: 0x23000001

TypeRefName: System.Runtime.CompilerServices.RuntimeCompatibilityAttribute

MemberRef #1 (0a000002)

------------------------------------------------

Member: (0a000002) .ctor:

CallCnvntn: [DEFAULT]

hasThis

ReturnType: Void

No arguments.

TypeRef #4 (01000004)

------------------------------------------------

Token: 0x01000004

ResolutionScope: 0x23000001

TypeRefName: System.Console

MemberRef #1 (0a000003)

------------------------------------------------

Member: (0a000003) WriteLine:

CallCnvntn: [DEFAULT]

ReturnType: Void

1 Arguments

   Argument #1: String

 

Assembly

------------------------------------------------

Token: 0x20000001

Name : Program

Public Key :

Hash Algorithm : 0x00008004

Version: 0.0.0.0

Major version: 0x00000000

Minor version: 0x00000000

Build Number: 0x00000000

Revision Number: 0x00000000

Locale: <null>

Flags : [none] (00000000)

CustomAttribute #1 (0c000001)

------------------------------------------------

CustomAttribute Type: 0a000001

CustomAttributeName:

System.Runtime.CompilerServices.CompilationRelaxationsAttribute ::

  instance void .ctor(int32)

Length: 8

value : 01 00 08 00 00 00 00 00 > <

ctor args: (8)

 

CustomAttribute #2 (0c000002)

------------------------------------------------

CustomAttribute Type: 0a000002

CustomAttributeName: System.Runtime.CompilerServices.RuntimeCompatibilityAttribute ::

instance void .ctor()

Length : 30

Value : 01 00 01 00 54 02 16 57 72 61 70 4e 6f 6e 45 78 > T WrapNonEx<

: 63 65 70 74 69 6f 6e 54 68 72 6f 77 73 01 >ceptionThrows <

ctor args: ()

AssemblyRef #1 (23000001)

------------------------------------------------

Token: 0x23000001

Public Key or Token: b7 7a 5c 56 19 34 e0 89

Name: mscorlib

Version: 2.0.0.0

Major Version: 0x00000002

Minor Version: 0x00000000

Build Number: 0x00000000

Revision Number: 0x00000000

Locale: <null>

HashValue Blob:

Flags: [none] (00000000)

 

User Strings

------------------------------------------------

70000001 : C 2) L"Hi"

 

Coff symbol name overhead: 0

================================================

================================================

================================================

幸运的是, ILDasm处理了metadata表并适当地合并了信息, 你不用解析原始的表格信息. 例如, 在上面的导出信息中, 你会看到ILDasm显示了TypeDef条目, 对应的成员定义信息显示在第一个TypeDef条目之前.

你不必完全理解你看到的所有内容, 要记住的最重要的事情是Program.exe包含一个名字为ProgramTypeDef, 这个类型标识着一个公开的密封类(public sealed class), 派生自System.Object(从另一个程序集引用的类型). Program类型还定义两个函数: Main.ctor(一个构造函数).

Main是公开的, 静态的函数, 它是IL代码(native CPU代码相对). Main有一个void返回类型, 没有参数. 构造函数(总是显示成.ctor的名称)是公开的, 它也是IL代码. 构造函数的返回类型是void, 没有参数, 有一个this指针, 其指向对象的内存, 当这个函数被调用时, 对象会在这个位置创建.

我强烈鼓励你使用ILDasm进行试验, 它能为你展示丰富的信息, 你对你看到的内容理解得越多, 你就会更好地理解CLR和它的能力. 正如你看到的, 我在本书中会常常使用ILDasm.

只是为了好玩, 让我们看看有关Program.exe程序集的统计信息. 当你选择ILDasmView|Statistics菜单项时, 下面的信息会显示出来:

File size : 3072

PE header size : 512 (496 used) (16.67%)

PE additional info : 839 (27.31%)

Num.of PE sections : 3

CLR header size : 72 ( 2.34%)

CLR meta-data size : 604 ( 19.66%)

CLR additional info : 0 ( 0.00%)

CLR method headers : 2 ( 0.07%)

Managed code : 18 ( 0.59%)

Data : 1536 ( 50.00%)

Unaccounted : -511 (-16.63%)

 

Num.of PE sections : 3

.text - 1024

.rsrc - 1024

.reloc – 512

 

CLR meta-data size : 604

Module - 1 (10 bytes)

TypeDef - 2 (28 bytes) 0 interfaces, 0 explicit layout

TypeRef - 4 (24 bytes)

MethodDef - 2 (28 bytes) 0 abstract, 0 native, 2 bodies

MemberRef - 4 (24 bytes)

CustomAttribute - 2 (12 bytes)

Assembly - 1 (22 bytes)

AssemblyRef - 1 (20 bytes)

Strings - 176 bytes

Blobs - 68 bytes

UserStrings - 8 bytes

Guids - 16 bytes

Uncategorized - 168 bytes

 

CLR method headers : 2

Num.of method bodies - 2

Num.of fat headers - 0

Num.of tiny headers – 2

 

Managed code : 18

Ave method size – 9

从这,你会看到文件的大小(字节数)和组成文件的不同部分的大小(字节数和所占的百分比). 对于这个非常小的Program.cs应用程序来说, PE headermetadata占了文件中很大一块, 实际上, IL代码只占了18个字节. 当然, 随着应用程序的增长, 它会重用很多类型, 应用工其他类型和程序集, 这会使得metadataheader的信息显著地减小(和整个文件的大小想比).

注意: ILDasm.exe有一个bug, 它会影响显示的文件大小信息. 特别地, 你不要相信未作说明的信息.

 

Android Update Engine分析(十) 生成 payload 和 metadata 的哈希
洛奇看世界
01-09 3170
本篇从代码上一步一步分析生成 payload 和 metadata 数据的哈希值的逻辑流程。 如果只想看整个函数调用总结,请转到第 3 节,如果想在 linux 命令行通过手工计算来验证,请跳转到第 4 节。
Milvus 实践(2) --- 2.4.x 安装,脚本分析,数据存储解析
talentyiyy的专栏
08-07 977
MinIO主要用于存储Milvus中的实际数据,特别是向量数据和索引文件。MinIO提供了可扩展的分布式对象存储解决方案,能够高效地处理大规模数据存储需求,确保数据的安全性和可靠性。看下面示例你会更加清楚。而rdb_data 更侧重于与milvus 内部之间的整合,这种整合是milvus 与 minio 之间的纽带,他更偏重milvus 的内部逻辑处理。看下示例你会更清楚。
DesktopMetadataExtractor:用于从地理空间数据中提取元数据的桌面工具
05-19
元数据提取器GUI 一种从地理空间数据文件中提取元数据并为元数据目录生成ISO19115元数据XML文档的应用程序。 要求 需要Ant来构建应用程序。 建造 要创建一个exe文件: $ ant exe 要创建一个jar文件: $ ant dist 在dist文件夹中创建应用程序。 TODO:描述如何更新GUI的处理过程。 创建安装程序 要创建exe和jar安装程序: $ cd installer $ ant 安装程序在文件夹build 。 目前尚不包括gdal,它需要手动安装。
clr 元数据
weixin_30463341的博客
10-05 160
  clr相关编译器编译生成的托管模块由四部分组成:PE32或32+头、clr头、元数据、IL代码。   元数据和IL代码完全对应,保持一致(:>)性。   元数据有很多用途:     VS的智能感知,自动补全;     代码验证保证类型安全;     序列化、反序列化;     垃圾回收(从元数据得知哪些根引用了对象)。   元数据包含两类表,一种描述源代码中定义的...
.metadata是什么项目文件_更新macOS 10.15出现迁移的项目文件夹是什么,可以删除吗?...
weixin_39968128的博客
11-20 1185
macOS 10.15正式版已经于昨天(10月8日)凌晨1点正式推送,小编跟很多小伙伴一样,迫不及待地为自己的设备升级。由于是大版本更新,所以升级时间比较长,好在最后顺利下车。(没备份的我还是有点担心的)不过我有注意到,升级完之后,桌面会多出一个名为“迁移的项目”的文件夹,而且是以快捷方式的形式存在的。打开文件夹之后,会有另个文件夹,分别是「安全性」和「配置」,可能会因设备而异。除此之外,苹果还贴...
Metadata探秘
weixin_33670713的博客
06-25 1106
一、初探MetaData 把支持CLR的编程语言(如C++/CLI、C#、VB等)编写的源代码文件通过微软的或者自己写的编译器可以编译为一个托管模块,它实际上是一个标准的PE文件,其结构可以参见深入了解CLR的加载过程一文。Metadata(元数据)与IL代码都存在于该PE文件的Sections中,Metadata与IL是同时生成且永远同步的,本文主要讨论Metadata的内容,并以如...
MS.Net CLR 扩展PE结构分析
weixin_34343000的博客
06-04 157
 概述                 本系列文章,将从系统层角度,通过对MS.Net   CLR架构对PE映像结构的扩展的分析,     解析MS.Net   CLR架构的底层部分运行机制,帮助读者从更深层次理解CLR中某些重要概念     本文读者应具备基本的Win32编程经验,了解.Net中常见概念意义,并对Win32之PE映像     结构有一定了解,具体结构请参看Ma...
Camera MetaData 介绍
程序员Android
09-25 5756
和你一起终身学习,这里是程序员Android经典好文推荐,通过阅读本文,您将收获以下知识点:一、Camera MetaData 作用简介二、MetaData 定义介绍三、Camera Me...
ffmpeg-metadata
feiyu5323的专栏
06-30 4086
导航 (返回顶部) 1. 设置元数据 1.1 设置文件标题 1.2 删除所有流标题 1.3 设置音频流语言 1.4 选项说明 2. 元数据文件-章节 2.1 提取元数据 2.2 编辑元数据文件 2.3 加载元数据文件 2.4 元数据文件说明 2.5 选项说明 3. 设置默认流 3.1 删除第一个音频流的默认属性,设置第二个音频流为默认 3.2 选项说明 1. 设置...
先电2.4的openstack搭建
tundra38的博客
05-03 1783
安装完以后,有的情况是出现complete之后就卡住,再等一会就断连,进入虚拟机发现,第二块网卡的BOOTPROTO=none,将其改成dhcp,ip会恢复,重新连接,新的版本里不需要在这个阶段安装gre的网络配置,所以直接进行下一步。先电2.4版本的openstack,前期虚拟机部署参考上一篇2.2版本,基本步骤是一样的,准备两个镜像文件CentOS-7.5-x86_64-DVD-1804.iso,XianDian-IaaS-V2.4.iso。创建完成后点击路由的名字进入,选接口,增加接口,点击提交。
CLR是如何工作的
一土宁的博客
03-26 1133
原文连接:https://www.cnblogs.com/awpatp/archive/2009/11/11/1601219.html MetData和引擎初始化 托管程序集本身只包含 CLR 可识别的 MetaData(元数据),不包含机器指令。托管程序集都依赖于 mscoree.dll 。mscoree.dll 在system32目录下,全称是Microsoft Core Executio...
arcgispro中conda环境了解
Z_W_H_的博客
11-02 212
拿最常见的numpy可以看出该文件就是存放arcgispro所需python包。在这里导数第三个文件是存放有关arcgis的python数据。点开第一个json文件,我们发现和源文件是一样的。dll加载包元数据方法解析。
windows7下基于Anaconda安装TensorFlow
UI_Shero的专栏
12-08 899
$ anaconda search -t conda tensorflow Packages:      Name                      |  Version | Package Types   | Platforms       | Builds      ------------------------- |   ------ | --------------- |
安装模块时提示Collecting package metadata (repodata.json): failed
wangchaoxjtu的专栏
06-21 2399
安装模块时提示Collecting package metadata (repodata.json): failed 最近在安装python模块的时候出现错误提示:创建虚拟环境失败,错误代码如下图所示: Collecting package metadata (repodata.json): failed ProxyError: Conda cannot proceed due to an error in your proxy configuration. Check for typos and ot
如何在conda中强制安装某个包
guanguanboy的专栏
11-25 8350
有的时候安装某个包时,需要更新其依赖的某些包,如下: PS C:\Users\liguanlin\Desktop> conda install torchtext Fetching package metadata ................. Solving package specifications: . Package plan for installation in en...
Java读取图像metadata信息
蒋固金(jianggujin)的专栏
07-29 8299
最近在做一个项目的时候需要要用的解析图像的拍摄时间,这些信息用图像查看工具基本都可以看到,之前有研究过MP3的文件格式,通过一些Tag来标记文件的一些信息,受此启发,猜测图像应该也有类似的机制。本章介绍两种常用读取Exif信息的包
解决PackageNotFoundError:XXXX异常
Kelvin_Yan的专栏
03-20 1万+
报错示例: Error importing optional module nbformat Traceback (most recent call last): File "C:\Users\Administrator\Desktop\Release\jsonschema\__init__.py", line 31, in <module> from importlib ...
稀里糊涂的解决了 cuda 和cudnn的安装以及conda安装pytorch出现的torch.cuda.is_available()为false的问题
热门推荐
nyist_yangguang的博客
11-20 1万+
(base) wangbin@wangbin-ZHENGJIUZHE-REN9000K-34IMZ:~/Desktop$ nvidia-smi Fri Nov 20 10:20:27 2020 +-----------------------------------------------------------------------------+ | NVIDIA-SMI 455.38 Driver Version: 455.38 CUDA Version: 11....
2.4G接收器监控工具
最新发布
05-27
### 2.4G 接收器数据监控工具 为了有效地监控 2.4G 接收器的传输数据,可以考虑以下几类工具和方法。这些工具能够帮助捕获、解码并分析无线信号中的数据。 #### 硬件工具 1. **USB RTL-SDR Dongle** USB RTL-SDR 是一款低成本的软件定义无线电(Software Defined Radio, SDR)设备,支持多个频段,包括 2.4GHz 频段[^3]。它可以通过连接到电脑上的专用软件来捕捉和解析无线电信号。 2. **HackRF One** HackRF One 是另一款功能强大的 SDR 工具,不仅可以用作接收器,还可以用作发射器。它的灵活性使得其非常适合于复杂射频环境的研究与开发工作[^4]。 3. **USRP (Universal Software Radio Peripheral)** USRP 设备由 Ettus Research 提供,是一种高性能的 SDR 平台,广泛应用于科学研究、教学和技术测试等领域。这类设备适合需要高精度控制和大数据量处理的应用场景[^5]。 #### 软件工具 1. **GNU Radio** GNU Radio 是一个开源框架,提供了大量的组件库用于构建各类无线电系统。结合前述硬件平台(如 HackRF 或 USRP),可以创建定制化的应用程序来进行实时数据分析[^6]。 2. **Wireshark with Radiotap Header Support** Wireshark 原本主要用于网络协议分析,但在安装适当的插件之后也能显示来自某些类型 SDR 输入的数据包细节。然而需要注意的是,并非所有 SDR 方案都能够轻松集成至 Wireshark 中[^7]。 3. **Inspecrum & Gr-SigMF** Inspecrum 和 gr-signal-metadata-format (gr-sigmf) 这两个项目旨在简化从原始 IQ 文件向结构化元数据转换的过程,这在离线审查已捕获会话方面非常有用[^8]。 #### 示例代码 下面是一个简单的 Python 脚本示例,展示如何使用 `rtlsdr` 库读取 RTL-SDR 接收到的数据样本,并将其绘制成图以便观察: ```python import rtlsdr from matplotlib import pyplot as plt # 初始化 SDR 设备 sdr = rtlsdr.RtlSdr() # 设置参数 sdr.sample_rate = 2e6 # Hz sdr.center_freq = 2.4e9 # Hz sdr.gain = 'auto' # 自动增益 # 获取样例数据 samples = sdr.read_samples(256 * 1024) # 绘制实部波形 plt.plot(samples.real) plt.show() ``` 此脚本初始化了一个 RTL-SDR 设备,设置了采样率、中心频率及自动增益模式,随后获取了一组数据样本并将其实数部分绘制成了图表形式。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值