PE文件自学笔记(二):Section Table结构解析

最新推荐文章于 2024-04-26 21:20:10 发布
最新推荐文章于 2024-04-26 21:20:10 发布
阅读量595 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: PE文件分析 文章标签: PE文件分析 Sections Table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37835724/article/details/84036241
本文详细介绍了PE文件中的Section Table结构,包括其在PE文件中的位置、大小计算和成员解析。通过实例分析了Section Table每个元素的含义,如VirtualSize、PointerToRawData等,并探讨了SizeOfRawData与Misc的关系,强调了内存加载时的变化。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.Section Table结构解析

Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。

#define IMAGE_SIZEOF_SIGNATURE 4 
#define IMAGE_SIZEOF_FILE_HEADER 20

用变量描述节标配偏移地址为(这是相对于文件首/ImageBase的偏移量):

SectionTableStart = 
_IMAGE_DOS_HEADER.e_lfanew + 
IMAGE_SIZEOF_SIGNATURE + 
IMAGE_SIZEOF_FILE_HEADER + 
_IMAGE_FILE_HEADER.SizeOfOptionalHeader
 

一个结构体成员如下:

#define IMAGE_SIZEOF_SHORT_NAME 
typedef struct _IMAGE_SECTION_HEADER{
    0X00 BYTE    Name[IMAGE_SIZEOF_SHORT_NAME]; //节(段)的名字.text/.data/.rdata/.cmd等。
                                                //由于长度固定8字节,所以可以没有\0结束符,因此不能用ch
最低0.47元/天 解锁文章

200万优质内容无限畅学
[网络安全自学篇] 六十.PE文件逆向之PE文件解析PE编辑工具使用和PE结构修改(三)
杨秀璋的专栏
03-25 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析。本文将详细介绍PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等,这也为后续PE病毒和恶意代码的攻防打下扎实基础。希望这篇基础文章对您有所帮助~
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
PE结构(DOS,NT,SectionHeader 不含 DataDirectory)一
machuanfei_c的专栏
07-08 584
PE结构相关内容的解释。 以及写一个 写入弹窗代码的例子
PE文件结构解析
Allen
08-05 5322
t.exe 共 3072 bytes,下面是 t.exe 映象 PE 文件头的整体结构图: windows 的 PE 文件结构包括三大部分:DOS 文件头、NT 文件头以及 Section 表(节表),在 DOS 文件头后面有一小段 DOS 程序,被称为 DOS stub 程序。 DOS stub 程序是运行在 DOS 下面的 16 位程序,目的是指出:当 windows 程序在 dos
Windows PE文件各个节(Section)分析
weixin_38164023的博客
06-10 2466
PE(Portable Executable),即可移植的执行体。所有Windows下可执行文件,均使用PE文件结构PE文件通常包括以下节(Section) .textbss/BSS BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 .text/CODE 代码段(text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就.
PE文件(三)节表
最新发布
2301_78838647的博客
04-26 1380
Name数组的长度最大为8字节,如果定义节的名称为.text,由于.text对应的ASCII码分别为0x2E, 0x74, 0x65, 0x78,0x74,所以Name数组中的数据为2E 74 65 78 74 00 00 00,一共8字节。所有的节表一起记录了该.exe文件中所有的节的信息,每一个节都有对应的节表来存储信息,所有的节对应的节表组合在一起就构成了PE文件的节表结构。内存中的地址:节表在4GB内存中的地址要加上imagebase的值,才是节表真正在内存中的起始地址。
PE文件学习笔记):Section Table解析
Apollon_krj的博客
08-11 3969
Section Table(节表)是记录PE文件中各个节的详细信息的集合,其每个成员是struct _IMAGE_SECTION_HEADER结构体,即节表是一个结构体数组来维护,属于线性结构。而节表的相对起始位置为:紧接着可选PE表。即:DOS头 + 中间空闲及垃圾数据 + NT头(三部分:4字节签名+标准PE头20字节+可选PE头)。 #define IMAGE_SIZEOF_SIGNAT
PE文件自学笔记(一):DOS头与PE解析
qq_37835724的博客
11-13 993
Windows下所谓PE文件即Portable Executable,意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件PE文件有一个共同特点:前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个“.xls”文件其前两个字节为:0XD0 0XCF;打开一个“.pdf”其前两个字节为:...
自学HTML与CSS笔记:创建动态网页
### 知识点:HTML自学笔记 #### HTML基础概念 HTML(HyperText Markup Language)是一种用于创建网页和网页应用的标准标记语言。它由一系列的元素(elements)组成,这些元素通过标签(tags)来定义,告诉浏览器...
PE结构
网瘾少年丶的博客
05-26 1185
pe结构.pdf 下载:https://download.youkuaiyun.com/download/uvarandmethod/10406805 重温PE结构: 1、DOS头 struct _IMAGE_DOS_HEADER { 0x00 WORD e_magic;//"MZ标记" 用于判断是否为可执行文件. 0x02 WORD e_cblp; 0x04 WORD e_cp; 0x06 WORD ...
PE文件学习
giantbranch的专栏
05-21 1万+
1.介绍 什么是PE文件PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PEPE32,64位的就PE+或PE32+,注意不是PE64哦!!!! 学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等 初识PE文件 看看大概包括那些结构体吧 2.PE
PE解析
qq_41129854的博客
03-16 691
这两天对于PE的学习总结: 1.PE结构的应用 (1)windows下exe文件 (2)动态链接库(大部分是以dll为扩展名得文件) 2.关于PE分节 (1)节省硬盘空间 (2)一个应用程序多开 对齐 旧式的电脑 新款 硬盘对齐 200h 1000h 内存对齐 1000h 1000h 3.PE整体结构 DOS头...
【2021.01.14】扩大节
oalken的博客
01-14 140
#define IMAGE_SIZEOF_SHORT_NAME 8 typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; union { DWORD PhysicalAddress; DWORD VirtualSize; } Misc; DWORD VirtualAddress; .
把exe里面的资源通通取出来
小发猫
05-23 3664
把exe里面的资源通通取出来下载例子源代码一、前言  不知大家用过exescope没有,那是日本鬼子写的一个很有用的东西,它能把exe等pe格式(portable executable)文件的资源(图标、位图、对话框、声音等等)分析出来,并能改写回去。当然vc的ide也有类似功能。大家是不是觉得很神秘?其实只要弄清了pe文件结构,你也可以写一个类似的工具出来。下面是我近 来对pe文件分析经验,
PE节表头
BiCai2的博客
09-18 710
总是在PE文件头开始的偏移00f8h处。 typedef struct _IMAGE_SECTION_HEADER{BYTE Name1[IMAGE_SIZEOF_SHORT_NAME]; // 8个字节 节表名称,如“.text”//IMAGE_SIZEOF_SHORT_NAME=8union {DWORD PhysicalAddress; // 物理地址 节区尺寸 未对齐前的实际大小 DWOR
PE结构讲解--section tablesection
weixin_33739523的博客
08-25 859
本文为转载文章,整理自小甲鱼老师讲的PE结构课程; 一、PE文件到内存的映射: 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,而是采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。当且仅当真正执行到某个内存页中的指令或者访问某一页中的数据时,这个页面才...
[PE结构分析] 6.IMAGE_SECTION_HEADER
weixin_34190136的博客
08-15 296
IMAGE_SECTION_HEADER 的源代码如下: typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text” //IMAGE_SIZEOF_SHORT_NAME=8 union { DWORD ...
pE文件操作--移动导出表
qq_31125257的博客
12-28 841
一、什么是导出表? 先回顾一下导出表的结构:相对复杂的是AddressOfFunctions,AddressOfNames和AddressOfNameOrdinals这三个子表;其中地址表存储的是导出的函数地址,名称表存储的是以名字导出的函数的函数名的RVA,序号表存储的是以序号导出的函数的序号(序号+Base才是真正的序号值) 、为什么要移动各种表? 这些表是编译器生成的,里面存储了非常重要的信息; 在程序启动的时候,系统会根据这些表做初始化的工作,如将用到的DLL中的函数地址存储到IAT表; 为了
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5900
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
SAP ABAP编程自学笔记系列:BC系列深入解析
根据压缩文件包中的文件名称列表,我们可以推断出这些自学笔记涉及SAP BC课程的不同部分。课程编号如412、415、416、420、425、427、440、470、480和490,可能代表了不同课程的内容重点和难度级别。例如,编号越高的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值