Windows PE 第十章 加载配置信息

最新推荐文章于 2024-11-05 11:43:37 发布
原创 最新推荐文章于 2024-11-05 11:43:37 发布 · 858 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windows PE #加载配置信息 #SEH #配置表

本文详细介绍了Windows PE中的加载配置信息,它主要用于结构化异常处理(SEH)。加载配置信息表包含了异常处理句柄,当程序运行异常时,操作系统依据这些句柄进行异常分发。SEH分为硬异常和软异常,前者包括故障异常、陷阱异常和终止异常,后者主要通过 RaiseException API 调用。PE文件的加载配置信息由数据目录表的第11个目录项指出,通常大小为64字节。通过分析PE结构,可以定位并理解加载配置信息的作用。

加载配置信息

    加载配置信息最初最用在Windows NT操作系统中,作为文件头部的延伸部分,后来被用作异常处理。加载配置信息表中存放了基于结构化异常处理(SEH)技术的各项异常句柄。当程序运行发生异常后,操作系统会根据异常处理类别对异常进行分发处理,并依据这些句柄实施程序流程的转向,保证系统能从异常中全身而退。

10.1 何为加载配置信息

    加载配置信息结构是PE中定义的一种基本数据类型,最初仅用于Windows NT操作系统,定义一些供Windows NT操作系统加载PE时用到的一些附加信息。后来该部分含义发生了变化。不再定义加载用的配置信息,而是被专门用来定义基于SEH技术的相关数据。
    如果PE中的该部分表中没有对应的异常类别处理函数句柄,操作系统将会调用其内核模式的异常分发函数终止应用程序的运行。这种安全设置主要是为了阻止因异常句柄导致的溢出被恶意程序利用,从而造成对系统的破坏。

通常情况下,连接器会提供一个默认的加载配置信息结构,该结构包含了预留的SEH数据。如果用户代码中提供了该结构,则必须由用户来完成设置新的预留SEH字段,否则连接器不会讲SEH数据加入到加载配置信息中。

10.2  Windows 结构化异常处理

    就是说SEH的原理和调用,之前写核心编程笔记的时候整理过:

http://blog.youkuaiyun.com/u013761036/article/details/54234212 这里只说当时没有整理的部分。

Windows 异常分类

    由于SEH使用了与硬件平台如果的数据指针,所以在不同的硬件平台上,SEH的实现方法是不同的。在X86平台上的SEH处理框架中,把异常分为两大类:

硬异常(

最低0.47元/天 解锁文章
PE文件解析-加载配置表、绑定导入表、导入地址表与延迟导入表
zhyulo的博客
01-06 1849
一、加载配置表 1.位置与简介     载入配置表早期是用于描述当PE文件头或PE可选头无法描述或者因为太大而无法描述的各种功能。     后来以XP及以后的系统主要是为了存储SEH句柄,称为安全结构化异常处理程序列表,如果SEH异常处理没有经过注册,在载入配置表中没有句柄,这个异常处理就不会被执行。     据微软官方说明,这个载入配置表的作用是为了防止“x86异常处理程序劫持”的漏洞。因为...
Windows进程创建过程详解(含PE文件加载)
谈成(C/C++)
05-18 2114
1.调用CreateProcessW打开指定可执行文件,并创建一个内存区对象。这里仅仅是打开exe文件,并没有将文件映射到内存中。打开exe是为了在后续创建进程的过程中从exe头部中读取一些环境配置。 2.调用ntdll.dll中的NtCreateProcessEx系统服务。该函数仅仅是一个内核层对外的门户,其实ntdll.dll中几乎所有的API都是一个空壳,ntdll.dll的本质就是用户层和内核层之间的一道屏障。而这道屏障就是负责保护内核层的,防止用户层直接控制内核层。ntdll.dll中的API会对
PE学习(十)第十章加载配置信息
零点起步
04-10 787
第十章加载配置信息 加载配置信息表最初是用来存放附加信息,后来用来存放SEH各种导演句柄变成“异常处理表” 异常与中断类似,中断有点外部(键盘)发出,异常由软件,异常发生时跑到异常处理函数,这个函数存放在中断描述符表(IDT)的数据结构中。 异常:硬异常(系统异常)和软异常(程序自己抛出的异常) ;------------------------ ; 测试异常处理 ; 戚利 ;
pe 加载过程详解
abcd8080的博客
07-08 494
转载自 cvvd 最终编辑 cvvd PE文件格式作为Windows框架下的一种最为通用的可移植文件格式,被广泛使用的同时,也被广大Cracker研究。我写本系列文章的目的也主要立意于作为一名程序员或信息安全人员应该如何理解PE文件,这有助于我们对Windows旗下的win32子系统程序的理解和运用。闲话不多说。现在我们就将作为一个PELoader来学习一下PE文...
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE文件加载过程揭秘
lucien的博客
01-03 1974
http://hi.baidu.com/srcwork/item/71d169257bd2bf0d73863ee3  (1) http://hi.baidu.com/tangweb/item/3ea05035ae0a430dcfb9fe4f  (2) http://hi.baidu.com/tangweb/item/6fab453a3934a3bb623aff4f  (3) http://h
windowspe权威指南随书源码
09-26
信息技术领域,Windows PEWindows Preinstallation Environment,Windows预安装环境)是一种基于Windows NT架构的轻量级操作系统。它是微软为计算机制造商和企业系统管理员设计的一种工具,用于部署计算机操作...
windows内存加载PE.rar
08-17
这个压缩包“windows内存加载PE.rar”似乎包含了如何在内存中加载PE文件的详细步骤和源码,这对于理解和实现系统级编程或者逆向工程来说是非常重要的知识。下面,我们将深入探讨这一主题。 首先,我们要理解PE文件...
WindowsPE权威指南源码
12-22
2. **Windows PE的构建过程**:学习如何从零开始构建自定义的Windows PE映像,包括选择合适的组件、添加驱动程序以及配置启动选项。 3. **PE架构**:分析Windows PE的内核、外壳、文件系统支持、网络连接等组成部分...
PE 系统加载服务器阵列驱动.doc
05-18
本文将从 PE 系统加载服务器阵列驱动的角度,介绍服务器阵列驱动的安装、配置和使用方法,旨在帮助读者更好地理解和掌握 PE 系统加载服务器阵列驱动技术。 一、服务器阵列驱动的安装 服务器阵列驱动是 PE 系统加载...
使用Windows ADK 创建以U盘引导启动的Windows PE(已过时)
Kim的博客
10-07 1万+
使用Windows ADK 创建以U盘引导启动的Windows PE 导语 Windows 预安装环境 (WinPE) 是一个小型操作系统,用于安装、部署和修复 Windows 10 桌面版(家庭版、专业版、企业版和教育版)、Windows Server 和其他 Windows 操作系统。 通过 Windows PE,你可以: 在安装 Windows 之前设置硬盘。 使用来自网络或本地驱动器的应用或脚本安装 Windows。 捕获和应用 Windows 映像。 在Windows 操作系统未运行时,对其进行
VC++ 注册表加载配置单元代码实现
zhouz_666的博客
01-26 832
void CModifyRigeditDlg::OnPush() { // TODO: Add your control notification handler code here UpdateData(TRUE); HKEY hKey; LONG lErrorCode; LPCSTR subkey = "TEST"; // 提权 HANDLE htoken; if(OpenProcessToken(GetCurrentPr...
PE环境下如何离线修改本地系统注册表
最新发布
muzhibot的博客
11-05 3282
2,然后,弹出的“加载配置单元”对话框中,依次打开需要修改的单元路径:“C:/Windows/System32/config”,在“config”文件夹中,无后缀名文件就是注册表文件,根据需求去选择需要编辑的注册表文件。1,在注册表编辑器中,选中“HKEY_LOCAL_MACHINE”或“HKEY_USERS”,然后在“文件”菜单里选择“加载配置单元”选项。5,修改完成后,选中123文件,点击菜单栏上的“文件”并选择“卸载配置单元”选项,这样就完成对目标注册表的修改了。
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1406
Windows进程创建过程 第一阶段:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
制作微软官方WinPE+重装系统
夏雨滴荷竹
01-13 2万+
一.安装或修复系统 微软官方提供了重新安装操作系统的工具,我们大可不必像以前一样去找其他的途径来安装系统。 1.首先下载微软官方工具点击下载工具将工具下载下来。 2.运行下载的工具,选择为另一台电脑创建安装介质。然后根据需要进行选择,最后选择介质为U盘。然后就是漫长的等待。。。 3.制作完成之后通过U盘启动即可安装操作系统。 二.制作WinPE工具 1.微软官方也提供了制作WinPE的工具:Windows PE 请分别下载:Windows ADK和ADK的Windows PE加载项。下载后按顺序安装,安装时
官网版本的windows pe系统启动盘制作过程
m0_51527921的博客
12-29 8516
官网版本的windows pe系统启动盘制作过程 创建可启动 Windows PE 介质
详解Windows PEWindows预安装环境)
w57w57w57的专栏
06-11 4334
Windows PE   Windows PreInstallation Environment(Windows PE)直接从字面上翻译就是“Windows预安装环境”,微软在2002年7月22日发布,它的原文解释是:“Windows预安装环境(Windows PE)是带有限服务的最小Win32子系统,基于以保护模式运行的Windows XP Professional内核。它包括运行Wind
Windows PE急救系统安装步骤
weixin_33862514的博客
11-12 179
Windows PE(以下简称为PE)是大家常用的急救系统,把它安装在本机可以很方便地在Windows发生故障时进行有效的维护操作。不过,很多人在系统正常的时候并没有安装PE,等到系统发生严重故障无法进入时才想到它。有没有亡羊补牢的办法呢?有!下面就向大家介绍具体步骤。  一、把PE请进门  作为维护系统,我们自然希望PE功能越强大越好。对于那些已经无法进入系统的电脑,我们先...
怎么通过Win pe下面注册表编辑器载入原来系统注册表更改信息
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
10-29 1万+
环景: 联想服务器rs240 win10专业版 WIN 10 PE 问题描述: win10忘记Microsoft账户密码桌面登录进不去,需要更改注册表,解除微软账户绑定,启用本地账户登入 解决方案: 1.PE打开本地注册表,找到HKEY_LOCAL_MACHINE选中它再点击任务栏中的文件选择“加载配置单元” 2.在弹出的选择定位把路径定位到PE下原来系统盘:\windows\system32\config,看到注册表文件,其中没有扩展名的文件,即为类型中显示“文件”的即为注册表核心文件,也就是要编辑的本机
Windows PE文件内存加载技术详解
资源摘要信息:"windows内存加载PE.rar" 该资源涉及到Windows操作系统下对可执行文件(PE格式,即Portable Executable,可移植的可执行文件格式)的一种内存加载技术。在计算机安全和软件开发领域,内存加载技术是至...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值