你的位置:首页 > 操作系统

[操作系统][PE结构分析] 6.IMAGE_SECTION_HEADER


IMAGE_SECTION_HEADER 的源代码如下:

typedef struct _IMAGE_SECTION_HEADER {  BYTE Name[IMAGE_SIZEOF_SHORT_NAME];  // 节表名称,如“.text”   //IMAGE_SIZEOF_SHORT_NAME=8  union  {
    DWORD PhysicalAddress; // 在文件中的物理地址
DWORD VirtualSize;   // 真实长度,这两个值是一个联合结构,可以使用其中的任何一个,一般是取后一个
} Misc;  DWORD VirtualAddress;     // 节区的 RVA 地址
DWORD SizeOfRawData;      // 在文件中对齐后的尺寸
DWORD PointerToRawData;    // 在文件中的偏移量
DWORD PointerToRelocations;  // 在OBJ文件中使用,重定位的偏移
DWORD PointerToLinenumbers;  // 行号表的偏移(供调试使用地)
WORD NumberOfRelocations;   // 在OBJ文件中使用,重定位项数目
WORD NumberOfLinenumbers;   // 行号表中行号的数目
DWORD Characteristics;     // 节属性如可读,可写,可执行等} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

每个区块表长度占40个字节。

* 表示需要注意的字段,最有用的是 SizeOfRawData 、 PointerToRawData 和Characteristics 字段。

Name *

此字段时区块名。(一句话:名字而已,没什么用

要求:

1. 占8个字节的utf8字符串,如果区块名超过 8 个字节,则没有最后的终止标志“NULL”。

2. 每个区块的名称都是唯一的,不能有同名的两个区块。

3. 另外,如果名字过长,可以那么使用斜杠(/)加上ASCII字符表示一个10进制地址,这个地址表示真正的区块名在在字符串表中的地址。

含义:但事实上节的名称不代表任何含义,仅仅是为了便查看方便(所以将包含代码的区块命名为“.Data” 或者说将包含数据的区块命名为“.Code” 都是合法的。)。当我们要从PE 文件中读取需要的区块时候,不能以区块的名称作为定位的标准和依据。正确的做法是按照 IMAGE_OPTIONAL_HEADER32 结构中的数据目录字段结合进行定位。

其他说明:多数区块名都习惯性以一个“.”作为开头(例如:.text),这个“.” 不是必须的。并且前边带有一个“$” 的区块名字会从连接器那里得到特殊的待遇,前边带有“$” 的相同名字的区块在载入时候将会被合并,在合并之后的区块中,他们是按照“$” 后边的字符的字母顺序进行合并的。

Misc *

共用体:

PhysicalAddress在文件中的地址。
Virtual Size此节在读取到内存中的总大小,单位是字节。如果此值大于 SizeOfRawData 成员的话,此节将被0填充。此值仅当可执行镜像且object文件必须被设置为0时有效。

 

Virtual Address *

该区块装载到内存中的RVA 地址。这个地址是按照内存页来对齐的,因此它的数值总是 SectionAlignment 的值的整数倍。

在Microsoft 工具中,第一个快的默认 RVA 总为1000h。在OBJ 中,该字段没有意义地,并被设为0。

SizeOfRawData ***

该区块在磁盘中所占的大小(单位是字节),必须是IMAGE_OPTIONAL_HEADERFileAlignment成员的整数倍。如果此值小于Virtual Size,那么剩下的字节以0填充。如果此节仅包含未初始化的数据,那么成员为0。

PointerToRawData ***

该区块在磁盘中的偏移。这个数值是从文件头开始算起的偏移量哦。

PointerToRelocations

这哥们在EXE文件中没有意义,在OBJ 文件中,表示本区块重定位信息的偏移值。(在OBJ 文件中如果不是零,它会指向一个IMAGE_RELOCATION 结构的数组)

PointerToLinenumbers

行号表在文件中的偏移值,文件的调试信息,于我们没用,鸡肋。

NumberOfRelocations

这哥们在EXE文件中也没有意义,在OBJ 文件中,是本区块在重定位表中的重定位数目来着。

NumberOfLinenumbers

该区块在行号表中的行号数目,鸡肋。

Characteristics ***

该区块的属性。该字段是按位来指出区块的属性(如代码/数据/可读/可写等)的标志。

在 winnt.h 中定义如下:

//// Section characteristics.////   IMAGE_SCN_TYPE_REG          0x00000000 // Reserved.//   IMAGE_SCN_TYPE_DSECT         0x00000001 // Reserved.//   IMAGE_SCN_TYPE_NOLOAD        0x00000002 // Reserved.//   IMAGE_SCN_TYPE_GROUP         0x00000004 // Reserved.#define IMAGE_SCN_TYPE_NO_PAD        0x00000008 // Reserved.//   IMAGE_SCN_TYPE_COPY         0x00000010 // Reserved.#define IMAGE_SCN_CNT_CODE          0x00000020 // Section contains code.#define IMAGE_SCN_CNT_INITIALIZED_DATA    0x00000040 // Section contains initialized data.#define IMAGE_SCN_CNT_UNINITIALIZED_DATA   0x00000080 // Section contains uninitialized data.#define IMAGE_SCN_LNK_OTHER         0x00000100 // Reserved.#define IMAGE_SCN_LNK_INFO          0x00000200 // Section contains comments or some other type of information.//   IMAGE_SCN_TYPE_OVER         0x00000400 // Reserved.#define IMAGE_SCN_LNK_REMOVE         0x00000800 // Section contents will not become part of image.#define IMAGE_SCN_LNK_COMDAT         0x00001000 // Section contents comdat.//                      0x00002000 // Reserved.//   IMAGE_SCN_MEM_PROTECTED - Obsolete  0x00004000#define IMAGE_SCN_NO_DEFER_SPEC_EXC     0x00004000 // Reset speculative exceptions handling bits in the TLB entries for this section.#define IMAGE_SCN_GPREL           0x00008000 // Section content can be accessed relative to GP#define IMAGE_SCN_MEM_FARDATA        0x00008000//   IMAGE_SCN_MEM_SYSHEAP - Obsolete  0x00010000#define IMAGE_SCN_MEM_PURGEABLE       0x00020000#define IMAGE_SCN_MEM_16BIT         0x00020000#define IMAGE_SCN_MEM_LOCKED         0x00040000#define IMAGE_SCN_MEM_PRELOAD        0x00080000#define IMAGE_SCN_ALIGN_1BYTES        0x00100000 //#define IMAGE_SCN_ALIGN_2BYTES        0x00200000 //#define IMAGE_SCN_ALIGN_4BYTES        0x00300000 //#define IMAGE_SCN_ALIGN_8BYTES        0x00400000 //#define IMAGE_SCN_ALIGN_16BYTES       0x00500000 // Default alignment if no others are specified.#define IMAGE_SCN_ALIGN_32BYTES       0x00600000 //#define IMAGE_SCN_ALIGN_64BYTES       0x00700000 //#define IMAGE_SCN_ALIGN_128BYTES       0x00800000 //#define IMAGE_SCN_ALIGN_256BYTES       0x00900000 //#define IMAGE_SCN_ALIGN_512BYTES       0x00A00000 //#define IMAGE_SCN_ALIGN_1024BYTES      0x00B00000 //#define IMAGE_SCN_ALIGN_2048BYTES      0x00C00000 //#define IMAGE_SCN_ALIGN_4096BYTES      0x00D00000 //#define IMAGE_SCN_ALIGN_8192BYTES      0x00E00000 //// Unused                  0x00F00000#define IMAGE_SCN_ALIGN_MASK         0x00F00000#define IMAGE_SCN_LNK_NRELOC_OVFL      0x01000000 // Section contains extended relocations.#define IMAGE_SCN_MEM_DISCARDABLE      0x02000000 // Section can be discarded.#define IMAGE_SCN_MEM_NOT_CACHED       0x04000000 // Section is not cachable.#define IMAGE_SCN_MEM_NOT_PAGED       0x08000000 // Section is not pageable.#define IMAGE_SCN_MEM_SHARED         0x10000000 // Section is shareable.#define IMAGE_SCN_MEM_EXECUTE        0x20000000 // Section is executable.#define IMAGE_SCN_MEM_READ          0x40000000 // Section is readable.#define IMAGE_SCN_MEM_WRITE         0x80000000 // Section is writeable.//// TLS Characteristic Flags//#define IMAGE_SCN_SCALE_INDEX        0x00000001 // Tls index is scaled

常用的值的翻译:

数值

含义

IMAGE_SCN_CNT_CODE
0x00000020

The section contains executable code.

包含代码,常与 0x10000000一起设置。

IMAGE_SCN_CNT_INITIALIZED_DATA
0x00000040

The section contains initialized data.

该区块包含以初始化的数据。

IMAGE_SCN_CNT_UNINITIALIZED_DATA
0x00000080

The section contains uninitialized data.

该区块包含未初始化的数据。

IMAGE_SCN_MEM_DISCARDABLE
0x02000000

The section can be discarded as needed.
该区块可被丢弃,因为当它一旦被装入后,
进程就不在需要它了,典型的如重定位区块。

IMAGE_SCN_MEM_SHARED
0x10000000

The section can be shared in memory.
该区块为共享区块。

IMAGE_SCN_MEM_EXECUTE
0x20000000

The section can be executed as code.
该区块可以执行。通常当0x00000020被设置
时候,该标志也被设置。

IMAGE_SCN_MEM_READ
0x40000000

The section can be read.
该区块可读,可执行文件中的区块总是设置该
标志。

IMAGE_SCN_MEM_WRITE
0x80000000

The section can be written to.
该区块可写。

更多资料请参考官方文档:

https://msdn.microsoft.com/en-us/library/windows/desktop/ms680341(v=vs.85).aspx

例子: