加载中…
个人资料
微博
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

PE可选头部,获取代码段地址和大小

(2012-10-29 10:48:06)

http://www/uc/myshow/blog/misc/gif/E___7485ZH00SIGG.gif

最近在做内存校验的程序。涉及到读取pe文件的代码段基址和大小。

 

 

PE可执行文件中接下来的224个字节(32位程序,64位的程序是240字节,sizeof(IMAGE_OPTIONAL_HEADER64))组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的指针:

//PEFILE.H

#define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + \
                        ((PIMAGE_DOS_HEADER)a)->e_lfanew + \
                        SIZE_OF_NT_SIGNATURE + \
                        sizeof(IMAGE_FILE_HEADER)))
  
可选头部包含了很多关于可执行映像的重要信息,例如初始的堆栈大小、程序入口点的位置、首选基地址、操作系统版本、段对齐的信息等等。IMAGE_OPTIONAL_HEADER结构如下: 
//WINNT.H

typedef struct _IMAGE_OPTIONAL_HEADER {
  //
  // 标准域
  //
  USHORT Magic;

  UCHAR MajorLinkerVersion;

  UCHAR MinorLinkerVersion;

  ULONG SizeOfCode;

  ULONG SizeOfInitializedData;

  ULONG SizeOfUninitializedData;

  ULONG AddressOfEntryPoint;

  ULONG BaseOfCode;

  ULONG BaseOfData;

  //

  // NT附加域

  //

  ULONG ImageBase;

  ULONG SectionAlignment;

  ULONG FileAlignment;

  USHORT MajorOperatingSystemVersion;

  USHORT MinorOperatingSystemVersion;

  USHORT MajorImageVersion;

  USHORT MinorImageVersion;

  USHORT MajorSubsystemVersion;

  USHORT MinorSubsystemVersion;

  ULONG Reserved1;

  ULONG SizeOfImage;

  ULONG SizeOfHeaders;

  ULONG CheckSum;

  USHORT Subsystem;

  USHORT DllCharacteristics;

  ULONG SizeOfStackReserve;

  ULONG SizeOfStackCommit;

  ULONG SizeOfHeapReserve;

  ULONG SizeOfHeapCommit;

  ULONG LoaderFlags;

  ULONG NumberOfRvaAndSizes;

  IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];

} IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER;

如你所见,这个结构中所列出的域实在是冗长得过分。为了不让你对所有这些域感到厌烦,我会仅仅讨论有用的——就是说,对于探究PE文件格式而言有用的。

·BaseOfCode。已载入映像的代码(“.text”段)的相对偏移量。
·BaseOfData。已载入映像的未初始化数据(“.bss”段)的相对偏移量。

·SizeOfImage 优先加载的地址,进程映像地址空间中的首选基地址。

·Magic。我不知道这个域是干什么的,对于示例程序EXEVIEW.EXE示例程序而言,这个值是0x010B或267(译注:0x010B为.EXE,0x0107为ROM映像,这个信息我是从eXeScope上得来的)。
·MajorLinkerVersion、MinorLinkerVersion。表示链接此映像的链接器版本。随Window NT build 438配套的Windows NT SDK包含的链接器版本是2.39(十六进制为2.27)。
·SizeOfCode。可执行代码尺寸。
·SizeOfInitializedData。已初始化的数据尺寸。
·SizeOfUninitializedData。未初始化的数据尺寸。
·AddressOfEntryPoint。在标准域中,AddressOfEntryPoint域是对PE文件格式来说最为有趣的了。这个域表示应用程序入口点的位置。并且,对于系统黑客来说,这个位置就是导入地址表(IAT)的末尾。

喜欢

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

Copyright © 1996 - 2022 SINA Corporation, All Rights Reserved

新浪公司 版权所有