1 前述
在 NT 头结束后,紧接着就是区块表,区块表用来描述位于其后各个区块的各种属性,PE 文件最少要有一个区块才能被加载运行。
2 区块表
区块表是一个 IMAGE_SECTION_HEADER 结构数组,这个结构包含区块的信息,比如位置、长度、属性等,区块的数目是由 NT 头中的文件头里的 NumberOfSections 给出。以下为 IMAGE_SECTION_HEADER 结构:
在上述图中,有两个字段比较重要,分别为 VirtualAddress、PointerToRawData,这两个字段用于将相对虚拟地址或虚拟地址转换为文件偏移地址,以下为 RVA 转 FOA 函数:
// RVA 转 FOA
DWORD RVAtoFOA(DWORD dwRva)
{
// 获取区段表的数量
DWORD dwCounts = g_NtHeader->FileHeader.NumberOfSections;
// 获取区段表数组的首元素
auto Sections = IMAGE_FIRST_SECTION(g_NtHeader);
// 遍历所有的区段表找到符合要求的区段
for (DWORD i = 0; i < dwCounts; ++i)
{
// 要求:RVA >= 区段的首地址 并且 RVA < 区段的结尾的地址
if (dwRva >= Sections[i].VirtualAddress &&
dwRva < (Sections[i].VirtualAddress + Sections[i].SizeOfRawData))
{
// FOA = VA - ImageBase - (所在区段的 RVA - 所在区段的 FOA)
// FOA = RVA - 所在区段的 RVA + 所在区段的 FOA
return dwRva - Sections[i].VirtualAddress + Sections[i].PointerToRawData;
}
}
// 如果找不到就返回 -1
return -1;
}计算公式:FOA = VA – ImageBase – (所在区段的 RVA – 所在区段的 FOA) 或 FOA = RVA – 所在区段的 RVA + 所在区段的 FOA
在上述代码中,有一个为 IMAGE_FIRST_SECTION,我们来看下它的定义,如下:
其实 IMAGE_FIRST_SECTION 为一个宏,它主要由三部分相加组成,作用是获取到第一个区段的首地址,参数为 NT 头。你可以把这个首地址理解成数组名,数组的首地址。在获取到了地址后,下面的 for 循环遍历所有的区段表找到符合要求的区段。这三部分内容具体如下:
- IMAGE_NT_HEADERS 的起始地址
- IMAGE_OPTIONAL_HEADER32 (PE 扩展头)在 IMAGE_NT_HEADERS 中的偏移
- IMAGE_OPTIONAL_HEADER32 的大小
其中后两个加起来的大小恰好就是 IMAGE_NT_HEADERS 的大小,再跟第一个相加就得到区段表的地址了。看到这你可以会问,为什么不直接加上 IMAGE_NT_HEADERS 的大小呢?因为 IMAGE_OPTIONAL_HEADER32 大小不固定,32 位下该值为 0x00E0H,64 位下该值为 0x00F0H,并且用户还可以自定义其大小。
3 额外说明
扩展头大小是由文件头中 SizeOfOptionalHeader 字段给出,FIELD_OFFSET 这个是给出 OptionalHeader 在 IMAGE_NT_HEADERS 结构中的偏移,如下:
相关代码下载:
必须 注册 为本站用户, 登录 后才可以发表评论!