PE檔案結構解析2

SecIN發表於2022-05-23

0x0導讀

上一篇文章把Dos頭,Nt頭,可選頭裡的一些成員說過了(文章連結:[PE檔案結構解析1-SecIN (sec-in.com)])，今天主要講的內容是，Rva(記憶體偏移)轉換Foa(檔案偏移)，資料目錄表，節表，話不多說來看文章。

0x1環境

編譯器:VirsualStudio2022

16進位制檢視工具:winhex

0x2Rva與Foa轉換

rva到foa的意義：因為pe檔案在檔案中和在記憶體中的大小是不一樣的，在記憶體中，pe檔案會被拉伸，所以同一個地址在記憶體中和檔案中所指向的值是不一樣的，所以要把記憶體中的偏移轉換成檔案中的偏移，下面我們來看一下轉換的函式。

函式定義

DWORD rtf(PBYTE buffer, DWORD rva)
{
PIMAGE_DOS_HEADER doshd = (PIMAGE_DOS_HEADER)buffer;
PIMAGE_NT_HEADERS nthd = (PIMAGE_NT_HEADERS)(buffer + doshd->e_lfanew);
PIMAGE_FILE_HEADER filehd = (PIMAGE_FILE_HEADER)(buffer + doshd->e_lfanew + 4);
PIMAGE_OPTIONAL_HEADER32 optionhd = (PIMAGE_OPTIONAL_HEADER32)(buffer + doshd->e_lfanew + 24);
PIMAGE_SECTION_HEADER sectionhd = IMAGE_FIRST_SECTION(nthd);
for (int i = 0; i < filehd->NumberOfSections; i++)
{
if (rva >= sectionhd[i].VirtualAddress && rva <= sectionhd[i].VirtualAddress + sectionhd[i].SizeOfRawData)
{
return rva - sectionhd[i].VirtualAddress + sectionhd[i].PointerToRawData;
}
}
}

轉換函式程式碼解析：首先為這個函式定義了兩個引數，一個引數是基址用於定位各種頭，和節表，另一個引數是要轉換的rva，PIMAGE開頭的程式碼主要是定位頭和節表，為下面迴圈判斷做準備，rva是在節中的，所以只需要迴圈判斷，如果rva>=當前節的VirtualAddress又小於VirtualAddress+SizeOfRawData就可以判斷出這個rva在當前節，只需要減去VirtualAddress再加上PointerToRawData即可。

0x3資料目錄解析

資料目錄是可選頭的一個成員(對可選頭有疑問的可以看上一篇文章)，這個成員是一個結構體型別的，像這個樣的成員一共有16個，也就是說資料目錄表其實就是16個這樣的結構體，結構體定義如下。

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;//一個rva，指向真正的資料表
    DWORD   Size;//資料表大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

這16個結構體對應的表分別是匯出表，匯入表，資源表，異常處理表，安全表，重定位表，除錯表，版權表，指標目錄，TLS表，載入配置表，繫結輸入表，匯入地址表，延遲載入表，COM資訊，保留最後一個表是保留起來的用不到。

結構體中的VirtualAddress成員是一個rva，透過這個rva可以找到真正的表所在的地方，我們可以把VirtualAddress中的值看作一個"中間人"，可以透過這個"中間人"來找到真正的資料表。這裡要注意時16個這樣的結構。

Size表示當前結構體的VirtualAddress所指向表的大小。

程式碼解析

#include <stdio.h>
#include <Windows.h>
#define path "C:\\Users\\blue\\Desktop\\Dll1.dll"

void main()
{
FILE* fp = fopen(path, "rb");
fseek(fp, 0, SEEK_END);
int size = ftell(fp);
rewind(fp);
PBYTE ptr = (PBYTE)malloc(size);
memset(ptr, 0, size);
fread(ptr, size, 1, fp);
PIMAGE_DOS_HEADER Dos = (PIMAGE_DOS_HEADER)ptr;
PIMAGE_NT_HEADERS Nt = (PIMAGE_NT_HEADERS)(ptr + Dos->e_lfanew);
PIMAGE_FILE_HEADER File = (PIMAGE_FILE_HEADER)(ptr + Dos->e_lfanew + 4);
PIMAGE_OPTIONAL_HEADER32 Option = (PIMAGE_OPTIONAL_HEADER32)(ptr + Dos->e_lfanew + 20 + 4);
PIMAGE_DATA_DIRECTORY DataDir = Option->DataDirectory;
for (int i = 0; i < 17; i++)
{
printf("VirtualAddress:%x\n", DataDir[i].VirtualAddress);
printf("Size:%x\n", DataDir[i].Size);
}
getchar();
}

前三行程式碼主要是包含標頭檔案，定義宏作為fopen函式的引數。

FILE* fp = fopen(path, "rb");定義一個檔案指標來接受fopen函式返回值，fopen第一個引數是要開啟檔案的路徑，第二個引數是以什麼方式開啟，這裡是rb也就是以二進位制方式開啟一個檔案，只能讀不可以寫。

fseek(fp, 0, SEEK_END);第一個引數是要設定檔案的檔案指標，第二個引數是一個相對於第三個引數是一個偏移量，第三個引數SEEK_END代表檔案的末尾，程式碼大致意思檔案流重定向到檔案末尾。

int size = ftell(fp);定義一個變數用來接收ftell函式的返回值，ftell函式作用是計算檔案的大小，第一個引數是要計算那個檔案的檔案指標。

rewind(fp);將檔案流重定向到檔案開頭，為下面讀取資料做準備。

PBYTE ptr = (PBYTE)malloc(size);定義一個PBYTE型別的指標指向malloc函式申請的記憶體，malloc函式第一個引數是申請多大的記憶體，PBYTE就是char*。

memset(ptr, 0, size);用0填充剛才申請的記憶體塊，第一個引數記憶體塊的地址，第二個引數用什麼填充，第三個引數填充多大。

fread(ptr, size, 1, fp);用於讀取資料到記憶體，第一個引數是要讀到哪裡，第二個引數是讀多少位元組，第三個引數讀多少次，第四個引數要讀取檔案的檔案指標。

PIMAGE_DOS_HEADER結構體定義

typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
    WORD   e_magic;                     // Magic number
    WORD   e_cblp;                      // Bytes on last page of file
    WORD   e_cp;                        // Pages in file
    WORD   e_crlc;                      // Relocations
    WORD   e_cparhdr;                   // Size of header in paragraphs
    WORD   e_minalloc;                  // Minimum extra paragraphs needed
    WORD   e_maxalloc;                  // Maximum extra paragraphs needed
    WORD   e_ss;                        // Initial (relative) SS value
    WORD   e_sp;                        // Initial SP value
    WORD   e_csum;                      // Checksum
    WORD   e_ip;                        // Initial IP value
    WORD   e_cs;                        // Initial (relative) CS value
    WORD   e_lfarlc;                    // File address of relocation table
    WORD   e_ovno;                      // Overlay number
    WORD   e_res[4];                    // Reserved words
    WORD   e_oemid;                     // OEM identifier (for e_oeminfo)
    WORD   e_oeminfo;                   // OEM information; e_oemid specific
    WORD   e_res2[10];                  // Reserved words
    LONG   e_lfanew;                    // File address of new exe header
  } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

PIMAGE_DOS_HEADER Dos = (PIMAGE_DOS_HEADER)ptr;定義一個PIMAGE_DOS_HEADER型別的結構體指標來指向剛才申請的那塊記憶體，也可以說用這塊記憶體中的資料來填充這個結構體指標所指向的結構體，因為ptr是PBYTE型別和PIMAGE_DOS_HEADER型別不同所以要把ptr從PBYTE強轉成PIMAGE_DOS_HEADER型別。

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;
    IMAGE_FILE_HEADER FileHeader;
    IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

PIMAGE_NT_HEADERS Nt = (PIMAGE_NT_HEADERS)(ptr + Dos->e_lfanew);定義一個PIMAGE_NT_HEADERS32型別的結構體指標在·透過基址+偏移的方式定位到Nt頭，也就是ptr與Dos頭的e_lfanew成員相加得到一個地址，這個地址就是Nt頭開始的地方，也可理解為用這個地址中的資料填充這個結構體指標指向的結構體。

PIMAGE_FILE_HEADER結構體定義

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

PIMAGE_FILE_HEADER File = (PIMAGE_FILE_HEADER)(ptr + Dos->e_lfanew + 4);定義一個結構體指標(PIMAGE_NT_HEADERS32型別)，在用基址+Dos頭的e_lfanew成員定位到nt頭，跟據nt頭的結構體定義可以知道Signature成員後面就是File頭而Signature成員大小是四位元組，所以加4定位到File頭，所以是ptr + Dos->e_lfanew + 4運算結果就是File頭開始的地址，再用這個結構體指標指向這個地址即可。

PIMAGE_OPTIONAL_HEADER32;結構體定義

typedef struct _IMAGE_OPTIONAL_HEADER {
    //
    // Standard fields.
    //

    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    //
    // NT additional fields.
    //

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

PIMAGE_OPTIONAL_HEADER32 Option = (PIMAGE_OPTIONAL_HEADER32)(ptr + Dos->e_lfanew + 20 + 4);定義一個PIMAGE_OPTIONAL_HEADER32型別的結構體指標，然後透過基址+Dos頭e_lfanew成員定位到nt頭再加上nt頭的Signature成員(4位元組)得到File頭地址，在加上File頭的大小(20位元組)，它們相加結果是一個地址這個地址是可選頭開始的地方，用結構體指標指向這個地址即可。

PIMAGE_DATA_DIRECTORY結構體定義

typedef struct _IMAGE_DATA_DIRECTORY {
    DWORD   VirtualAddress;
    DWORD   Size;
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

PIMAGE_DATA_DIRECTORY DataDir = Option->DataDirectory;定義一個PIMAGE_DATA_DIRECTORY型別的結構體指標，透過可選頭的DataDirectory成員定位到資料目錄表。

for (int i = 0; i < 17; i++)
{
printf("VirtualAddress:%x\n", DataDir[i].VirtualAddress);
printf("Size:%x\n", DataDir[i].Size);
}

這裡使用了一個for迴圈來迴圈列印資料目錄表的資料。每迴圈一次i就加1知道i小於17就停止迴圈。

程式執行結果

個人對資料目錄表的理解：就是16個結構體組成的表，透過結構體的VirtualAddress成員可以找到真正的表。

0x4節表解析

節表的大小是40個位元組(注意是一個節表大小是40)，節表的數量有File頭的NumberOfSections成員決定，節表指向節，節是用來儲存資料的，如.txt節存放程式碼，.data節存放資料，但是並不是一成不變的，也可以把存放資料的節名字改成.txt並不會影響程式執行。

節表的定義

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

Name[IMAGE_SIZEOF_SHORT_NAME]一個BYTE型別的陣列，用來存放當前節的名字，大小是8位元組。

Misc一個聯合體，通常會使用VirtualSizez成員，VirtualSize當前節記憶體中的大小。

VirtualAddress記憶體中節開始的地方，也就是記憶體中的偏移。

SizeOfRawData節在檔案中的大小，按照檔案對齊。

PointerToRawData檔案中節開始的地方，檔案中的偏移。

Characteristics節的屬性

節表示例

前8位元組是節的名字，可以看出名字是.textbss，根據上面節定義可知名字後面是VirtualSize(記憶體中節大小)，我們從73也就是名字結束的地方往後查4個位元組得到VirtualSize的值00010000去掉前面的0得到10000，再從VirtualSize結束的地方查4個位元組得到VirtualAddress的值00001000同樣去掉前面的0得到1000，剩下的成員怎麼找就不贅述了，也是和上面這幾個成員一樣都是查出來的，我們直接看程式碼，用程式碼解析節表。

程式碼解析

#include <stdio.h>
#include <Windows.h>
#define path "C:\\Users\\blue\\Desktop\\Dll1.dll"

void main()
{
FILE* fp = fopen(path, "rb");
fseek(fp, 0, SEEK_END);
int size = ftell(fp);
rewind(fp);
PBYTE ptr = (PBYTE)malloc(size);
memset(ptr, 0, size);
fread(ptr, size, 1, fp);
PIMAGE_DOS_HEADER Dos = (PIMAGE_DOS_HEADER)ptr;
PIMAGE_NT_HEADERS Nt = (PIMAGE_NT_HEADERS)(ptr + Dos->e_lfanew);
PIMAGE_FILE_HEADER File = (PIMAGE_FILE_HEADER)(ptr + Dos->e_lfanew + 4);
PIMAGE_OPTIONAL_HEADER32 Option = (PIMAGE_OPTIONAL_HEADER32)(ptr + Dos->e_lfanew + 20 + 4);
PIMAGE_DATA_DIRECTORY DataDir = Option->DataDirectory;

for (int i = 0; i < 17; i++)
{
printf("VirtualAddress:%x\n", DataDir[i].VirtualAddress);
printf("Size:%x\n", DataDir[i].Size);

}
PIMAGE_SECTION_HEADER Section = IMAGE_FIRST_SECTION(Nt);
printf("節表\n");
for (int i = 0; i < File->NumberOfSections; i++)
{

printf("Name:%s\n", Section[i].Name);
printf("VirtualSize:%x\n", Section[i].Misc.VirtualSize);
printf("VirtualAddress:%x\n", Section[i].VirtualAddress);
printf("SizeOfRawData:%x\n",Section[i].SizeOfRawData);
printf("PointerToRawData:%x\n", Section[i].PointerToRawData);
printf("Characteristics:%x\n", Section[i].Characteristics);
}
getchar();
}

上面說解析過的程式碼就不贅述了，直接看PIMAGE_SECTION_HEADER Section = IMAGE_FIRST_SECTION(Nt);這行程式碼還是定義一個PIMAGE_SECTION_HEADER型別的結構體指標，這裡使用IMAGE_FIRST_SECTION宏來定位節表這樣方便些，當然也可以透過，可選頭的地址+可選頭的大小來定位節表。

for (int i = 0; i < File->NumberOfSections; i++)
{

printf("Name:%s\n", Section[i].Name);
printf("VirtualSize:%x\n", Section[i].Misc.VirtualSize);
printf("VirtualAddress:%x\n", Section[i].VirtualAddress);
printf("SizeOfRawData:%x\n",Section[i].SizeOfRawData);
printf("PointerToRawData:%x\n", Section[i].PointerToRawData);
printf("Characteristics:%x\n", Section[i].Characteristics);
}

因為File頭裡NumberOfSections成員代表節表的數量，所以要用它作為判斷條件，迴圈列印即可，這裡列印名字是要用%s是列印字串時用的，%d是10進位制時用的，%x是列印16進位制時用的

程式執行結果

0x5結語

主要是介紹了Rva與Foa的轉換和資料目錄表，節表中一些比較重要的成員，和如何使用程式碼列印出它們，涉及到指標和結構體相關的知識。

由於作者水平有限，文章如有錯誤歡迎指出。

PE檔案結構解析3
2022-05-30
PE檔案結構解析1
2022-05-20
PE 檔案結構圖
2023-09-05
PE檔案結構複習
2020-11-11
PE檔案結構（五）基址重定位
2014-10-07
PE檔案結構（四）輸出表
2014-10-06
再探.NET的PE檔案結構（安全篇）
2019-05-11
PE檔案結構（二）區塊，檔案偏移與RVA轉換
2014-10-02
PE檔案格式詳細解析（一）
2020-03-08
PE檔案格式詳細解析（二）--IAT
2020-03-08
PE教程2: 檢驗PE檔案的有效性
2015-11-15
PE檔案格式
2015-11-15
深入解析Class類檔案的結構
2019-03-24
PE結構分析（二）
2021-04-24
深入剖析PE檔案
2014-09-25
手工構造一個超微型的 PE 檔案 (轉)
2007-08-17
PE結構體中匯出表/匯入表解析——初階
2018-01-27
結構體
[轉]DB2目錄檔案結構
2011-03-13
DB2
類檔案結構_class類檔案的的結構
2018-04-11
Java虛擬機器，類檔案結構深度解析
2019-05-14
Java虛擬機
oracle體系結構梳理---redo和undo檔案解析
2015-01-26
Oracle
ionic 2.x 3.x專案結構解析
2017-08-16
PE檔案格式的RVA概念
2008-04-14
PE檔案格式詳細解析（六）-- 基址重定位表（Base Relocation Table）
2020-03-10
struts2的工作原理與檔案結構
2020-04-04
羽夏殼世界—— PE 結構（上）
2022-04-10
BMP檔案結構
2013-12-20
Xamarin XAML語言教程XAML檔案結構與解析XAML
2017-04-13
Vue小白課（二）——專案結構解析（Vue2.x）
2019-01-15
Vue
初步瞭解PE檔案格式（上）
2017-07-03
win32 PE 檔案格式 (轉)
2007-12-15
Win32
深入理解jvm-2Edition-類檔案結構
2021-08-13
JVM
PE結構各欄位偏移參考
2013-04-24
office檔案格式複合文件二進位制結構解析
2019-12-16
jmeter基礎之目錄結構解析及配置檔案修改
2020-12-08
JMeter
Class類檔案結構
2017-08-18
wsdl檔案結構分析
2011-06-16
Linux檔案結構
2011-06-19
Linux