PE文件格式詳解(4)

2019-11-17 05:04:19

字體：大中小

來源：轉載

供稿：網友

PE文件段

　　PE文件規范由目前為止定義的那些頭部以及一個名為“段”的一般對象組成。段包含了文件的內容，包括代碼、數據、資源以及其它可執行信息，每個段都有一個頭部和一個實體（原始數據）。我將在下面描述段頭部的有關信息，但是段實體則缺少一個嚴格的文件結構。因此，它們幾乎可以被鏈接器按任何的方法組織，只要它的頭部填充了足夠能夠解釋數據的信息。 段頭部 　　PE文件格式中，所有的段頭部位于可選頭部之后。每個段頭部為40個字節長，并且沒有任何的填充信息。段頭部被定義為以下的結構：

WINNT.H
#define IMAGE_SIZEOF_SHORT_NAME 8
typedef strUCt _IMAGE_SECTION_HEADER {
UCHAR Name[IMAGE_SIZEOF_SHORT_NAME];
union {
    ULONG PhysicalAddress;
    ULONG VirtualSize;
} Misc;
ULONG VirtualAddress;
ULONG SizeOfRawData;
ULONG PointerToRawData;
ULONG PointerToRelocations;
ULONG PointerToLinenumbers;
USHORT NumberOfRelocations;
USHORT NumberOfLinenumbers;
ULONG Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

　　你如何才能獲得一個特定段的段頭部信息？既然段頭部是被連續的組織起來的，而且沒有一個特定的順序，那么段頭部必須由名稱來定位。以下的函數示范了如何從一個給定了段名稱的PE映像文件中獲得一個段頭部：

PEFILE.C
BOOL WINAPI GetSectionHdrByName(LPVOID lpFile,
    IMAGE_SECTION_HEADER *sh, char *szSection)
{
PIMAGE_SECTION_HEADER psh;
int nSections = NumOfSections (lpFile);
int i;
if ((psh = (PIMAGE_SECTION_HEADER)SECHDROFFSET(lpFile))
      != NULL)
    {
    /* 由名稱查找段 */
    for (i = 0; i < nSections; i++)
    {
      if (!strcmp(psh->Name, szSection))
      {

        /* 向頭部復制數據 */
        CopyMemory((LPVOID)sh, (LPVOID)psh,
            sizeof(IMAGE_SECTION_HEADER));
        return TRUE;
      }
      else
        psh++;

    }
}
return FALSE;
}

　　這個函數通過SECHDROFFSET宏將第一個段頭部定位，然后它開始在所有段中循環，并將要尋找的段名稱和每個段的名稱相比較，直到找到了正確的那一個為止。當找到了段的時候，函數將內存映像文件的數據復制到傳入函數的結構中，然后IMAGE_SECTION_HEADER結構的各域就能夠被直接存取了。    段頭部的域 　　·Name。每個段都有一個8字符長的名稱域，并且第一個字符必須是一個句點。
　　·PhysicalAddress或VirtualSize。第二個域是一個union域，現在已不使用了。

　　·VirtualAddress。這個域標識了進程地址空間中要裝載這個段的虛擬地址。實際的地址由將這個域的值加上可選頭部結構中的ImageBase虛擬地址得到。切記，假如這個映像文件是一個DLL，那么這個DLL就不一定會裝載到ImageBase要求的位置。所以一旦這個文件被裝載進入了一個進程，實際的ImageBase值應該通過使用GetModuleHandle來檢驗。

　　·SizeOfRawData。這個域表示了相對FileAlignment的段實體尺寸。文件中實際的段實體尺寸將少于或等于FileAlignment的整倍數。一旦映像被裝載進入了一個進程的地址空間，段實體的尺寸將會變得少于或等于FileAlignment的整倍數。
　　·PointerToRawData。這是一個文件中段實體位置的偏移量。

　　·PointerToRelocations、PointerToLinenumbers、NumberOfRelocations、NumberOfLinenumbers。這些域在PE格式中不使用。

　　·Characteristics。定義了段的特征。這些值可以在WINNT.H及本光盤（譯注：MSDN的光盤）的PE格式規范中找到。

值定義0x00000020代碼段0x00000040已初始化數據段0x00000080未初始化數據段0x04000000該段數據不能被緩存0x08000000該段不能被分頁0x10000000共享段0x20000000可執行段0x40000000可讀段0x80000000可寫段 定位數據目錄　　數據目錄存在于它們相應的數據段中。典型地來說，數據目錄是段實體中的第一個結構，但不是必需的。由于這個緣故，假如你需要定位一個指定的數據目錄的話，就需要從段頭部和可選頭部中獲得信息。

　　為了讓這個過程簡單一點，我編寫了以下的函數來定位任何一個在WINNT.H之中定義的數據目錄。

PEFILE.C
LPVOID WINAPI ImageDirectoryOffset(LPVOID lpFile,
DWord dwIMAGE_DIRECTORY)
{
PIMAGE_OPTIONAL_HEADER poh;
PIMAGE_SECTION_HEADER psh;
int nSections = NumOfSections(lpFile);
int i = 0;
LPVOID VAImageDir;
/* 必須為0到(NumberOfRvaAndSizes-1)之間 */
if (dwIMAGE_DIRECTORY >= poh->NumberOfRvaAndSizes)
return NULL;
/* 獲得可選頭部和段頭部的偏移量 */
poh = (PIMAGE_OPTIONAL_HEADER)OPTHDROFFSET(lpFile);
psh = (PIMAGE_SECTION_HEADER)SECHDROFFSET(lpFile);
/* 定位映像目錄的相對虛擬地址 */
VAImageDir = (LPVOID)poh->DataDirectory

      [dwIMAGE_DIRECTORY].VirtualAddress;
/* 定位包含映像目錄的段 */
while (i++ < nSections)
{
    if (psh->VirtualAddress <= (DWORD)VAImageDir &&
        psh->VirtualAddress +

        psh->SizeOfRawData > (DWORD)VAImageDir)
      break;
    psh++;
}
if (i > nSections)
    return NULL;
/* 返回映像導入目錄的偏移量 */
return (LPVOID)(((int)lpFile +
      (int)VAImageDir. psh->VirtualAddress) +
      (int)psh->PointerToRawData);
}

　　該函數首先確認被請求的數據目錄入口數字，然后它分別獲取指向可選頭部和第一個段頭部的兩個指針。它從可選頭部決定數據目錄的虛擬地址，然后它使用這個值來決定數據目錄定位在哪個段實體之中。假如適當的段實體已經被標識了，那么數據目錄特定的位置就可以通過將它的相對虛擬地址轉換為文件中地址的方法來找到。（未完待續）

上一篇：PE文件格式詳解(1)

下一篇：PE文件格式詳解(3)