【PE结构】3.区段头

最新推荐文章于 2026-02-09 18:54:51 发布
原创 最新推荐文章于 2026-02-09 18:54:51 发布 · 2.2k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PE结构 #区段头
本文详细介绍了PE文件中的区段头,包括其在PE结构中的位置、作用和重要属性。区段头存储了PE文件主体的属性,如代码段(.text)、数据段(.data)、未初始化数据段(.bss)、只读数据段(.rdata)等。文章还列举了不同编译器生成的PE文件中常见的区段配置。
一、前言
二、PE整体结构
三、DOS头
四、NT头
    4.1.文件头
    4.2.扩展头
五、区段头
六、导出表
七、导入表
八、资源表
九、其他表


五、区段头

概念:
    区段头表存储着PE文件主体也就是区段的一些属性。
    整个区段头表,是一个结构体数组。
    数组中的每个元素,也就是每个结构体,对应着PE文件主体中的一段数据,这段数据成为段或节。
    
结构体:
    这个结构体在winnt.h中可以看到
     
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];		// 区段的名字,最长8字节
    union {
            DWORD   PhysicalAddress;			
            DWORD   VirtualSize;
    } Misc;						// 虚拟内存中,会使用的总大小,未对齐
    DWORD   VirtualAddress;				// 区段起始的相对虚拟基址RVA,VA=程序基址+VirtualAddress
    DWORD   SizeOfRawData;				// 区段在文件中的大小,进行了文件对齐
    DWORD   PointerToRawData;				// 区段的文件偏移
    DWORD   PointerToRelocations;				
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
    由结构体可以看出,结构体是40个字节大小。
    那整个区段头表,是若干40个字节大小的数据块,加上一个40个字节大小的0结束
    
常见区段简介:
    .text段。一般是代码段。
    .data段。一般是数据段。
    .bss段。未初始化数据段。比如static变量,有时在函数内才初始化。
    .rdata段。只读数据段。比如字符串。
    .idata和.edata段。导入表、导出表信息。
    .rsrc段。资源段。
    .reloc段。重定位信息段。

    VC6程序: 四个区段 .text 代码段  .rdata 导入表 .data 数据段 .rsrc 资源段
    VS2008/2013: 五个区段 .text 代码段  .rdata 导入表 .data 数据段 .rsrc 资源段 .reloc
    易语言: 四个区段 .text 代码段  .rdata 导入表 .data 数据段 .rsrc 资源段
    Delphi:八个区段CODE、DATA、BSS、.idata、.tls、.rdata、.reloc、.rsrc
    VB程序:五个区段.text .data .idata .rsrc .reloc
    
易语言PE结构查看
07-21
易语言PE结构查看源码,PE结构查看,子程序1,初始化PE基本信息,判断是否为标准PE结构,定义数据长度,计算偏差,判断是否存在输出表,判断是否存在输入表,查询PE导入表,查询PE输出表
易语言取PE文件区段源码-易语言
06-13
易语言取PE文件区段源码
PE格式区段表学习
字节跳动
12-12 617
1 网址 PE格式解析-区段表及导入表结构详解 2 区段结构
PE结构详解
比尔丁子
03-01 3万+
1 基本概念 下表描述了贯穿于本文中的一些概念: 名称 描述 地址 是“虚拟地址”而不是“物理地址”。为什么不是“物理地址”呢?因为数据在内存的位置经常在变,这样可以节省内存开支、避开错误的内存位置等的优势。同时用户并不需要知道具体的“真实地址”,因为系统自己会为程序准备好内存空间的(只要内存足够大) 镜像文件 包含以EXE文件为代表的“可执行文件”、以D
浅谈PE文件结构和进程内存空间结构(2)
阿狸在狂笑
04-18 1182
#include "stdafx.h" #include "../TestDelayDll/TestDelayDll.h" char abc; int cba = 0x0000a0a0; int _tmain(int argc, _TCHAR* argv[]) { int b = 0x1111; char *ok = "wo shi shui"; char
PE文件结构简述
热门推荐
Shanfenglan's blog
08-03 35万+
简述: PE文件结构分为五个部分: DOS文件 DOS加载模块 PE文件 区段区段 PE文件中显示的所有地址基本都是RVA,倘若想要换算成VA一般需要加上基地址ImageBase与文件偏移地址RVA。 虚拟地址(VA=virtual address):每个32位PE文件被加载到内存的时候都会被分配4GB的虚拟内存,虚拟地址等于“程序的相对虚拟地址+基地址”。 相对虚拟地址(RVA=relatively virtual address):相对虚拟地址是相比较于文件开的地
【第33节】windows原理:初探PE文件
攻城狮7号的博客
03-29 2570
PE文件是有特定格式的文件,像后缀名是EXE的可执行文件、后缀名是DLL的动态链接库文件、sys格式的驱动文件,这些都属于PE格式文件。PE文件主要分成和主体两部分,这两部分里面还会再细分。文件是由几个结构体组成的,包含了文件的一些描述信息;文件主体由多个段构成,里面有文件的可执行代码、执行时要用的数据,还有资源(像Windows程序里的图标、一些界面等)。一般来说,不用于执行的就是数据,用于执行的就是代码,所以主体大概能分成代码和数据两部分,实际上按照不同作用,还能再细分成多个部分。
PE结构--->6.区段区段表区别
最新发布
盾悟
02-09 7449
摘要: PE文件通过区段表(元数据表格)和区段(数据容器)实现模块化。区段表记录各段属性(如.text代码段的文件偏移0x400映射到内存0x1000),指导加载器正确映射;区段存储实际内容(代码、数据等)。若区段表损坏(如条目数篡改为0),程序无法加载。例如,HelloWorld.exe的.text段含机器码,.data段存字符串"HelloWorld",协作实现功能。DLL的.reloc段解决共享库内存重定位问题,确保跨进程地址兼容。(149字)
PE文件结构详解之信息解析
meis27461的博客
06-03 1766
PE文件(Portable Executable File)是Windows上最常见的可执行文件,按文件后缀来说就是.exe.dll文件,还有一些其他的文件,例如.sys系统文件,不过最常见以及常用的就是.exe和.dll,在初学阶段狭义上也可以就把PE文件就理解成.exe和.dll文件。其中的e_magic参数可以用来判断这个文件是不是PE文件。e_lfanew表示的是新的PE的偏移位置,例如程序的起始地址是0x01,e_lfanew的值是0xF0,那么新的PE的位置就是0x01+0xF0。
易语言PE结构分析源码解析
weixin_32661831的博客
03-18 872
易语言作为一种专门面向中文用户的编程语言,自其诞生之日起就承载着让编程更为简易的使命。1.1.1节将概述易语言的起源及其演进,介绍其如何从一个简单的Windows应用程序开发工具成长为一个具有广泛用户基础的编程语言。紧接着,1.1.2节将深入探讨易语言的核心优势,诸如中文语法的便利性、丰富的中文编程资源和多样的应用场景,包括但不限于桌面应用程序开发、游戏制作、网络服务等。
获取PE文件的区段
十年磨一剑,霜刃未曾试!
05-08 4161
 //清空列表控件 m_ListCtrlSection.DeleteAllItems(); IMAGE_DOS_HEADER DosHeader = {0}; IMAGE_FILE_HEADER FileHeader = {0}; HANDLE  hFile = INVALID_HANDLE_VALUE; DWORD  dwReadLen = 0; WORD  NumOfSec = 0; //区段表个数 IMAGE_SECTION_HEADER *pSecHeader = NULL; //打开文件 hFil
DLL引入表重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4469
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无
windows程序逆向笔记(一)
xiaotu0821的博客
12-16 2458
1.吾爱破解 l 按钮-程序运行的日志、插件加载的信息查看 e 按钮-模块信息,程序加载的所有模块、库 都可以看到路径等 双击就可以看到基地址 m 按钮-内存信息 对于 e按钮中 的各个模块的基地址等 t 按钮-线程信息 w 按钮-窗口信息 h 按钮- 一些句柄的信息 c 按钮-反汇编窗口 或者双击 从寄存器的 EIP shift+加号回到之前的位置 p 按钮-记录修改信息 可以在这做还...
符号表和重定位表
侯仕奇的博客
07-01 937
ELF 文件:符号表存储在.symtab或.dynsym段,重定位表存储在.rel.text.rel.data等段。PE 文件:符号表存储在 COFF 符号表部分,重定位表存储在.reloc段。Mach-O 文件:符号表存储在LC_SYMTAB指定的位置,重定位表存储在指定的位置。这些表在程序的加载和执行过程中发挥关键作用,确保符号的正确解析和地址的正确调整。
pe文件节区的删除和增加
m0_62690279的博客
04-10 1854
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件中的 number of section 同样在hxd中修改其
静态分析:IDA逆向代码段说明 text、idata、rdata、data
u012786754的专栏
12-17 4327
一、定义:重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程,也就是说在装入时对目标程序中指令和数据的修改过程。他是实现多道程序在内存中同时运行的基础。重定位有两种,分别是动态重定位与静态重定位 二、分类 1、静态重定位:即在程序装入内存的过程中完成,是指在程序开始运行前,程序中的各个地址有关的项均已完成重定位,地址变换通常是在装入时一次完成的,以后不再改变,故成为静态
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 1037
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo中只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
浅谈PE文件结构(四)
weixin_43137410的博客
07-02 1760
完结啦!撒花!
【破解教程】PE文件格式详解(下)
一个人的软件艺术
02-28 1289
<br /><br />PE文件格式详解(下)<br />预定义段<br />一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标准编译器来指示对代码段和数据段的命名,或者使用名称
基础免杀 从.rsrc加载shellcode上线
2401_83799022的博客
11-25 491
段是PE文件中的一个特定部分,专门用来存储资源数据。这些资源通常包括图标、位图、字符串表、对话框、菜单、版本信息、字体等。这里选择讲shellcode转英文单词 从资源文件读取出来之后再解密。具体的shellcode加载方式不在此探讨 在这使用传统的指针执行。将shellcode修改扩展名为ico 并导入。.rsrc的内存属性是只读 开一块新内存拷过去。获取指定资源的信息块的句柄 传给。指向资源第一个字节的指针。的熵值极高 达到7.99。通过die可以看见此时。从当前进程中查找资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值