PE文件格式学习笔记-writer15-ChinaUnix博客

抽刀断水writer15.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

writer15

博客访问： 167902
博文数量： 36
博客积分： 1466
博客等级：上尉
技术积分： 380
用户组：普通用户
注册时间： 2007-04-17 17:43

文章分类

全部博文（36）

openwrt（3）
计算机网络和维护（4）
emule（1）
0DAY（4）
新闻评论（0）
bittorrent技术（9）

libtorrent（4）

libbt（4）
linux（4）
python/lua（1）
C++（1）

boost（1）
未分配的博文（9）

推荐博文

相关博文

PE文件格式学习笔记

分类：网络与安全

2008-07-08 00:09:34

PE文件的格式比较复杂，复习下面的名词

file offset         = 文件偏移
raw offset                    = 物理地址
virtual address(VA)   = 虚拟地址
relative virtual address(RVA) = 相对虚拟地址

相对虚拟地址(RVA) = 虚拟地址(VA) - 基地址(ImageBase)

File Offset = RVA - Δk
File Offset = VA - ImageBase - Δk

------------------------------------
PE文件格式的总体结构主要如下图

------------------------------------------------------------------------
在shallcode和脱壳的过程中主要是对输出表和输入表做手脚，所以重点记下。

输出表结构定义如下

输出表的作用是帮助我们通过函数名字或者函数序号找到函数地址。

从序号(ordIndex) 得到某一函数的RVA 方法为：
WORD functionIndex = AddressOfNameOrdinals[ordIndex - Base];
DWORD functionAddress = AddressOfFunctions[functionIndex]

从函数名称(function_name) 得到函数的RVA方法复杂一点：
WORD nameIndex = FindIndexOfString(AddressOfNames, "function_name");
WORD functionIndex = AddressOfNameOrdinals[nameIndex];
DWORD functionAddress = AddressOfFunctions[functionIndex];

关于 AddressOfFunctions 数组，有两件重要的事情需记住。第一，如果 Base 是 10 ，则此数组之第一个 DWORD 应该对应序号 10 ，第二个 DWORD 应该对应序号 11 ，依此类推。第二，序号可以跳号。如果此一模块输出两个函数（假设Base为1），序号为 1 和 3 ，AddressOfFunctions 数组还是需要三个元素。数组中的元素如果不对应到一个输出函数，那么元素内容应该是 0 。

AddressOfNames，此数组每个元素所向的函数名字必须是唯一的。但是不同的函数名字可能指向同一个函数地址。

AddressOfNameOrdinals中的元素和AddressOfNames一一对应。但它的元素值不必是唯一的（因为不同的函数名字可以指向同一个函数）。

在研究输入表的过程中我以一个样板DLL为例，画了一个图~~~

-----------------------------------------------------------------------

输入表输入表

阅读(1826) | 评论(0) | 转发(0) |

上一篇：《0day安全：软件漏洞分析技术》学习笔记-----第六章

下一篇：自己的SHELLCODE

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6