Загрузка заголовков PE

По сути, я пытаюсь найти последний раздел PE-файла. Я очень внимательно прочитал спецификацию PE, но не могу понять, где мой код дает сбой.

PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)buffer;
PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)(pidh + pidh->e_lfanew);
PIMAGE_FILE_HEADER pifh = (PIMAGE_FILE_HEADER)&pinh->FileHeader;
PIMAGE_OPTIONAL_HEADER pioh = (PIMAGE_OPTIONAL_HEADER)&pinh->OptionalHeader;
PIMAGE_SECTION_HEADER pish = (PIMAGE_SECTION_HEADER)(pinh + sizeof(IMAGE_NT_HEADERS) + (pifh->NumberOfSections - 1) * sizeof(IMAGE_SECTION_HEADER));

buffer — массив байтов, содержащий загруженный исполняемый файл, а pish — указатель на последний раздел. Почему-то получается, что количество секций превышает 20 000.

Любые идеи ? заранее спасибо


c winapi portable-executable
person Kijan    schedule 09.01.2012    source источник
comment
Я не могу обнаружить, где мой код не работает. - как не получается?   -  person Mitch Wheat    schedule 09.01.2012
comment
Как я уже сказал, количество разделов превышает 20 тысяч. Таким образом, при разыменовании элементов pish программа вылетает.   -  person Kijan    schedule 09.01.2012

Ответы (4)


arrow_upward
16
arrow_downward

Есть одна проблема, которую я вижу навскидку: e_lfanew — это смещение к структуре IMAGE_NT_HEADERS в байтах. Вы добавляете это количество байтов к указателю IMAGE_DOS_HEADER, поэтому вы продвигаетесь вперед на sizeof(IMAGE_DOS_HEADER)*pidh->e_lfanew байт.

Исправленная версия:

PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)buffer;
PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)((BYTE*)pidh + pidh->e_lfanew);
PIMAGE_FILE_HEADER pifh = (PIMAGE_FILE_HEADER)&pinh->FileHeader;
PIMAGE_OPTIONAL_HEADER pioh = (PIMAGE_OPTIONAL_HEADER)&pinh->OptionalHeader;
PIMAGE_SECTION_HEADER pish = (PIMAGE_SECTION_HEADER)((BYTE*)pinh + sizeof(IMAGE_NT_HEADERS) + (pifh->NumberOfSections - 1) * sizeof(IMAGE_SECTION_HEADER));

Лучший способ отладки подобных проблем — заглянуть в код с помощью отладчика и самостоятельно просмотреть данные PE в памяти. Например, вы можете открыть шестнадцатеричный редактор Visual Studio и просмотреть все байтовые данные и какие значения вы на самом деле считываете.

Вот некоторая информация о просмотре памяти программ в VS 2010: http://msdn.microsoft.com/en-us/library/s3aw423e.aspx

person jowo    schedule 09.01.2012
comment
Что ж, большое спасибо, похоже, проблема в моем (не)знании арифметики указателей. :) - person Kijan; 09.01.2012
comment
@jowo должен ли e_magic из IMAGE_DOS_HEADER совпадать с Magic из IMAGE_FILE_HEADER? Если это так, я не знаю, почему я получаю неправильное поведение. Я загрузил свой EXE в объект std::vector<char> bytes и попытался установить IMAGE_DOS_HEADER* img_dos_header = (IMAGE_DOS_HEADER*)&bytes[0];, но магические числа не совпадают с моим IMAGE_FILE_HEADER* coff_file_header = (IMAGE_FILE_HEADER*)&bytes[coff_file_header_offset];, который определенно загружает правильную информацию. Есть идеи, что мне нужно исправить? Или альтернативный способ загрузить IMAGE_DOS_HEADER? - person kayleeFrye_onDeck; 22.05.2017
comment
Итак, e_magic для IMAGE_DOS_HEADER на самом деле является подписью для формата PE... так что &bytes[0] на самом деле было правильным, вычисляя 0x5A4D :) - person kayleeFrye_onDeck; 23.05.2017
comment
Это было хорошее чтение, кстати: what-when-how.com/windows-forensic-analysis/ - person kayleeFrye_onDeck; 23.05.2017
comment
Хорошо, последний вопрос ^_^ Почему вы преобразовали pidh в (BYTE*) при получении заголовка NT? Попытка проследить мыслительный процесс для будущих потенциальных вопросов. - person kayleeFrye_onDeck; 23.05.2017
comment
Перечитайте первый абзац и прочтите об арифметике указателей. Если бы у меня был целочисленный указатель и я добавил 1, это переместило бы адрес на 4 байта вперед. Если бы это был двойной указатель, он бы переместился вперед на 8 байт. Если бы это был указатель байта, он бы переместился вперед на 1 байт. Поскольку e_lfanew — это количество байтов для продвижения вперед, нам нужно преобразовать pidh в указатель байта. В противном случае, поскольку pidh является указателем на структуру, добавление N приведет к перемещению вперед на N*structure_size байтов. - person jowo; 24.05.2017

arrow_upward
1
arrow_downward

Вы просто делаете это неправильно. Я написал для вас код, надеюсь, он поможет. Он может отображать данные последней секции PE-файла.

#include <stdio.h>
#include <malloc.h>
#include <windows.h>

void ShowHexData(BYTE *ptr,DWORD len)
{
    int index = 0;
    int i = 0;
    const int width = 16;
    while(index + width < len)
    {
        int i;
        for(i = 0; i < width; ++i)
        {
            printf(" %02X",ptr[index + i]);
        }
        printf("    \t");
        for(i = 0; i < width; ++i)
        {
            if(ptr[index + i] >= 0x20 &&
                        ptr[index + i] <= 0x7F)
            {
                putchar(ptr[index + i]);
            }else{
                putchar('.');
            }
        }
        index += width;
        putchar('\n');
    }

    for(i = 0; index  + i < len; ++ i)
    {
        printf(" %02X",ptr[index + i]);
    }
    while(i < width)
    {
        printf("   ");
        i += 1;
    }
    printf("    \t");
    for(i = 0; index + i < len; ++ i)
    {
        if(ptr[index + i] >= 0x20 &&
                    ptr[index + i] <= 0x7F)
        {
            putchar(ptr[index + i]);
        }else{
            putchar('.');
        }
    }
    putchar('\n');


}
int main(int argc, char *argv[])
{
    if(argc != 2)
    {
        printf("Usage : %s filename\n",argv[0]);
        return -1;
    }else{
        FILE *fp = fopen(argv[1],"rb");
        IMAGE_DOS_HEADER DosHeader = {0};
        IMAGE_FILE_HEADER FileHeader = {0};
        IMAGE_SECTION_HEADER SectionHeader = {0};
        DWORD Signature = 0;
        DWORD RawPointerToPeHeader = 0, SizeOfFile = 0;
        DWORD SectionCount = 0;
        DWORD ByteCount = 0;
        BYTE *pData = NULL;
        if(!fp)
        {
            perror("");
            return -1;
        }
        fseek(fp,0,SEEK_END);
        SizeOfFile = ftell(fp);
        if(SizeOfFile <
            sizeof(IMAGE_DOS_HEADER) + sizeof(IMAGE_NT_HEADERS))
            goto not_pe_file;
        fseek(fp,0,SEEK_SET);
        fread(&DosHeader,1,sizeof DosHeader,fp);
        if(DosHeader.e_magic != 'M' + 'Z' * 256)
            goto not_pe_file;
        RawPointerToPeHeader = DosHeader.e_lfanew;
        if(SizeOfFile <=
            RawPointerToPeHeader + sizeof(IMAGE_NT_HEADERS))
            goto not_pe_file;
        fseek(fp,RawPointerToPeHeader,SEEK_SET);
        fread(&Signature,1,sizeof(DWORD),fp);
        if(Signature != 'P' + 'E' * 256)
            goto not_pe_file;
        fread(&FileHeader,1,sizeof FileHeader,fp);
        if(FileHeader.SizeOfOptionalHeader !=
            sizeof(IMAGE_OPTIONAL_HEADER))
            goto not_pe_file;
        SectionCount = FileHeader.NumberOfSections;
        if(SectionCount == 0)
        {
            printf("No section for this file.\n");
            fclose(fp);
            return -1;
        }
        if(SizeOfFile <=
            RawPointerToPeHeader +
            sizeof(IMAGE_NT_HEADERS) +
            SectionCount * sizeof(IMAGE_SECTION_HEADER))
            goto not_pe_file;
        fseek(fp,
            RawPointerToPeHeader + sizeof(IMAGE_NT_HEADERS) +
            (SectionCount - 1) * sizeof(IMAGE_SECTION_HEADER),
                SEEK_SET);
        fread(&SectionHeader,1,sizeof SectionHeader,fp);

        ByteCount = SectionHeader.Misc.VirtualSize < SectionHeader.PointerToRawData ?
            SectionHeader.Misc.VirtualSize : SectionHeader.PointerToRawData;

        if(ByteCount == 0)
        {
            printf("No data to read for target section.\n");
            fclose(fp);
            return -1;
        }else if(ByteCount + SectionHeader.PointerToRawData > SizeOfFile)
        {
            printf("Bad section data.\n");
            fclose(fp);
            return -1;
        }
        fseek(fp,SectionHeader.PointerToRawData,SEEK_SET);

        pData = (BYTE*)malloc(ByteCount);

        fread(pData,1,ByteCount,fp);

        ShowHexData(pData,ByteCount);
        free(pData);
        fclose(fp);
        return 0;


not_pe_file:
        printf("Not a PE file.\n");
        fclose(fp);
        return -1;
    }


    return 0;
}

Короче говоря, вы не знаете, где данные, пока не проанализируете данные по заголовку файла.

person for1096    schedule 11.01.2012

arrow_upward
0
arrow_downward

Адреса и данные различных разделов также можно получить следующим образом:

#include<windows.h>
#include<iostream>

int main()
{
    LPCSTR fileName="inputFile.exe";
    HANDLE hFile;
    HANDLE hFileMapping;
    LPVOID lpFileBase;
    PIMAGE_DOS_HEADER dosHeader;
    PIMAGE_NT_HEADERS peHeader;
    PIMAGE_SECTION_HEADER sectionHeader;

    hFile = CreateFileA(fileName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);

    if(hFile==INVALID_HANDLE_VALUE)
    {
        std::cout<<"\n CreateFile failed \n";
        return 1;
    }

    hFileMapping = CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);

    if(hFileMapping==0)
    {
        std::cout<<"\n CreateFileMapping failed \n";
        CloseHandle(hFile);
        return 1;
    }

    lpFileBase = MapViewOfFile(hFileMapping,FILE_MAP_READ,0,0,0);

    if(lpFileBase==0)
    {
        std::cout<<"\n MapViewOfFile failed \n";
        CloseHandle(hFileMapping);
        CloseHandle(hFile);
        return 1;
    }

    dosHeader = (PIMAGE_DOS_HEADER) lpFileBase;
    if(dosHeader->e_magic==IMAGE_DOS_SIGNATURE)
    {
        std::cout<<"\n DOS Signature (MZ) Matched \n";

        peHeader = (PIMAGE_NT_HEADERS) ((u_char*)dosHeader+dosHeader->e_lfanew);
        if(peHeader->Signature==IMAGE_NT_SIGNATURE)
        {
            std::cout<<"\n PE Signature (PE) Matched \n";
            sectionHeader = IMAGE_FIRST_SECTION(peHeader);
            UINT nSectionCount = peHeader->FileHeader.NumberOfSections;

            //No of Sections
            std::cout<<"\n No of Sections : "<<nSectionCount<<"  \n";

            //sectionHeader contains pointer to first section
            //sectionHeader++ will move to next section
            for( UINT i=0; i<nSectionCount; ++i, ++sectionHeader )
            {
                std::cout<<"\n-----------------------------------------------\n";
                std::cout<<"\n Section Name : "<<sectionHeader->Name<<" \n";
                //address can be obtained as (PBYTE)lpFileBase+sectionHeader->PointerToRawData
                std::cout<<"\n Size of section data : "<<sectionHeader->Misc.VirtualSize<<" \n";
                std::cout<<"\n-----------------------------------------------\n";
            }

            //Now sectionHeader will have pointer to last section
            //if you add sectionHeader++ in for loop instead of ++sectionHeader it will point to memory after last section

        }
        else
        {
            return 1;
        }
    }
    else
    {
        return 1;
    }
    return 0;
}
person Nishikant Mokashi    schedule 19.12.2017

arrow_upward
0
arrow_downward

указатель разделов:

PIMAGE_SECTION_HEADER pish = IMAGE_FIRST_SECTION(pinh); // определение в winnt.h

or

PIMAGE_SECTION_HEADER pish = (PIMAGE_SECTION_HEADER )((BYTE*)pioh + pifh->SizeOfOptionalHeader);

последний указатель раздела:

PIMAGE_SECTION_HEADER pilsh = &pish[pifh->NumberOfSections-1]

person Iulian Bute    schedule 05.06.2020