使用C ++获取文件的节名和标题

#1 楼

我在Windows上解析PE方面具有丰富的经验，主要用于函数拦截。以下是实现目标所应遵循的步骤。

第一步是找到加载到内存中的图像的基地址。根据可执行文件是否已映射到内存，此步骤将有所不同，但是基本思路是相同的。假设您有兴趣对磁盘上的文件执行此操作，则可以使用文件映射API进行此操作，如果您希望在作为运行进程加载到内存的可执行文件上实现此功能，则可以通过使用工具帮助快照API。基址将与从快照检索到的hModule数据中的字段MODULEENTRY32相同。有关模块句柄是什么的更多信息，请参见此处。

完成第一步后，基地址的结构为IMAGE_DOS_HEADER，尽管MSDN上未对此进行记录，但它具有两个非常重要但神秘的领域。您将需要知道的两个字段是e_magic字段和e_lfanew字段。 e_magic字段包含一个用于32位的双字或一个用于64位的四字，可让您测试是否正在读取文件或实现是否被正确格式化，且正确的值定义为IMAGE_DOS_SIGNATURE，即ASCII-Z字符串“ MZ \ 0”。 e_lfanew字段包含一个相对虚拟地址，您需要将该相对虚拟地址添加到在第一步中找到的映像库中，以计算IMAGE_NT_HEADERS结构的虚拟地址。

第三步将检查第一个成员IMAGE_NT_HEADERS的值以查看它是否是实际的PE文件，这将由结构的Signature字段定义，并且要测试的已定义常数将为IMAGE_NT_SIGNATURE。通常这不是必需的，因为大多数Windows版本将使用可执行文件的PE格式，但这是一种很好的做法，可以确保您的代码更加健壮。

一切检查完毕并执行了步骤1-3后，第四步即是您终于可以计算出IMAGE_SECTION_HEADER结构的地址了。 IMAGE_SECTION_HEADER结构以数组形式存储在文件中，因此要获取数组的大小，您将需要使用嵌套在上述NumberOfSections结构中的IMAGE_FILE_HEADER结构中的IMAGE_NT_HEADERS成员。通过添加IMAGE_SECTION_HEADER结构的Signature成员的大小，IMAGE_NT_HEADERS结构中的FileHeader成员的大小以及最后IMAGE_NT_HEADERS结构中的SizeOfOptionalHeader值，可以找到第一个IMAGE_FILE_HEADER的虚拟地址。您不能简单地对上面列出的公式中的最后一个值执行sizeof( IMAGE_OPTIONAL_HEADER )的原因是因为磁盘上的文件将没有IMAGE_OPTIONAL_HEADER，因此要动态获取适当的大小，您应该通过结构成员I前面已经提到过。

现在，您可以随意从内存中复制IMAGE_SECTION_HEADER结构数组。请记住，这些结构在内存中是连续的，因此您要做的就是将每个结构的大小乘以段数，以找到内存中整个数组的总大小。计算完该值之后，收集数据将变得很简单。

有关PE可执行格式的更多资源，请参见PE深入PE中的Matt Pietrek撰写的精彩文章。您也可以在这里查看官方规格。