Windows逆向工程提升之IMAGE_SECTION_HEADER

typedef struct _IMAGE_SECTION_HEADER {
    BYTE  Name[8];              // 节名称（8字节，非空终止）
    union {
        DWORD PhysicalAddress;  
        DWORD VirtualSize;      // 节在内存中的实际大小（未对齐）
    } Misc;
    DWORD VirtualAddress;       // 节的RVA（内存中的起始地址）
    DWORD SizeOfRawData;        // 节在文件中的大小（对齐后的值）
    DWORD PointerToRawData;     // 节在文件中的偏移
    DWORD PointerToRelocations; // 重定位表偏移（OBJ文件用）
    DWORD PointerToLinenumbers; // 行号表偏移（调试用）
    WORD  NumberOfRelocations;  // 重定位项数
    WORD  NumberOfLinenumbers;  // 行号项数
    DWORD Characteristics;     // 节的属性（可读/写/执行等）
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

字段详细解析

Name[8]

作用：标识节的名称（如.text、.data、.rsrc）。
特点：
- 长度为8字节，可能不以空字符（\0）结尾（需手动处理）。
- 部分名称有特殊含义（如.reloc表示重定位表）。
示例：
- .text：代码段，存放可执行指令。
- .data：已初始化的全局/静态变量。
- .rdata：只读数据（如字符串常量）。
- .rsrc：资源数据（图标、对话框等）。

VirtualSize

作用：节在内存中实际占用的未对齐大小（可能小于内存对齐后的空间）。
示例：若代码段实际大小为0x1234字节，对齐为0x1000，则内存中占用0x2000字节，但VirtualSize仍为0x1234。

VirtualAddress

作用：节在内存中的起始RVA（Relative Virtual Address）。
计算内存地址：内存地址 = ImageBase + VirtualAddress。

SizeOfRawData

作用：节在文件中的对齐后大小（必须是FileAlignment的整数倍）。
填充规则：若实际数据不足对齐值，文件末尾填充0x00。

PointerToRawData

作用：节在文件中的偏移地址（文件指针位置）。
文件读取：通过此偏移可直接定位节数据。

Characteristics

作用：节的属性标志位（通过位掩码组合）。
常见标志：

|------------|----------------------------------|----------------|
| 标志值（十六进制） | 宏定义 | 描述 |
| 0x20000000 | IMAGE_SCN_MEM_EXECUTE | 可执行（代码段） |
| 0x40000000 | IMAGE_SCN_MEM_READ | 可读 |
| 0x80000000 | IMAGE_SCN_MEM_WRITE | 可写（如.data段） |
| 0x00000020 | IMAGE_SCN_CNT_CODE | 包含代码 |
| 0x00000040 | IMAGE_SCN_CNT_INITIALIZED_DATA | 包含已初始化数据 |
| 0x00000080 | IMAGE_SCN_CNT_UNINITIALIZED_DATA | 包含未初始化数据（.bss） |
| 0x02000000 | IMAGE_SCN_MEM_DISCARDABLE | 可丢弃（如.reloc段） |
| 0x10000000 | IMAGE_SCN_MEM_SHARED | 内存中共享（DLL用） |
| 0x00000008 | IMAGE_SCN_MEM_NOT_PAGED | 不可分页（驱动程序用） |

关键知识点

内存与文件布局的差异

对齐规则：
- 内存对齐：由SectionAlignment（通常0x1000）决定。
- 文件对齐：由FileAlignment（通常0x200）决定。
填充示例：
- 文件中的.text段实际数据为0x300字节，对齐到0x200后占用0x400字节。
- 内存中的同一段对齐到0x1000，占用0x1000字节，末尾填充未初始化数据或0xCC（调试版）。

节权限与安全机制

DEP（数据执行保护）：若某节同时具有WRITE和EXECUTE权限，可能被利用执行Shellcode。
修改权限：恶意软件可能添加可写且可执行的节以注入代码。

手动添加/修改节

步骤：
- 在节表中新增条目，设置名称、文件偏移、内存RVA和权限。
- 调整SizeOfImage（在IMAGE_OPTIONAL_HEADER中）。
- 在文件末尾追加节数据（需对齐到FileAlignment）。
用途：
- 添加加密代码段（常见于壳程序）。
- 隐藏敏感数据（如恶意配置）。