Windows逆向工程提升之IMAGE_SECTION_HEADER

• 公开视频 -> 链接点击跳转公开课程
• 博客首页 -> ​​​链接点击跳转博客主页

目录

[IMAGE_SECTION_HEADER 概述](#IMAGE_SECTION_HEADER 概述)

作用

结构体定义

字段详细解析

Name[8]

VirtualSize

VirtualAddress

SizeOfRawData

PointerToRawData

Characteristics

关键知识点

内存与文件布局的差异

节权限与安全机制

手动添加/修改节

---

IMAGE_SECTION_HEADER 概述

作用

• 描述PE文件中各个节（Section）的属性，包括代码、数据、资源等段的文件布局和内存映射规则。
• 每个节表项对应一个节（如.text、.data、.rdata），定义其名称、大小、偏移、权限等。
• 节表位于 IMAGE_OPTIONAL_HEADER 之后，节数据紧随其后。

结构体定义

typedef struct _IMAGE_SECTION_HEADER {
    BYTE  Name[8];              // 节名称（8字节，非空终止）
    union {
        DWORD PhysicalAddress;  
        DWORD VirtualSize;      // 节在内存中的实际大小（未对齐）
    } Misc;
    DWORD VirtualAddress;       // 节的RVA（内存中的起始地址）
    DWORD SizeOfRawData;        // 节在文件中的大小（对齐后的值）
    DWORD PointerToRawData;     // 节在文件中的偏移
    DWORD PointerToRelocations; // 重定位表偏移（OBJ文件用）
    DWORD PointerToLinenumbers; // 行号表偏移（调试用）
    WORD  NumberOfRelocations;  // 重定位项数
    WORD  NumberOfLinenumbers;  // 行号项数
    DWORD Characteristics;     // 节的属性（可读/写/执行等）
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

---

字段详细解析

Name[8]

• 作用：标识节的名称（如.text、.data、.rsrc）。
• 特点：
  • 长度为8字节，可能不以空字符（\0）结尾（需手动处理）。
  • 部分名称有特殊含义（如.reloc表示重定位表）。
• 示例：
  • .text：代码段，存放可执行指令。
  • .data：已初始化的全局/静态变量。
  • .rdata：只读数据（如字符串常量）。
  • .rsrc：资源数据（图标、对话框等）。

VirtualSize

• 作用：节在内存中实际占用的未对齐大小（可能小于内存对齐后的空间）。
• 示例：若代码段实际大小为0x1234字节，对齐为0x1000，则内存中占用0x2000字节，但VirtualSize仍为0x1234。

VirtualAddress

• 作用：节在内存中的起始RVA（Relative Virtual Address）。
• 计算内存地址：内存地址 = ImageBase + VirtualAddress。

SizeOfRawData

• 作用：节在文件中的对齐后大小（必须是FileAlignment的整数倍）。
• 填充规则：若实际数据不足对齐值，文件末尾填充0x00。

PointerToRawData

• 作用：节在文件中的偏移地址（文件指针位置）。
• 文件读取：通过此偏移可直接定位节数据。

Characteristics

• 作用：节的属性标志位（通过位掩码组合）。
• 常见标志：

|------------|----------------------------------|----------------|
| 标志值（十六进制） | 宏定义 | 描述 |
| 0x20000000 | IMAGE_SCN_MEM_EXECUTE | 可执行（代码段） |
| 0x40000000 | IMAGE_SCN_MEM_READ | 可读 |
| 0x80000000 | IMAGE_SCN_MEM_WRITE | 可写（如.data段） |
| 0x00000020 | IMAGE_SCN_CNT_CODE | 包含代码 |
| 0x00000040 | IMAGE_SCN_CNT_INITIALIZED_DATA | 包含已初始化数据 |
| 0x00000080 | IMAGE_SCN_CNT_UNINITIALIZED_DATA | 包含未初始化数据（.bss） |
| 0x02000000 | IMAGE_SCN_MEM_DISCARDABLE | 可丢弃（如.reloc段） |
| 0x10000000 | IMAGE_SCN_MEM_SHARED | 内存中共享（DLL用） |
| 0x00000008 | IMAGE_SCN_MEM_NOT_PAGED | 不可分页（驱动程序用） |

---

关键知识点

内存与文件布局的差异

• 对齐规则：
  • 内存对齐：由SectionAlignment（通常0x1000）决定。
  • 文件对齐：由FileAlignment（通常0x200）决定。
• 填充示例：
  • 文件中的.text段实际数据为0x300字节，对齐到0x200后占用0x400字节。
  • 内存中的同一段对齐到0x1000，占用0x1000字节，末尾填充未初始化数据或0xCC（调试版）。

节权限与安全机制

• DEP（数据执行保护）：若某节同时具有WRITE和EXECUTE权限，可能被利用执行Shellcode。
• 修改权限：恶意软件可能添加可写且可执行的节以注入代码。

手动添加/修改节

• 步骤：
  • 在节表中新增条目，设置名称、文件偏移、内存RVA和权限。
  • 调整SizeOfImage（在IMAGE_OPTIONAL_HEADER中）。
  • 在文件末尾追加节数据（需对齐到FileAlignment）。
• 用途：
  • 添加加密代码段（常见于壳程序）。
  • 隐藏敏感数据（如恶意配置）。