Windows逆向工程提升之IMAGE_SECTION_HEADER

目录

[IMAGE_SECTION_HEADER 概述](#IMAGE_SECTION_HEADER 概述)

作用

结构体定义

字段详细解析

Name8

VirtualSize

VirtualAddress

SizeOfRawData

PointerToRawData

Characteristics

关键知识点

内存与文件布局的差异

节权限与安全机制

手动添加/修改节


IMAGE_SECTION_HEADER 概述

作用

  • 描述PE文件中各个节(Section)的属性,包括代码、数据、资源等段的文件布局和内存映射规则。
  • 每个节表项对应一个节(如.text、.data、.rdata),定义其名称、大小、偏移、权限等。
  • 节表位于 IMAGE_OPTIONAL_HEADER 之后,节数据紧随其后。

结构体定义

cpp 复制代码
typedef struct _IMAGE_SECTION_HEADER {
    BYTE  Name[8];              // 节名称(8字节,非空终止)
    union {
        DWORD PhysicalAddress;  
        DWORD VirtualSize;      // 节在内存中的实际大小(未对齐)
    } Misc;
    DWORD VirtualAddress;       // 节的RVA(内存中的起始地址)
    DWORD SizeOfRawData;        // 节在文件中的大小(对齐后的值)
    DWORD PointerToRawData;     // 节在文件中的偏移
    DWORD PointerToRelocations; // 重定位表偏移(OBJ文件用)
    DWORD PointerToLinenumbers; // 行号表偏移(调试用)
    WORD  NumberOfRelocations;  // 重定位项数
    WORD  NumberOfLinenumbers;  // 行号项数
    DWORD Characteristics;     // 节的属性(可读/写/执行等)
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

字段详细解析

Name8

  • 作用:标识节的名称(如.text、.data、.rsrc)。
  • 特点:
    • 长度为8字节,可能不以空字符(\0)结尾(需手动处理)。
    • 部分名称有特殊含义(如.reloc表示重定位表)。
  • 示例:
    • .text:代码段,存放可执行指令。
    • .data:已初始化的全局/静态变量。
    • .rdata:只读数据(如字符串常量)。
    • .rsrc:资源数据(图标、对话框等)。

VirtualSize

  • 作用:节在内存中实际占用的未对齐大小(可能小于内存对齐后的空间)。
  • 示例:若代码段实际大小为0x1234字节,对齐为0x1000,则内存中占用0x2000字节,但VirtualSize仍为0x1234。

VirtualAddress

  • 作用:节在内存中的起始RVA(Relative Virtual Address)。
  • 计算内存地址:内存地址 = ImageBase + VirtualAddress。

SizeOfRawData

  • 作用:节在文件中的对齐后大小(必须是FileAlignment的整数倍)。
  • 填充规则:若实际数据不足对齐值,文件末尾填充0x00。

PointerToRawData

  • 作用:节在文件中的偏移地址(文件指针位置)。
  • 文件读取:通过此偏移可直接定位节数据。

Characteristics

  • 作用:节的属性标志位(通过位掩码组合)。
  • 常见标志:

|------------|----------------------------------|----------------|
| 标志值(十六进制) | 宏定义 | 描述 |
| 0x20000000 | IMAGE_SCN_MEM_EXECUTE | 可执行(代码段) |
| 0x40000000 | IMAGE_SCN_MEM_READ | 可读 |
| 0x80000000 | IMAGE_SCN_MEM_WRITE | 可写(如.data段) |
| 0x00000020 | IMAGE_SCN_CNT_CODE | 包含代码 |
| 0x00000040 | IMAGE_SCN_CNT_INITIALIZED_DATA | 包含已初始化数据 |
| 0x00000080 | IMAGE_SCN_CNT_UNINITIALIZED_DATA | 包含未初始化数据(.bss) |
| 0x02000000 | IMAGE_SCN_MEM_DISCARDABLE | 可丢弃(如.reloc段) |
| 0x10000000 | IMAGE_SCN_MEM_SHARED | 内存中共享(DLL用) |
| 0x00000008 | IMAGE_SCN_MEM_NOT_PAGED | 不可分页(驱动程序用) |


关键知识点

内存与文件布局的差异

  • 对齐规则:
    • 内存对齐:由SectionAlignment(通常0x1000)决定。
    • 文件对齐:由FileAlignment(通常0x200)决定。
  • 填充示例:
    • 文件中的.text段实际数据为0x300字节,对齐到0x200后占用0x400字节。
    • 内存中的同一段对齐到0x1000,占用0x1000字节,末尾填充未初始化数据或0xCC(调试版)。

节权限与安全机制

  • DEP(数据执行保护):若某节同时具有WRITE和EXECUTE权限,可能被利用执行Shellcode。
  • 修改权限:恶意软件可能添加可写且可执行的节以注入代码。

手动添加/修改节

  • 步骤:
    • 在节表中新增条目,设置名称、文件偏移、内存RVA和权限。
    • 调整SizeOfImage(在IMAGE_OPTIONAL_HEADER中)。
    • 在文件末尾追加节数据(需对齐到FileAlignment)。
  • 用途:
    • 添加加密代码段(常见于壳程序)。
    • 隐藏敏感数据(如恶意配置)。
相关推荐
Mr-pn-junction21 小时前
clk_gate
单片机·嵌入式硬件·fpga开发
QYR-分析1 天前
机器人安全控制器行业高速扩容 本土替代迎来全新发展窗口期
人工智能·安全·机器人
IpdataCloud1 天前
担心IP暴露隐私?用安全IP查询工具自查,三步配置网络出口
网络·tcp/ip·安全·ip
XUHUOJUN1 天前
Windows 2025架构深度分析之Stretch Cluster 延迟工程现实
windows·microsoft·架构·azure local
尼喃1 天前
662K和65Z5三脚稳压芯片PW6566,附引脚定义与典型电路图
嵌入式硬件
JerrySir1 天前
恶意 npm 包只活了 17 分钟:技术面试里,为什么“升级依赖”还不算止血?
javascript·安全
白帽小阳1 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
love530love1 天前
将 ChatCut MCP 插件从 Codex 桌面应用移植到 WorkBuddy —— 完整适配实录
ide·人工智能·windows·视频剪辑·ai agent
works cart1 天前
windows常用命令
windows
xd1855785551 天前
电影匹配引擎-基于鸿蒙的心情电影推荐应用开发实践
人工智能·安全·华为·harmonyos·鸿蒙