吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 1801|回复: 0

[C/C++] 读取PE结构中的数据目录项

[复制链接]
TImor 发表于 2018-8-19 13:21 | 显示全部楼层 |阅读模式

中断了一段时间PE的学习,从昨天开始捡起来,研究了一下NT头里边的optionalheader的数据目录项,里边存放着很多重要的表的数据,想要解析那些表,就必须要能够解析这个数组。
[C] 纯文本查看 复制代码
typedef struct _IMAGE_DATA_DIRECTORY {
        DWORD VirtualAddress; //相对虚拟地址
    DWORD Size;      //大小
 
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

这是vs里边给出的定义,数据目录在winnt.h中的定义为
[C] 纯文本查看 复制代码
#define IMAGE_DIRECTORY_ENTRY_EXPORT        0 导出表
#define IMAGE_DIRECTORY_ENTRY_IMPORT        1 导入表 
#define IMAGE_DIRECTORY_ENTRY_RESOURCE      2 资源目录
#define IMAGE_DIRECTORY_ENTRY_EXCEPTION         3 异常目录
#define IMAGE_DIRECTORY_ENTRY_SECURITY      4 安全目录
#define IMAGE_DIRECTORY_ENTRY_BASERELOC             5 重定位基本表
#define IMAGE_DIRECTORY_ENTRY_DEBUG         6 调试目录
#define IMAGE_DIRECTORY_ENTRY_COPYRIGHT         7 描术字串
#define IMAGE_DIRECTORY_ENTRY_GLOBALPTR         8 机器值
#define IMAGE_DIRECTORY_ENTRY_TLS       9 TLS目录
#define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG   10 载入配值目录
#define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT       11 绑定输入表
#define IMAGE_DIRECTORY_ENTRY_IAT       12 导入地址表
#define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT  13 延迟载入描述
#define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR     14 COM信息

这是15个基本表,其实一共有16个但是第十六个保留不适用所以没有写,想要用代码找必须要会手动查找。这里我是用的软件是windows自带的notepad  工具为UltraEdit


                               
登录/注册后可看大图

通过查询PE文件结构可以知道,数据目录项在节表上方,16项每项的大小为8个字节,所以从节表开始出向上找8行。(但是这个地方我有点不理解为什么是virtualaddress在前,size在后边,看定义的时候位置是相反的。)
手动找到完成之后开始使用代码写,大体步骤为:
1、将文件读到缓冲区。
2、定义每个pe头的信息。
3、定义数据目录项指针将指针指向数据目录项、
4、打印信息。
代码为:
[C] 纯文本查看 复制代码
VOID DirectoryPrintf()
{
    PIMAGE_DOS_HEADER pDosHeader = NULL;
    PIMAGE_NT_HEADERS pNTHeader = NULL;
    PIMAGE_FILE_HEADER pFileHeader = NULL;
    PIMAGE_OPTIONAL_HEADER pOptionalHeader = NULL;
    PIMAGE_DATA_DIRECTORY pDirectory = NULL;
 
    BYTE Length = 8;  //本来是想通过加上长度来移动指针,发现不可以 这个地方忽略
 
    LPVOID pFileBuffer = NULL;
    ReadPEFile(INFILEPATH, &pFileBuffer);
 
    //判断读取文件是否成功
    if (!pFileBuffer){
        printf("读取文件失败");
        free(pFileBuffer);
        return;
    }
 
    //如果读取成功进行操作
    pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer;
    pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer + pDosHeader->e_lfanew);
    pFileHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
    pOptionalHeader = (PIMAGE_OPTIONAL_HEADER)((DWORD)pFileHeader + IMAGE_SIZEOF_FILE_HEADER);
    pDirectory = (PIMAGE_DATA_DIRECTORY)(((DWORD)pOptionalHeader) + 96);
 
    //输出各种表的信息~
    printf("导出表:size: %x virtualaddress: %x\n",pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("导入表:SIZE:%x  virtualaddress:%x\n", pDirectory->Size,pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("资源目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("异常目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("安全目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("重定位基本表:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("调试目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("描述字串:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("机器值:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("TLS目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("载入配值目录:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("绑定输入表:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("导入地址表:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("延迟载入描述:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("COM信息:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    pDirectory++;
    printf("未使用的表:Size %x  VirtualAddress: %x\n", pDirectory->Size, pDirectory->VirtualAddress);
    printf("=====================================\n");
 
    free(pFileBuffer);
     
}

运行结果为:
[url=]

                               
登录/注册后可看大图
[/url]




UE查询

UE查询

运行结果

运行结果

评分

参与人数 6HB +12 THX +4 收起 理由
消逝的过去 + 1
zxjzzh + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
agan8888 + 1
playboy + 1
山梦 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
Shark恒 + 10 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表