节表:总大小占IMAGE_SECTION_HEADER结构体(40字节) * 节的数量(大小取决于节的数量)
结构体为如下:
typedef struct _IMAGE_SECTION_HEADER {
BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; //当前节的名称 , 占8字节
union {
DWORD PhysicalAddress;
DWORD VirtualSize; //在内存中实际占用的大小
} Misc;
DWORD VirtualAddress; //在内存中的偏移地址,该偏移地址加上imagebase就是当前节数据在内存中的真正地址
DWORD SizeOfRawData; //当前节表在文件中对齐后的大小
DWORD PointerToRawData; //当前节数据在文件中的偏移地址
DWORD PointerToRelocations; // 调试相关
DWORD PointerToLinenumbers;// 调试相关
WORD NumberOfRelocations;// 调试相关
WORD NumberOfLinenumbers;// 调试相关
DWORD Characteristics; //文件属性,比如该节数据属性是否为可执行属性,都在这里面
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
需要记住的:
VirtualSize:当前节数据内存中文件对齐前的真实尺寸,什么意思呢?假如当前节数据实际大小是0x180,但是在文件中需要进行文件对齐(假设当前文件对齐大小为0x200),所以只能是0x200,所以必须多加0x80,而0x180其实就是这里说的 VirtualSize !
问题:自己也一直没理解在内存中文件对齐大小是什么意思,现在自己就直接把它 当作当前节表在没有进行文件对齐大小之前的大小
VirtualAddress :当前节数据在内存中的偏移大小,当前节数据在内存中的地址位置就是该 VirtualAddress + ImageBase,数值总是SectionAlignment的值的整数倍
SizeOfRawData:当前节数据在文件中对齐后的大小,那么也就是文件对齐之后的大小!
PointerToRawData:当前节数据在文件中的偏移地址,当前节数据在文件中的地址位置就是该 PointerToRawData + 0,数值总是FileAlignment的值的整数倍
VirtualSize 可能会比SizeOfRawData 大 也可能会比小
比如定义的全局变量多但是没赋值,就不会存储在文件中,那么在内存中拉伸后的值可能VirtualSize 会比 SizeOfRawData 大!
比如定义的全局变量多并且都赋值,就会存储在文件中,那么在内存中拉伸后的值可能VirtualSize 会比 SizeOfRawData 大!
理解图:
知识点:
代码节的属性一般为60000020H,也就是可执行、可读和"节中包含代码";
数据节的属性 一般为C0000040H,也就是可读、可写和"包含已初始化数据";
而常量节(对应源代码中的.const段)的属性为40000040H,也就是可读 和 "包含已初始化数据";
资源节的属性和常量节的属性一般是相同的。
关于文件属性:
标志(属性块) 常用特征值对照表:
[值:00000020h] [IMAGE_SCN_CNT_CODE // Section contains code.(包含可执行代码)]
[值:00000040h] [IMAGE_SCN_CNT_INITIALIZED_DATA // Section contains initialized data.(该块包含已初始化的数据)]
[值:00000080h] [IMAGE_SCN_CNT_UNINITIALIZED_DATA // Section contains uninitialized data.(该块包含未初始化的数据)]
[值:00000200h] [IMAGE_SCN_LNK_INFO // Section contains comments or some other type of information.]
[值:00000800h] [IMAGE_SCN_LNK_REMOVE // Section contents will not become part of image.]
[值:00001000h] [IMAGE_SCN_LNK_COMDAT // Section contents comdat.]
[值:00004000h] [IMAGE_SCN_NO_DEFER_SPEC_EXC // Reset speculative exceptions handling bits in the TLB entries for this section.]
[值:00008000h] [IMAGE_SCN_GPREL // Section content can be accessed relative to GP.]
[值:00500000h] [IMAGE_SCN_ALIGN_16BYTES // Default alignment if no others are specified.]
[值:01000000h] [IMAGE_SCN_LNK_NRELOC_OVFL // Section contains extended relocations.]
[值:02000000h] [IMAGE_SCN_MEM_DISCARDABLE // Section can be discarded.]
[值:04000000h] [IMAGE_SCN_MEM_NOT_CACHED // Section is not cachable.]
[值:08000000h] [IMAGE_SCN_MEM_NOT_PAGED // Section is not pageable.]
[值:10000000h] [IMAGE_SCN_MEM_SHARED // Section is shareable(该块为共享块).]
[值:20000000h] [IMAGE_SCN_MEM_EXECUTE // Section is executable.(该块可执行)]
[值:40000000h] [IMAGE_SCN_MEM_READ // Section is readable.(该块可读)]
[值:80000000h] [IMAGE_SCN_MEM_WRITE // Section is writeable.(该块可写)]