获取 PE 文件的 .text 节标题

Question

我正在尝试获取 .text 部分的标题。 似乎起作用的是：

// Get the DOS header.
pDosHeader = (PIMAGE_DOS_HEADER) hMap;

// Get header of first section
pSectionHeader = (PIMAGE_SECTION_HEADER) ((DWORD) hMap + pDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));

// Get last section's header.
pLastSectionHeader = pSectionHeader + (pNtHeaders->FileHeader.NumberOfSections - 1);

但我不完全明白为什么。我原以为最后一条指令必须是：

// Get last section's header.
pLastSectionHeader = pSectionHeader + (pNtHeaders->FileHeader.NumberOfSections - 1) * sizeof(IMAGE_SECTION_HEADER);

以便指针移动section-header。

另外，(pNtHeaders->FileHeader.NumberOfSections - 1) 真的是 .text 部分吗？

Answer 1

原因

pLastSectionHeader = pSectionHeader + (pNtHeaders->FileHeader.NumberOfSections - 1);

是正确的，pSectionHeader 的类型是 PIMAGE_SECTION_HEADER。当您在 C 中将整数值添加到指针时，该值将首先乘以所指向对象的大小（即IMAGE_SECTION_HEADER）。这就是指针算法的工作原理！

您不应假设链接器放置不同部分的顺序。最好遍历所有节标题，例如将部分的名称与.text 匹配。

另外，我不建议使用sizeof(IMAGE_NT_HEADERS) 来跳过可选标题。这是因为IMAGE_OPTIONAL_HEADER 结构（包含在IMAGE_NT_HEADERS 中）以IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; 结尾，您实际上并不能保证PE 映像中存在所有数据目录。更好的方法是读取可选标题，并使用NumberOfRvaAndSizes 字段来确定您应该跳过多少个数据目录来查找节标题表。

最后，我建议您使用结构的IMAGE_XYZ32 和IMAGE_XYZ64 版本，而不仅仅是IMAGE_XYZ，具体取决于您是要解析PE32（32 位）还是PE32+（64 位） ）。否则，您将默认使用系统默认的架构大小。

Answer 2

给你：

// Get DOS and PE Header
PIMAGE_DOS_HEADER hdos = (PIMAGE_DOS_HEADER)pe_file.data();
PIMAGE_NT_HEADERS hpe = (PIMAGE_NT_HEADERS)((DWORD)hdos + hdos->e_lfanew);

// Get header of first section
DWORD section_offset = (DWORD)hdos + hdos->e_lfanew + sizeof(IMAGE_NT_HEADERS);
PIMAGE_SECTION_HEADER text_section = (PIMAGE_SECTION_HEADER)(section_offset);