Пустые данные после OptionalHeader

Я работаю над парсером PE, просто для обучения. Как сказано в документе, заголовок первого раздела должен быть сразу после OptionalHeader, но в моем случае у меня много пустых данных перед первым заголовком. Вот мой код для расчета, где должен быть первый раздел:

IMAGE_NT_HEADERS* inth = get_nt_headers(buffer);

DWORD optional_headers_size = inth->FileHeader.SizeOfOptionalHeader;
DWORD calculated_ptr = (DWORD)inth + optional_headers_size;

printf("Pointer to IMAGE_NT_HEADERS: %p\n", inth);

printf("Size of optional headers: %x\n", optional_headers_size);

printf("Pointer to first section header: %p\n", calculated_ptr);

BYTE* pointer = (BYTE*)calculated_ptr;

Когда я перебираю «указатель», я вижу много данных, допускающих значение NULL, поэтому это не тот раздел, который мне нужен. PEView или Heexplorer тоже показывают пустые данные. Почему это? Эта обнуляемая часть данных занимает около 24 байт.

Приложение, которое я анализирую, представляет собой простой HelloWorld.exe.

Меня смущает еще одно.

В FileHeader я установил 13 разделов, но если я взгляну на PEView в IMAGE_OPTIONAL_HEADER, я увижу 16 разделов, но последние 3 раздела имеют какие-либо назначенные значения, что означает, что RVA и размер установлены на 0. Эти разделы: DELAY_IMPORT_DESCRIPTORS, CLI_HEADER, но у последнего нет имени.

Я подсчитал, что размер этих трех последних разделов составляет 24 байта. Это точно так же, как я упоминал ранее.

Итак, как я могу вычислить, где именно находится первый IMAGE_SECTION_HEADER?

Проблема решена, но я не уверен в своем решении.

DWORD padding = (IMAGE_NUMBEROF_DIRECTORY_ENTRIES - inth->FileHeader.NumberOfSections) * sizeof(IMAGE_DATA_DIRECTORY);
DWORD calculated_ptr = (DWORD)inth + padding + optional_headers_size;

c reverse-engineering portable-executable

14.08.2018

Почему вы не уверены в своем решении? 14.08.2018
ваше решение конечно неверно 15.08.2018

Ответы:

прежде всего - никогда не используйте DWORD вместо указателя места. это ошибка. DWORD всегда имеет размер 4 байта, когда указатель 4 или 8. код типа

DWORD calculated_ptr = (DWORD)inth + optional_headers_size;

всегда неправильно. вы можете использовать DWORD_PTR (что точно соответствует размеру указателя) вместо DWORD.

затем SizeOfOptionalHeader как легко понять, размер IMAGE_OPTIONAL_HEADER является частью IMAGE_NT_HEADERS. но такой код

DWORD_PTR calculated_ptr = (DWORD_PTR)inth + inth->FileHeader.SizeOfOptionalHeader; используйте SizeOfOptionalHeader как размер IMAGE_NT_HEADERS. вы просто путаете размер IMAGE_NT_HEADERS с размером IMAGE_OPTIONAL_HEADER

так что правильное решение будет

    PIMAGE_SECTION_HEADER pish = (PIMAGE_SECTION_HEADER)(
        (ULONG_PTR)&inth->OptionalHeader + inth->FileHeader.SizeOfOptionalHeader);

нужно добавить SizeOfOptionalHeader не к inth (адрес PIMAGE_NT_HEADERS), а к &inth->OptionalHeader

или лучше использовать PIMAGE_SECTION_HEADER pish = IMAGE_FIRST_SECTION(inth);

IMAGE_FIRST_SECTION - это готовый макрос, определенный в winnt.h, который имеет тот же эффект (производит тот же код), что и (PIMAGE_SECTION_HEADER)((ULONG_PTR)&inth->OptionalHeader + inth->FileHeader.SizeOfOptionalHeader);

14.08.2018

Ваше решение лучше основного. Но у меня есть еще один вопрос. Почему указатель на OptionalHeader должен быть приведен к ULONG_PTR? 15.08.2018

@ bielu000 - его не нужно приводить. но нам нужно сделать некоторую арифметику указателя. нам нужно добавить некоторое смещение (SizeOfOptionalHeader) к этому указателю. как это сделать? например, путем временного приведения к ULONG_PTR или BYTE*. 15.08.2018

Хорошо спасибо. Еще один простой вопрос :) В моем случае лучше приводить к ULONG_PTR, BYTE* или без разницы? 16.08.2018

@bielu000 - если вы знаете c - вы должны знать, что это абсолютно ничего не меняет 16.08.2018

Новые материалы

Кластеризация: более глубокий взгляд

Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..

Как написать эффективное резюме

Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..

Частный метод Python: улучшение инкапсуляции и безопасности

Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..

Как я автоматизирую тестирование с помощью Jest

Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..

Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)

Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..

Понимание расстояния Вассерштейна: мощная метрика в машинном обучении

В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..

Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot

В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..

Machine Learning JavaScript Blockchain Artificial Intelligence Data Science Cryptocurrency Software Development Python Web Development Coding Deep Learning AI Bitcoin React Software Engineering Ethereum Web3 Business Crypto Nodejs Solidity Development Front End Development Data Finance Money Java Trading Typescript Smart Contracts Productivity Tech Startup Investing Neural Networks Developer Computer Science NLP