.数据类型 区块表, , 总计占40字节 IMAGE_SECTION_HEADER 也叫: 块表、节表
.成员 区块名, 长整数型, , , 占8位 SecName 不能以名称区分区块属性 前面有"$"的区块在载入时会合并!!
.成员 区块长度, 整数型, , , 占4位 VirtualSize 或地址 共用体(变形体?)
.成员 区块的相对偏移, 整数型, , , 占4位 VirtualAddress 内存中相对于镜像基址的偏移。必须是内存对齐(SectionAlignment)的整数倍。
.成员 区块在文件中的对齐后的尺寸, 整数型, , , 占4位 SizeOfRawData 磁盘文件中已初始化数据的大小。它必须是NT头中文件对齐大小(FileAlignment)的倍数。当节中仅包含未初始化的数据时,这个域应该为0
.成员 区块在文件中的相对偏移, 整数型, , , 占4位 PointerToRawData 从文件头算起的 区块中数据起始的文件偏移。它必须是NT头中FileAlignment域的倍数。当节中仅包含未初始化的数据时,这个域应该为0。
.成员 区块重定位的偏移, 整数型, , , 占4位 PointerToRelocations
.成员 区块行号表的偏移, 整数型, , , 占4位 PointerToLinenumbers
.成员 区块重定位项目数, 短整数型, , , 占2位 NumberOfRelocations
.成员 区块行号表中的行数, 短整数型, , , 占2位 NumberOfLinenumbers
.成员 区块属性, 整数型, , , 占4位 characteristics 节标志:6位:可执行代码“.twxt”,7位:已初始化数据,".data" ,8位:未初始化数据,“.bss” ,16位:通过全局指针(GP)来引用的数据, 25位:含扩展的重定们信息,26位:可以被丢弃,27人命关天 :不能被缓存,28不能交换到页面文件中,29可以在内存中共享,30可以作为代码执行,31,可读,32可写。
.数据类型 输出表, , 也叫导出表 .edata节,通常出现在DLL中,
.成员 导出目录表, 导出目录表, , , 40字节
.成员 导出地址表, 导出地址表, , , 8字节 前4字节为偏移,后4字节为指针
.成员 导出名称指针表, , , , 导出名称指针表是由导出名称表中的字符串的地址(RVA)组成的数组。二进制进行排序的,以便于搜索
.成员 导出序号表, , , , 导出序数表是由导出地址表的索引组成的一个数组,每个序数长16位。必须从序数值中减去Ordinal Base域的值得到的才是导出地址表真正的索引。
.成员 导出名称表, , , , 导出名称表的结构就是长度可变的一系列以NULL结尾的ASCII码字符串。
上一篇 通过HOOK进行IP转发和拦截
下一篇 win消息机制动态菜单例子