PE之代码解析异常表
1)异常表
异常表(ExceptionTable,注意你拼写的Exection是笔误,正确为Exception)是PE(PortableExecutable)文件格式中用于存储结构化异常处理(SEH)和基于帧的异常处理(EH)相关信息的数据结构,是Windows系统处理程序运行时异常(如内存访问错误,除零错误等)的核心依据。
咱们来看下逆向破解中的典型场景:
识别程序中的异常处理逻辑边界(比如壳通过异常表实现反调试,代码混淆);
定位恶意代码中隐藏的执行流(异常处理常被用作执行流跳转的后门);
修复脱壳后PE文件的异常表(避免程序运行时崩溃)。
2)解析异常表
解析异常表的核心目标是定位异常表在PE文件中的物理位置,解析表内每一条异常处理记录的结构,提取关键地址信息,最终还原程序的异常处理逻辑;异常表的核心定位逻辑为PE文件的异常表信息首先存储在可选头(OptionalHeader)的DataDirectory数组中,索引为IMAGE_DIRECTORY_ENTRY_EXCEPTION(数值为0x04),该位置会记录异常表的虚拟地址(VirtualAddress,VA,即异常表在内存中的起始地址)和大小(Size,即异常表的总字节数),解析时需先通过该索引找到异常表的VA和Size,再将VA转换为文件中的物理偏移(RawOffset),最终读取并解析表内数据。
3)程序开发流程
前期基本流程和导入表基本大差不差哦
1.文件读取:首先把要分析的EXE或DLL文件以二进制方式打开,将文件里所有内容读到内存里的一个临时区域(咱们叫它buf)。
2.定位DOS头:接着把这个buf转换成能识别PE文件开头DOS头的格式(PIMAGE_DOS_HEADER),校验DOS头的e_magic字段是否为IMAGE_DOS_SIGNATURE(0x5A4D,即"MZ"),确认是有效PE文件。
3.定位NT头:找到DOS头里的e_lfanew这个关键值,用它加上buf的起始位置定位到PE文件的核心NT头(PIMAGE_NT_HEADERS32/PIMAGE_NT_HEADERS64),校验NT头的Signature字段是否为IMAGE_NT_SIGNATURE(0x00004550,即"PE")。
4.区分PE位数:通过NT头中OptionalHeader.Magic字段判断PE文件是32位(IMAGE_NT_OPTIONAL_HDR32_MAGIC)还是64位(IMAGE_NT_OPTIONAL_HDR64_MAGIC)。
5.获取异常目录(ExceptionDirectory)
从NT头的OptionalHeader.DataDirectory数组中,根据IMAGE_DIRECTORY_ENTRY_EXCEPTION索引定位到异常目录结构体(PIMAGE_DATA_DIRECTORY):
64位PE文件使用pNt64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]
32位PE文件使用pNt32->Optiona
)
