PE解析器的编写（三）——区块表的解析

PE文件中所有节的属性都被定义在节表中，节表由一系列的IMAGE_SECTION_HEADER结构排列而成，每个结构用来描述一个节，结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。
具有相同属性的数据被安排到同一个区块中。
区块表的结构为IMAGE_SECTION_HEADER，在PE文件中存在一个该结构的数组，用来保存各个区块的信息，这个数组的大小在PE头的结构 IMAGE_NT_HEADERS 的成员NumberOfSections描述。
区块表结构IMAGE_SECTION_HEADER结构如下：

typedef struct _IMAGE_SECTION_HEADER 
{
       BYTE Name[IMAGE_SIZEOF_SHORT_NAME]; // 节表名称,如“.text”
        //IMAGE_SIZEOF_SHORT_NAME=8
        union
         {
                DWORD PhysicalAddress;      // 物理地址
                DWORD VirtualSize;          // 真实长度，这两个值是一个联合结构，可以使用其中的任何一个，一般是取后一个
        } Misc;
        DWORD VirtualAddress;               // 节区的 RVA 地址        
        DWORD SizeOfRawData;                // 在文件中对齐后的尺寸     
        DWORD PointerToRawData;             // 在文件中的偏移量        
        DWORD PointerToRelocations;         // 在OBJ文件中使用，重定位的偏移  
        DWORD PointerToLinenumbers;         // 行号表的偏移（供调试使用地)
        WORD NumberOfRelocations;           // 在OBJ文件中使用，重定位项数目
        WORD NumberOfLinenumbers;           // 行号表中行号的数目
        DWORD Characteristics;              // 节属性如可读，可写，可执行等
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

在程序中我们主要列出了，区块名称、RVA、在进行内存对齐后的尺寸，在磁盘中的大小，在文件中的偏移，节属性。
在界面中，定义了一个listctrl来显示这些信息。
在CPeFileInfo类中定义了一个vector m_SectionTable;专门用来存储区块表的属性信息。获取这个信息。
在这个类中与区块表有关的函数主要有两个:
GetSectionHeader : 用来获取指向表的指针
InitSectionTable：初始化上面定义的结构
下面来一一说明这两个函数

PIMAGE_SECTION_HEADER CPeFileInfo::GetSectionHeader()
{
    PIMAGE_FILE_HEADER pFileHeader = GetFileHeader();
    PIMAGE_SECTION_HEADER pSectionHeader = NULL;
    if (NULL == pFileHeader)
    {
        return NULL;
    }
    PIMAGE_OPTIONAL_HEADER pOptionHeader = GetOptionalHeader();
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)(pOptionHeader) + pFileHeader->SizeOfOptionalHeader);
    return pSectionHeader;

//  PIMAGE_NT_HEADERS pNtHeader = GetNtHeaders();
//  return (PIMAGE_SECTION_HEADER)((DWORD)pNtHeader + sizeof(IMAGE_NT_HEADERS));
}

在PE文件中区块表的属性信息是紧密排列在PE头结构后面的，所以我们只要知道OptionHeader结构的指针，然后加上这个结构的大小就可以获取到区块表的地址，上面的代码也是这样做的，首先获取了FileHeader的指针，这个结构中的SizeOfOptionalHeader定义了OptionHeader这个结构的大小，我们利用FileHeader + SizeOfOptionalHeader这样就偏移到了区块表所在的位置。
或者更简单的方式是利用PE文件头的地址 + 文件头的大小也一样可以获取到区块表的地址

void CPeFileInfo::InitSectionTable()
{
    if (!m_SectionTable.empty())
    {
        return ;
    }
    PIMAGE_SECTION_HEADER pSectionHeader = GetSectionHeader();
    PIMAGE_FILE_HEADER pFileHeader = GetFileHeader();
    if (NULL != pSectionHeader && NULL != pFileHeader)
    {
        DWORD dwCountOfSection = pFileHeader->NumberOfSections;
        int nCount = 0;
        while (nCount < dwCountOfSection)
        {
            IMAGE_SECTION_HEADER ImageSec = pSectionHeader[nCount];
            m_SectionTable.push_back(ImageSec);
            nCount++;
        }
    }
}

后面就是循环遍历将所有信息写入m_SectionTable这个动态数组中。在这份代码中我们首先利用FileHeader的NumberOfSections成员获取区块表的个数，然后在循环中以这个个数作为条件，以此往后寻址，将信息写入到对应的数组中，最后在输出的时候只需要根据需求输出我们感兴趣的内容即可