Подскажите пожалуйста, допустим есть некая секция, размером SizeOfRawData , часть ее заполнена кодом, а часть нулями из за выравнивания. Как мне узнать какой размер занимает в секции непосредственно код, без нулей выравнивания?

| Сообщение посчитали полезным:

Обрати внимание на VirtualSize "некой" секции.

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным:

zombi-vadim

Есть файловое выравнивание, а есть выравнивание в памяти(страничная гранулярность). Реальный размер данных загрузчику не нужен, поэтому никак его не получить без анализа кода. Но такое обычно не нужно.

-----
vx

| Сообщение посчитали полезным:

zombi-vadim пишет:
Как мне узнать какой размер занимает в секции непосредственно код, без нулей выравнивания?
Учитывая, что секции дополняются нулями только в конце, очевидно, что нужно найти первый ненулевой байт начиная с конца секции. Его индекс (zero-based) и будет размером данных в секции (в байтах).

| Сообщение посчитали полезным:

Кривой это метод.
Кто сказал что в конце секции не может быть данных инициализированных нулями (которые не выравнивание, а именно данные)?

| Сообщение посчитали полезным:

mysterio mysterio пишет:
Обрати внимание на VirtualSize "некой" секции. Я так понимаю есть выравнивание на диске и есть в памяти, в памяти как правило размер выравнивания меньше, а бывает и такой же. Провел эксперимент, пишем секцию в файл с размером SizeOfRawData (получаем код плюс нули выравнивания), пишем секцию в файл с размером VirtualSize (получаем действительно только код без выравнивания). Получается что VirtualSize содержит в себе только размер кода, а выравнивается уже в памяти согласно заданному размеру выравнивания? Я прав или нет, потому как следующие посты утверждают что ..
difexacaw пишет:
Реальный размер данных загрузчику не нужен, поэтому никак его не получить без анализа кода.

| Сообщение посчитали полезным:

zombi-vadim
SizeOfRawData выравнивается в файле по FileAlignment (512), а VirtualSize выравнивается в памяти по SectionAlignment (4096). То есть любая секция в файле начинается с начала сектора, а в памяти - с начала страницы.

zombi-vadim пишет:
пишем секцию в файл с размером VirtualSize (получаем действительно только код без выравнивания)
На это не стоит полагаться, не все компили прописывают в заголовках в VirtualSize размер ненулевых данных.

| Сообщение посчитали полезным:

rmn пишет:
На это не стоит полагаться, не все компили прописывают в заголовках в VirtualSize размер ненулевых данных.

Тогда данные просто не будут загружены в память, если они не попали в диапазон виртуальных адресов, заданный в таблице секций.



| Сообщение посчитали полезным:

cppasm

Нули тоже данные. Точнее переменные, которые не инициализированы и не вынесены в соответствующую секцию, которой нет в файле, но которую сформирует загрузчик. Из опций сборки, так как размер данных мал, либо по какой то причине их нужно разместить там, где они есть.

В чём суть задачи, зачем знать реальный размер секции ?

-----
vx

| Сообщение посчитали полезным:

В общем я склонен согласиться с dosprog и mysterio. В VirtualSize содержится размер ненулевых данных, а точнее размер кода. Огромное им спасибо за участие!

| Сообщение посчитали полезным:

zombi-vadim

Суть задачи в чём ?

Так как вам по какой то причине нужно знать размер реал данных, то единственно возможная причина - полная пересборка. Но кажется странным данный примитивный вопрос в таком контексте. Поэтому вообще ничего не понятно.

-----
vx

| Сообщение посчитали полезным:

difexacawdifexacaw пишет:
Суть задачи в чём ? Суть задачи, сколько яиц снесет 33 попугая после дружбы с удавом.

| Сообщение посчитали полезным:

zombi-vadim

В следующем вашем вопросе будет тот же ответ

-----
vx

| Сообщение посчитали полезным:

difexacawВы конечно не обижайтесь на мою шутку, цель задачи указана в заголовке темы, а сути нет просто знания.

| Сообщение посчитали полезным:

dosprog пишет:
Тогда данные просто не будут загружены в память
VirtualSize может быть больше размера ненулевых данных.

| Сообщение посчитали полезным:

rmn rmn пишет:
VirtualSize может быть больше размера ненулевых данных. Да, но не больше размера кода.
cppasm
Кто сказал что в конце секции не может быть данных инициализированных нулями (которые не выравнивание, а именно данные)?

| Сообщение посчитали полезным:

zombi-vadim
Он может быть уже выравнен по SectionAlignment в файле (значение VirtualSize, а не raw-data секции, ессно). Все зависит от компиля (линкера).

Добавлено спустя 3 минуты
zombi-vadim пишет:
Кто сказал что в конце секции не может быть данных инициализированных нулями
Линкер, ибо данные в другую секцию складывает, а хвост из нулей в конце секций усекается, чтобы место в файле не занимать. Вплоть до SizeOfRawData == 0.

| Сообщение посчитали полезным:

В каком-то пакере/проте видел, что он полагается на выравнивание и на то, что там нули будут. Т.е. по сути использует их как инициализированные нулями данные.
А так почитай про PE формат от corkami https://code.google.com/archive/p/corkami/wikis/PE.wiki Много интересного для начинающих разглядывать PE.

| Сообщение посчитали полезным:

rmn пишет:
Он может быть уже выравнен по SectionAlignment в файле Я произвольно экспериментировал с десятком различных файлов, везде VirtualSize равен размеру кода. Что за гнусный компилер делает иначе? Можно пример какой то?

| Сообщение посчитали полезным:

zombi-vadim пишет:
а сути нет просто знания

Во-первых, в этой фразе явно не достает запятой (","). Но это так, мелочи.

А во-вторых, знания знаниям рознь.
Можно посвятить несколько лет исследованиям и точно узнать сколько раз за свою жизнь брился Вася Пупкин.
Весь вопрос в том, ЗАЧЕМ?
Не поймите это как насмешку, просто совет не тратить время даром. Ну а там, каждый делает, что хочет.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
просто совет не тратить время даром Вы считаете что я трачу время даром? Задаваясь вопросом
zombi-vadim пишет:
какой размер занимает в секции непосредственно код ?? Я вот учился по учебнику, и типа умные учителя меня учили, в итоге я ничего не знаю. Лучше я сам во всем разберусь.

| Сообщение посчитали полезным:

plutos пишет:
Весь вопрос в том, ЗАЧЕМ?
видимо место под патч ищет, пускай учится

zombi-vadim
гугл:code cave finder

| Сообщение посчитали полезным: difexacaw

-=AkaBOSS=-

Если это так, то метод не годится. Поиск пространства куда проще через выравнивание процедур. А по нормальному нужно заюзать конструктор, который может пересобирать код. Определить же лимиты обнулённого массива это слишком сложная задача. Она решаема лишь частично с некоторой вероятностью, но даже для этого нужен мощный парсер кода, это из области пермутаций такое, автоматика. Скул нужен соответствующий.
Эти все выравнивания - чисто загрузочная фича. Как сделать минимальный модуль на асме - интересно конечно, но там используются не портабельные фичи загрузчика. Существует стандарт пе, но сама имплементация зависит от версии ос и содержит более тонкие свойства. Всякие валидации смещений(RVA), что используются загрузчиком - используется злом(виксы), так как загрузчик ав отличен от системного.

Ну а работы с code cave это совсем иная тема и не для ньюби. Они поломают свой мозг об алгосы, вот пример:

1. --> Link <--
2. --> Link <--

Второй именно по очистке пространства, реализуйте.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Если это так, то метод не годится. Поиск пространства куда проще через выравнивание процедур.
Ой да ладно вам. В конце секции зачастую куча свободного места, но это "не годится" - надо искать промежутки между процедурами, которые еще и не каждый компилятор добавляет. Во многих случаях выравниваются на 4 байта, и фиг там развернёшься.

И не надо пугать новичков, сходу перенося любую задачу в область vx и автоматической обработки. Человеку сначала надо научиться руками это делать, да и с точки зрения крякера/реверсера особая автоматизация тут ни к чему - нашёл место, вписал патч, сохранил и забыл.


difexacaw пишет:
Я лишь показал масштаб задачи.
Вы лишь усложнили изначально простое.
Без особой необходимости такими переделками лучше не заниматься, а пойти в конец секции и вписать свой код туда. Или свою отдельную секцию создать, если уж совсем места нету.

| Сообщение посчитали полезным:

-=AkaBOSS=-

> Во многих случаях выравниваются на 4 байта, и фиг там развернёшься.

Перенести код в другую область. Это классическая задача из виксов, можно сказать что фундаментальная. Можно интегрировать один код в другой(морф). Был интересный пример по переносу всех системных функций в буфер для защиты от ROP.

> И не надо пугать новичков, сходу перенося любую задачу в область vx и автоматической обработки.

Я лишь показал масштаб задачи.

-----
vx

| Сообщение посчитали полезным: