Windows PE Header, Section Header, Section Grösse

[[3H]]

Hallo,
ich komme einfach nicht darauf, wie die Section Grössen korrekt berechnet werden. Bisher habe ich immer angenommen das die Sectiongrösse durch SizeofRawData im Section Header bestimmt wird. Das kommt aber irgendwie nicht hin. Im Anhang mal ein Bild... wo kommt da der 0xB5000 Wert her, wenn nicht aus dem Section-Header?
Btw: Warum unterscheidet sich VirtualSize von SizeofRawData?

 

[xrayn]

Peering Inside the PE: A Tour of the Win32 Portable Executable File Format

Table 3. IMAGE_OPTIONAL_HEADER Fields [...] DWORD SectionAlignment When mapped into memory, each section is guaranteed to start at a virtual address that's a multiple of this value. For paging purposes, the default section alignment is 0x1000. [...]

 

[[3H]]

Vielen Dank. Jetzt weiss ich wie ich die Größen berechne.

 

[+++ATH0]

Btw: Warum unterscheidet sich VirtualSize von SizeofRawData?

Auf Dateioperationen gilt immer SizeOfRawData.
Auf Image-Manipulationen in Memory gilt immer SECTION_ALIGNED(VirtualSize).

Wenn du in der Datei rumfummeln willst, dann arbeitest du mit FileOffsets.
Dafür brauchst du:
- PointerToRawData (Basisadresse der Section)
- SizeOfRawData (Größe der Section)

Wenn du im Speicher an dem Image rumfummelst, dann arbeitest du mit (R)VAs und brauchst:
- "hModule" (Module-Handle; also Basisadresse des Moduls)
- VirtualAddress (relative Basisadresse der Section)
- VirtualSize (Größe der Section)