Как вскрыть exe файл и получить адрес области хранения всех переменных?

Question

[rusianvodka]

Здравствуйте, уважаемые дамы и господа, какой час уже сижу, но не могу понять и разобраться.
Хочу открыть exe файл и найти место, где хранятся все числовые константы объявленных переменных.
Например, имеется код

#include <iostream>
#include <conio.h>
using namespace std;
void main(){

	int g = 1998;
	int b = 2000;
	int l = 5;
	_getch();
}

Скомпилировал, создался exe файл, после открываем его.
Хочу узнать, каким образом мне получить место( адрес) с которого начинают храниться все числовые константы переменных в ехе файле, и по какое.
Читал сие статьи :
cs.usu.edu.ru/docs/pe
www.xakep.ru/magazine/xs/057/026/1.asp

Гуглил, пытался понять, но данная тема для меня просто лес. Как понимаю, нужно с определённых точек сначала прочесть информацию в объявленные структуры, а после вытащить адрес.

Буду благодарен за подсказки, если покажете код на примере, как всё это сделать, будет здорово.

Answer 1

[svd71]

На примере не покажу, ибо давно это было. Но помню такой фокус: перечисляй все секции файла. Каждая переменная ( я не имею ввиду локальные переменные какой-либо функции) хранится в отдельной секции. Тоже самое относится и к функциям.
А связа но это дело с линковкой и оптимизацией. Так линкер может находить неиспользуемые в программе переменные и функции( на те секции, куда никто не ссылается) и просто не линковать их в файл.

Comments

[rusianvodka]

Самое главное, что я пока не могу понять с каких адресов мне считывать эти структуры, как и куда) Начать не получается.

Answer 2

[Rsa97]

А почему Вы уверены, что константы где-то хранятся? Скомпилируйте через ассемблер и посмотрите. Скажем C++ Builder генерирует такой код:

@_main	proc	near
	push      ebp
	mov       ebp,esp
	add       esp,-12
	mov       dword ptr [ebp-4],1998
	mov       dword ptr [ebp-8],2000
	mov       dword ptr [ebp-12],5
	call      @__getch
	mov       esp,ebp
	pop       ebp
	ret 
@_main	endp

То есть все константы находятся непосредственно в коде.

Comments

[rusianvodka]

Я не уверен), поэтому и задаю тут вопрос. Прочитав те статьи которые я привёл в качестве примера, и поспрашивая знакомых. Мне стало, кажется примерно понятно, что есть определённая область в ехе файле где хранится код и переменные или только переменные, поэтому и хочу узнать как с помощью этих структур получить адрес этой области.
Поэтому, если вы взгляните на эти статьи и подскажите, то будет здорово.

[Rsa97]

Алгоритм разбора на секции без описания структур заголовков такой:

Прочитать 2 байта по смещению 0, убедиться, что записано 'MZ'.
Прочитать DWORD по смещению 0x3C от начала exe-файла, получим смещение PE-заголовка (PE_offset).
Прочитать 4 байта по смещению PE_offset, убедиться что записано 'PE\0\0'.
Прочитать WORD по смещению PE_offset+0x6, получим количество секций NumberOfSections.
Прочитать WORD по смещению PE_offset+0x14, получим размер необязательного заголовка SizeOfOptionalHeader.
Начало заголовков секций StartOfSectionHeaders = PE_offset+0x18+SizeOfOptionalHeader.
Для sectionNumber от 0 до NumberOfSections-1 {
  Прочитать DWORD по смещению StartOfSectionHeaders+sectionNumber*0x28+0x24, получим атрибуты секции Characteristic.
  Если в Characteristic не установлен бит 0x40, то секция не содержит инициализированные переменные - переходим к следующей секции.
  Прочитать DWORD по смещению StartOfSectionHeaders+sectionNumber*0x28+0x10, получим длину секции в файле SizeOfRawData.
  Прочитать DWORD по смещению StartOfSectionHeaders+sectionNumber*0x28+0x14, получим смещение секции в файле PointerToRawData.
  Прочитать SizeOfRawData по смещению PointerToRawData - это и есть инициализированные глобальные переменные, текстовые константы и, возможно, вещественные константы.
}

Порядок указания констант в секции зависит от компилятора, имена переменных возможно восстановить только если в файл включена отладочная информация, но это уже совсем другая история.

[rusianvodka]

ох, спасибо вам за этот расписанный алгоритм, буду вникать!
он был написан вами? или вы где-то нашли эту информацию?) если это где-то то буду благодарен за ссылку. Если это полностью ваш труд то спасибо вам.

[Rsa97]

А что там писать то? Просто взял описание структур из Вашей первой ссылки и прошёлся по ним.

[AxisPod]

Вообще всё зависит от ситуации, если есть разыменование констант, то они будут лежать явно не прямо в коде. А будут лежать в сегменте данных.

Answer 3

[mrbaranovskiy2]

Мне кажется, проще взять ollydbg и продебажить твою программку. Более полную информацию будет трудно самому получить.