Вскрыть exe файл и получить адрес области хранения всех переменных. PE-файлы, Анатомия файла, Загрузчик PE-фай

@rusianvodka · Регистрация: 20.06.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте уважаемые дамы и господа, какой час уже сижу но не могу понять и разобраться.
Хочу открыть exe файл и найти область где хранятся все числовые константы объявленных переменных(адрес начала секции и конца).
Например имеется код

C++
1
2
3
4
5
6
7
8
9
10
#include <iostream>
#include <conio.h>
using namespace std;
void main(){
 
    int g = 1998;
    int b = 2000;
    int l = 5;
    _getch();
}

Скомпилировал, создался exe файл, после открываем его.
Хочу узнать каким образом мне получить место(адрес) с которого начинают хранится все числовые константы переменных в ехе файле, и по какое.
Читал сие статьи :

cs.usu.edu.ru/docs/pe
www.xakep.ru/magazine/xs/057/026/1.asp

Гуглил, пытался понять, но данная тема для меня просто лес. Как понимаю нужно с определённых точек сначала прочесть информацию в объявленные структуры, а после вытащить адрес.
Буду благодарен за подсказки, если покажите код на примере как всё это сделать, будет здорово.

Убежденный · 28.05.2014, 21:29

rusianvodka, между кодом программы и тем, что в итоге получается в
скомпилированном exe, нет четкого соответствия. Даже для таких языков, как С.
В результате оптимизации в кодовой секции exe может получиться совсем не то,
что вы ожидаете там увидеть. Поэтому не ищите черную кошку там, где ее нет.
Лучше возьмите IDA Pro или запустите exe под отладчиком, с отображением
ассемблерного листинга, и увидите, что там на самом деле. Еще вариант -
генерация ассемблерного листинга во время компиляции (многие компиляторы
это умеют).

Добавлено через 1 минуту
В Вашем примере переменных g, b и l, скорее всего, вообще не окажется в exe,
так как они нигде не используются и компилятор выкинет их за ненадобностью.

@Nick Alte · 28.05.2014, 21:58

Собственно, даже если их использовать, эти переменные всё равно выделяются на стеке, а значения будут прошиты в инструкциях в функции main. Причём не факт, что прошиты напрямую: могут и вычисляться "на лету".

@rusianvodka · 28.05.2014, 22:36 **[ТС]**

Спасибо за ответы, видимо я просто привёл не правильный пример.
Скажите мне или приведите пример пожалуйста тогда, как мне считать из файла
PE-заголовок (IMAGE_NT_HEADERS); и таблицу секций (IMAGE_SECTION_HEADER);
чтобы взаимодействовать с данными данных структур)
буду рад если покажите на примере.

@mishelle92 · 28.05.2014, 22:47

http://habrahabr.ru/post/104333/ В комментариях есть код.
http://kaimi.ru/2011/08/pe-sections-info/

Убежденный · 28.05.2014, 22:55

Официальная спецификация:

Microsoft PE and COFF Specification
http://msdn.microsoft.com/en-u... 63119.aspx

Здесь есть несколько функции, упрощающие нахождение PE-заголовков и секций:

DbgHelp Functions
http://msdn.microsoft.com/en-u... 85%29.aspx

@gazlan · 29.05.2014, 01:46

Добавлю еще:

An In-Depth Look into the Win32 Portable Executable File Format
Code From Windows 95 System Programming Secrets (см. PEDump)

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Programma_Boinc 01.01.2026 Учёным и волонтёрам проекта «Einstein@home» удалось обнаружить четыре гамма-лучевых пульсара в джете Млечного Пути Сочетание глобально распределённой вычислительной мощности и инновационных. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	28.05.2014, 21:29
	rusianvodka, между кодом программы и тем, что в итоге получается в скомпилированном exe, нет четкого соответствия. Даже для таких языков, как С. В результате оптимизации в кодовой секции exe может получиться совсем не то, что вы ожидаете там увидеть. Поэтому не ищите черную кошку там, где ее нет. Лучше возьмите IDA Pro или запустите exe под отладчиком, с отображением ассемблерного листинга, и увидите, что там на самом деле. Еще вариант - генерация ассемблерного листинга во время компиляции (многие компиляторы это умеют). Добавлено через 1 минуту В Вашем примере переменных g, b и l, скорее всего, вообще не окажется в exe, так как они нигде не используются и компилятор выкинет их за ненадобностью. 0

@Nick Alte 1675 / 1047 / 174 Регистрация: 27.09.2009 Сообщений: 1,945
	28.05.2014, 21:58
	Собственно, даже если их использовать, эти переменные всё равно выделяются на стеке, а значения будут прошиты в инструкциях в функции main. Причём не факт, что прошиты напрямую: могут и вычисляться "на лету". 0

@rusianvodka 0 / 0 / 0 Регистрация: 20.06.2013 Сообщений: 47
	28.05.2014, 22:36 [ТС]
	Спасибо за ответы, видимо я просто привёл не правильный пример. Скажите мне или приведите пример пожалуйста тогда, как мне считать из файла PE-заголовок (IMAGE_NT_HEADERS); и таблицу секций (IMAGE_SECTION_HEADER); чтобы взаимодействовать с данными данных структур) буду рад если покажите на примере. 0

@mishelle92 73 / 69 / 38 Регистрация: 09.10.2012 Сообщений: 238
	28.05.2014, 22:47
	http://habrahabr.ru/post/104333/ В комментариях есть код. http://kaimi.ru/2011/08/pe-sections-info/ 1

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	28.05.2014, 22:55
	Официальная спецификация: Microsoft PE and COFF Specification http://msdn.microsoft.com/en-u... 63119.aspx Здесь есть несколько функции, упрощающие нахождение PE-заголовков и секций: DbgHelp Functions http://msdn.microsoft.com/en-u... 85%29.aspx 1

@gazlan 3176 / 1935 / 312 Регистрация: 27.08.2010 Сообщений: 5,131 Записей в блоге: 1
	29.05.2014, 01:46
	Добавлю еще: An In-Depth Look into the Win32 Portable Executable File Format Code From Windows 95 System Programming Secrets (см. PEDump) 1