1.简介
用于存放基于结构化异常处理的各种异常句柄. 当程序运行发生异常后,os会根据异常类别对异常进行分发处理.
如果PE中该部分没有对应的异常类别处理函数句柄,os将会调用其内核模式的异常分发函数终止程序运行.
2.定位
位于数据目录的第11个条目
3.解析其数据结构
typedef struct _IMAGE_LOAD_CONFIG_DIRECTORY32 {
DWORD Size; //该结构大小
DWORD TimeDateStamp;
WORD MajorVersion;
WORD MinorVersion;
DWORD GlobalFlagsClear; //pe加载器加载该映像时需要清除的标记
DWORD GlobalFlagsSet; //pe加载器加载它时需要清除的标记
DWORD CriticalSectionDefaultTimeout; //
DWORD DeCommitFreeBlockThreshold;
DWORD DeCommitTotalFreeThreshold;
DWORD LockPrefixTable; // VA指向一个地址列表,保存的是lock前缀的指令的地址
DWORD MaximumAllocationSize; //最大分配粒度
DWORD VirtualMemoryThreshold; //最大虚拟内存大小
DWORD ProcessHeapFlags; //作为创建默认堆的HeapCreate的第一个参数
DWORD ProcessAffinityMask;
WORD CSDVersion;
WORD Reserved1;
DWORD EditList; // VA
DWORD SecurityCookie; // VA 指向GS的安全cookie
DWORD SEHandlerTable; // VA与平台相关, 指向一个地址列表,保存的是SEhandler
DWORD SEHandlerCount; // sehandler的数量
DWORD GuardCFCheckFunctionPointer; // VA
DWORD Reserved2;
DWORD GuardCFFunctionTable; // VA
DWORD GuardCFFunctionCount;
DWORD GuardFlags;
} IMAGE_LOAD_CONFIG_DIRECTORY32, *PIMAGE_LOAD_CONFIG_DIRECTORY32;
例如:windows的calc.exe
