BlackNullSec Path #:SECTION TABLE

🚀 Amaç:Çünkü section’lar:EXE’nin memory haritasıdır.

🔎 SECTION NEDİR?

🧪 PE DOSYASI = MEMORY HARİTASI

PE dosyası: RAM'de nasıl görüneceğinin planıdır.

SECTION TABLE NEREDE?

NT HEADER’dan hemen sonra gelir.

KOdda:

SECTION HEADER

Her section için bir yapı vardır.

bunların her biri:

struct'dır.

SECTION’LAR NASIL DURUR?

Memory’de:

art arda dizilir.

Her biri şunu söyler:

• Nerede başlıyor?
• Diskte boyutu ne?
• RAM’de boyutu ne?
• Yetkileri ne?
• İçinde ne var?

KRİTİK ALANLAR

1. Name

Section adı.

Kod:

Örnek:

2. VirtualAddress

Memory’de nereye maplenecek?

Kod:

3. PointerToRawData

Diskte nerede duruyor?

Kod:

KRİTİK AYRIM

RAW OFFSET NEDİR?

Dosya içindeki konum.

Örnek:

Bu:“Dosyanın 0x400 offset’inde”demektir.

EN KRİTİK MANTIK

Diskteki yapı ile RAM’deki yapı:aynı değildir

Windows loader şunu yapar:

İşte: mapping budur.

SECTION MAPPING

Örnek:

Bu şu demek:

LOADER NE YAPIYOR?

Windows:

• Section’ı diskten okur
• RAM allocate eder
• Veriyi kopyalar
• RVA adresine yerleştirir
• Permission ayarlar

Yani:

SECTION PERMISSIONS

En önemli alanlardan biri:

Burada:

ÖRNEK ŞÜPHELİ DURUM

Normalde:

olmalıdır.

Ama:

ise:"shellcode / unpacking / injection"

Notlar:

EXE = Struct zinciri
PE = Memory blueprint
Parsing = Byte yorumlama
RVA ≠ RAW
Loader = Memory builder

⚠️ Kritik Uyarı

Bu teknikler yalnızca eğitim amaçlıdır. Gerçek sistemlere uygulanması yasadışı olabilir. Asla gerçek ortamlarda test etme.

🌟 Sonraki Yazı: Pe_loader

Sonraki→

Related Post

Malware 2026 • 3

Dosya Apı Nedir.

Malware 2024 • 3

Process apı Nedir.

Malware 2024 • 3

Memory Apı Nedir.