PE之代码解析异常表

PE之代码解析异常表
1）异常表
异常表（ExceptionTable，注意你拼写的Exection是笔误，正确为Exception）是PE（PortableExecutable）文件格式中用于存储结构化异常处理（SEH）和基于帧的异常处理（EH）相关信息的数据结构，是Windows系统处理程序运行时异常（如内存访问错误，除零错误等）的核心依据。

咱们来看下逆向破解中的典型场景：​
识别程序中的异常处理逻辑边界（比如壳通过异常表实现反调试，代码混淆）；
定位恶意代码中隐藏的执行流（异常处理常被用作执行流跳转的后门）；
修复脱壳后PE文件的异常表（避免程序运行时崩溃）。

2）解析异常表
解析异常表的核心目标是定位异常表在PE文件中的物理位置，解析表内每一条异常处理记录的结构，提取关键地址信息，最终还原程序的异常处理逻辑；异常表的核心定位逻辑为PE文件的异常表信息首先存储在可选头（OptionalHeader）的DataDirectory数组中，索引为IMAGE_DIRECTORY_ENTRY_EXCEPTION（数值为0x04），该位置会记录异常表的虚拟地址（VirtualAddress，VA，即异常表在内存中的起始地址）和大小（Size，即异常表的总字节数），解析时需先通过该索引找到异常表的VA和Size，再将VA转换为文件中的物理偏移（RawOffset），最终读取并解析表内数据。

3）程序开发流程
前期基本流程和导入表基本大差不差哦
1.文件读取：首先把要分析的EXE或DLL文件以二进制方式打开，将文件里所有内容读到内存里的一个临时区域（咱们叫它buf）。
2.定位DOS头：接着把这个buf转换成能识别PE文件开头DOS头的格式（PIMAGE_DOS_HEADER），校验DOS头的e_magic字段是否为IMAGE_DOS_SIGNATURE（0x5A4D，即"MZ"），确认是有效PE文件。
3.定位NT头：找到DOS头里的e_lfanew这个关键值，用它加上buf的起始位置定位到PE文件的核心NT头（PIMAGE_NT_HEADERS32/PIMAGE_NT_HEADERS64），校验NT头的Signature字段是否为IMAGE_NT_SIGNATURE（0x00004550，即"PE"）。
4.区分PE位数：通过NT头中OptionalHeader.Magic字段判断PE文件是32位（IMAGE_NT_OPTIONAL_HDR32_MAGIC）还是64位（IMAGE_NT_OPTIONAL_HDR64_MAGIC）。
5.获取异常目录（ExceptionDirectory）
从NT头的OptionalHeader.DataDirectory数组中，根据IMAGE_DIRECTORY_ENTRY_EXCEPTION索引定位到异常目录结构体（PIMAGE_DATA_DIRECTORY）：
64位PE文件使用pNt64->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXCEPTION]
32位PE文件使用pNt32->Optiona