免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
返回列表 发帖

重载内核

DriverEntry.c
  1. #include "ntddk.h"
  2. #include "ntimage.h"
  3. #include <WINDEF.H>

  4. #define PAGEDCODE code_seg("PAGE")
  5. #define LOCKEDCODE code_seg()
  6. #define INITCODE code_seg("INIT")

  7. #define PAGEDDATA data_seg("PAGE")
  8. #define LOCKEDDATA data_seg()
  9. #define INITDATA data_seg("INIT")


  10. typedef struct _LDR_DATA_TABLE_ENTRY {
  11.         LIST_ENTRY InLoadOrderLinks;
  12.         LIST_ENTRY InMemoryOrderLinks;
  13.         LIST_ENTRY InInitializationOrderLinks;
  14.         PVOID DllBase;
  15.         PVOID EntryPoint;
  16.         ULONG SizeOfImage;
  17.         UNICODE_STRING FullDllName;
  18.         UNICODE_STRING BaseDllName;
  19.         ULONG Flags;
  20.         USHORT LoadCount;
  21.         USHORT TlsIndex;
  22.         union {
  23.                 LIST_ENTRY HashLinks;
  24.                 struct {
  25.                         PVOID SectionPointer;
  26.                         ULONG CheckSum;
  27.                 };
  28.         };
  29.         union {
  30.                 struct {
  31.                         ULONG TimeDateStamp;
  32.                 };
  33.                 struct {
  34.                         PVOID LoadedImports;
  35.                 };
  36.         };
  37. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;


  38. #pragma pack(1)
  39. typedef struct ServiceDescriptorEntry {
  40.         unsigned int *ServiceTableBase;
  41.         unsigned int *ServiceCounterTableBase; //仅适用于checked build版本
  42.         unsigned int NumberOfServices;
  43.         unsigned char *ParamTableBase;
  44. } ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
  45. #pragma pack()

  46. __declspec (dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

  47. typedef NTSTATUS  (*pNtCreateFile)(
  48.     OUT PHANDLE  FileHandle,
  49.     IN ACCESS_MASK  DesiredAccess,
  50.     IN POBJECT_ATTRIBUTES  ObjectAttributes,
  51.     OUT PIO_STATUS_BLOCK  IoStatusBlock,
  52.     IN PLARGE_INTEGER  AllocationSize,
  53.     IN ULONG  FileAttributes,
  54.     IN ULONG  ShareAccess,
  55.     IN ULONG  CreateDisposition,
  56.     IN ULONG  CreateOptions,
  57.     IN PVOID  EaBuffer,
  58.     IN ULONG  EaLength
  59.     );




  60. //global
  61. PVOID g_lpVitrualPointer;
  62. ULONG g_ntCreateFile;
  63. ULONG g_kifastcall_hookpoint;
  64. ULONG g_goto_OrigFunc;
  65. ULONG g_NewKernelInc;
  66. PServiceDescriptorTableEntry_t g_pNewServiceTable;


  67. void PageProtectOn()
  68. {
  69.         //恢复内存保护
  70.         __asm
  71.         {
  72.                 mov eax, cr0
  73.                         or eax, 10000h
  74.                         mov cr0, eax
  75.                         sti
  76.         }
  77. }

  78. void PageProtectOff()
  79. {
  80.         //去掉内存保护
  81.         __asm
  82.         {
  83.                 cli
  84.                         mov eax, cr0
  85.                         and eax, not 10000h
  86.                         mov cr0, eax
  87.         }
  88. }

  89. #pragma PAGEDCODE
  90. void SetNewSSDT(PVOID pNewImage, PVOID pOrigImage, PServiceDescriptorTableEntry_t *pNewServiceTable)
  91. {
  92.         ULONG uIndex, uOffset;
  93.         ULONG uNewKernelInc;
  94.         PServiceDescriptorTableEntry_t pNewSSDT;

  95.         uNewKernelInc = (ULONG) pNewImage - (ULONG) pOrigImage;
  96.         pNewSSDT = (PServiceDescriptorTableEntry_t) ((ULONG)&KeServiceDescriptorTable + uNewKernelInc);

  97.         if (!MmIsAddressValid(pNewSSDT))
  98.         {
  99.                 return;
  100.         }

  101.         pNewSSDT->NumberOfServices = KeServiceDescriptorTable.NumberOfServices;
  102.         uOffset = (ULONG)KeServiceDescriptorTable.ServiceTableBase - (ULONG)pOrigImage;
  103.         pNewSSDT->ServiceTableBase = (unsigned int *)((ULONG)pNewImage + uOffset);
  104.         if (!MmIsAddressValid(pNewSSDT->ServiceTableBase))
  105.         {
  106.                 return;
  107.         }
  108.        
  109.         for (uIndex = 0; uIndex < pNewSSDT->NumberOfServices; uIndex++)
  110.         {
  111.                 //KdPrint(("pNewSSDT->ServiceTableBase[%d]:%X\n", uIndex, pNewSSDT->ServiceTableBase[uIndex]));

  112.                 pNewSSDT->ServiceTableBase[uIndex] += uNewKernelInc;
  113.                 //KdPrint(("pNewSSDT->ServiceTableBase[%d]:%X\n", uIndex, pNewSSDT->ServiceTableBase[uIndex]));
  114.         }
  115.        
  116.        
  117.         uOffset = (ULONG)KeServiceDescriptorTable.ParamTableBase - (ULONG)pOrigImage;
  118.         pNewSSDT->ParamTableBase = (unsigned char *)((ULONG)pNewImage + uOffset);

  119.         if (!MmIsAddressValid(pNewSSDT->ParamTableBase))
  120.         {
  121.                 return;
  122.         }
  123.         RtlCopyMemory(pNewSSDT->ParamTableBase, KeServiceDescriptorTable.ParamTableBase, pNewSSDT->NumberOfServices * sizeof(CHAR));
  124.        
  125.         *pNewServiceTable = pNewSSDT;
  126.         KdPrint(("set new ssdt success!\n"));
  127. }

  128. #pragma PAGEDCODE
  129. void RelocModule(PVOID pNewImage, PVOID pOrigImage)
  130. {
  131.         ULONG uIndex;
  132.         ULONG uRelocTableSize;
  133.         USHORT TypeValue;
  134.         USHORT *pwTypeOffsetArrayAddress;
  135.         ULONG uTypeOffsetArraySize;
  136.         ULONG uRelocAddress;
  137.         ULONG uRelocOffset;

  138.         PIMAGE_DOS_HEADER pImageDosHeader;
  139.         PIMAGE_NT_HEADERS pImageNtHeader;
  140.         IMAGE_DATA_DIRECTORY ImageDataDirectory;
  141.         IMAGE_BASE_RELOCATION *pImageBaseRelocation;

  142.         pImageDosHeader = (PIMAGE_DOS_HEADER)pNewImage;
  143.         pImageNtHeader = (PIMAGE_NT_HEADERS)((ULONG)pNewImage + pImageDosHeader->e_lfanew);

  144.         uRelocOffset = (ULONG)pOrigImage - pImageNtHeader->OptionalHeader.ImageBase;

  145.         ImageDataDirectory = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
  146.        
  147.         pImageBaseRelocation = (IMAGE_BASE_RELOCATION *)(ImageDataDirectory.VirtualAddress + (ULONG)pNewImage);
  148.         uRelocTableSize = ImageDataDirectory.Size;

  149.         while(uRelocTableSize)
  150.         {
  151.                 //uTypeOffsetArraySize = (pImageBaseRelocation->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION) + sizeof(pImageBaseRelocation->TypeOffset)) / sizeof(USHORT);
  152.                 uTypeOffsetArraySize = (pImageBaseRelocation->SizeOfBlock - sizeof(ULONG) * 2) / sizeof(USHORT);
  153.                 pwTypeOffsetArrayAddress = pImageBaseRelocation->TypeOffset;
  154.                 for (uIndex = 0; uIndex < uTypeOffsetArraySize; uIndex++)
  155.                 {
  156.                         TypeValue = pwTypeOffsetArrayAddress[uIndex];
  157.                         if (TypeValue >> 12 == IMAGE_REL_BASED_HIGHLOW)
  158.                         {
  159.                                 uRelocAddress = (TypeValue & 0x0fff) + pImageBaseRelocation->VirtualAddress  + (ULONG)pNewImage;
  160.                                 if (!MmIsAddressValid((PVOID)uRelocAddress))
  161.                                 {
  162.                                         continue;
  163.                                 }
  164.                                 *(ULONG *)uRelocAddress += uRelocOffset;
  165.                         }
  166.                 }

  167.                 uRelocTableSize -= pImageBaseRelocation->SizeOfBlock;
  168.                 pImageBaseRelocation = (IMAGE_BASE_RELOCATION *) ((ULONG)pImageBaseRelocation + pImageBaseRelocation->SizeOfBlock);
  169.         }
  170.         return;
  171. }


  172. #pragma PAGEDCODE
  173. NTSTATUS ReadFileToMemory(WCHAR *strFileName, PVOID *lpVitrualAddress, PVOID pOrigImage)
  174. {
  175.         NTSTATUS Status;
  176.         HANDLE hFile;
  177.         LARGE_INTEGER FileOffset;
  178.         OBJECT_ATTRIBUTES        ObjAttr;
  179.         UNICODE_STRING FileName;
  180.         IO_STATUS_BLOCK IoStatusBlock;

  181.         IMAGE_DOS_HEADER ImageDosHeader;
  182.         IMAGE_NT_HEADERS ImageNtHeader;
  183.         IMAGE_SECTION_HEADER *pImageSectionHeader;
  184.        
  185.        
  186.         PVOID lpVirtualPointer;
  187.         ULONG SectionVirtualAddress, SizeOfSection;
  188.         ULONG PointerToRawData;
  189.         ULONG uIndex;

  190.         RtlInitUnicodeString(&FileName, strFileName);

  191.         InitializeObjectAttributes(&ObjAttr, &FileName, OBJ_CASE_INSENSITIVE, NULL, NULL);

  192.         if (!MmIsAddressValid(strFileName))
  193.         {
  194.                 return STATUS_UNSUCCESSFUL;
  195.         }

  196.         Status = ZwCreateFile(&hFile, GENERIC_ALL, &ObjAttr, &IoStatusBlock, NULL, FILE_ATTRIBUTE_NORMAL,
  197.                 FILE_SHARE_READ, FILE_OPEN,  FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);

  198.         if (!NT_SUCCESS(Status))
  199.         {
  200.                 KdPrint(("ZwCreateFile Failed:%X\n",Status));
  201.                 return Status;
  202.         }
  203.        

  204.         FileOffset.QuadPart = 0;
  205.         Status = ZwReadFile(hFile, NULL, NULL, NULL, &IoStatusBlock, &ImageDosHeader, sizeof(IMAGE_DOS_HEADER),
  206.                 &FileOffset, NULL);
  207.         if (!NT_SUCCESS(Status))
  208.         {
  209.                 KdPrint(("read IMAGE_DOS_HEADER Failed:%X\n",Status));
  210.                 ZwClose(hFile);
  211.                 return Status;
  212.         }

  213.         FileOffset.QuadPart = ImageDosHeader.e_lfanew;
  214.         Status = ZwReadFile(hFile, NULL, NULL, NULL, &IoStatusBlock, &ImageNtHeader, sizeof(IMAGE_NT_HEADERS),
  215.                 &FileOffset, NULL);
  216.         if (!NT_SUCCESS(Status))
  217.         {
  218.                 KdPrint(("read IMAGE_NT_HEADERS Failed:%X\n",Status));
  219.                 ZwClose(hFile);
  220.                 return Status;
  221.         }

  222.         pImageSectionHeader = (IMAGE_SECTION_HEADER *)ExAllocatePool(PagedPool,
  223.                 sizeof(IMAGE_SECTION_HEADER) * ImageNtHeader.FileHeader.NumberOfSections);

  224.         if (pImageSectionHeader == 0)
  225.         {
  226.                 KdPrint(("pImageSectionHeader is null!\n"));
  227.                 ZwClose(hFile);
  228.                 return STATUS_UNSUCCESSFUL;
  229.         }
  230.         FileOffset.QuadPart += sizeof(IMAGE_NT_HEADERS);
  231.         Status = ZwReadFile(hFile, NULL, NULL, NULL, &IoStatusBlock, pImageSectionHeader,
  232.                 sizeof(IMAGE_SECTION_HEADER) * ImageNtHeader.FileHeader.NumberOfSections, &FileOffset, NULL);
  233.         if (!NT_SUCCESS(Status))
  234.         {
  235.                 KdPrint(("read IMAGE_SECTION_HEADER Failed:%X\n",Status));
  236.                 ZwClose(hFile);
  237.                 ExFreePool(pImageSectionHeader);
  238.                 return Status;
  239.         }


  240.         lpVirtualPointer = ExAllocatePool(PagedPool, ImageNtHeader.OptionalHeader.SizeOfImage);
  241.         if (lpVirtualPointer == 0)
  242.         {
  243.                 KdPrint(("lpVirtualPointer is null!\n"));
  244.                 ZwClose(hFile);
  245.                 ExFreePool(pImageSectionHeader);
  246.                 return STATUS_UNSUCCESSFUL;
  247.         }

  248.         memset(lpVirtualPointer, 0, ImageNtHeader.OptionalHeader.SizeOfImage);
  249.         RtlCopyMemory(lpVirtualPointer, &ImageDosHeader, sizeof(IMAGE_DOS_HEADER));
  250.         RtlCopyMemory((PVOID)((ULONG)lpVirtualPointer + ImageDosHeader.e_lfanew), &ImageNtHeader, sizeof(IMAGE_NT_HEADERS));
  251.         RtlCopyMemory((PVOID)((ULONG)lpVirtualPointer + ImageDosHeader.e_lfanew + sizeof(IMAGE_NT_HEADERS)),
  252.                 pImageSectionHeader, sizeof(IMAGE_SECTION_HEADER) * ImageNtHeader.FileHeader.NumberOfSections);


  253.         for (uIndex = 0; uIndex < ImageNtHeader.FileHeader.NumberOfSections; uIndex++)
  254.         {
  255.                 SectionVirtualAddress = pImageSectionHeader[uIndex].VirtualAddress;
  256.                 SizeOfSection = pImageSectionHeader[uIndex].SizeOfRawData;
  257.                 PointerToRawData = pImageSectionHeader[uIndex].PointerToRawData;

  258.                 FileOffset.QuadPart = PointerToRawData;
  259.                 Status = ZwReadFile(hFile, NULL, NULL, NULL, &IoStatusBlock, (PVOID)((ULONG)lpVirtualPointer + SectionVirtualAddress),
  260.                         SizeOfSection, &FileOffset, NULL);
  261.                 if (!NT_SUCCESS(Status))
  262.                 {
  263.                         KdPrint(("read failed is pImageSectionHeader[%d]:%X\n",uIndex, Status));
  264.                         ZwClose(hFile);
  265.                         ExFreePool(pImageSectionHeader);
  266.                         ExFreePool(lpVirtualPointer);
  267.                         return Status;
  268.                 }
  269.         }

  270.         RelocModule(lpVirtualPointer, pOrigImage);
  271.         SetNewSSDT(lpVirtualPointer, pOrigImage, &g_pNewServiceTable);
  272.        
  273.         KdPrint(("ok..."));

  274.         *lpVitrualAddress = lpVirtualPointer;
  275.         ZwClose(hFile);
  276.         ExFreePool(pImageSectionHeader);
  277.         return Status;
  278. }


  279. #pragma PAGEDCODE
  280. PLDR_DATA_TABLE_ENTRY EnumDriver(PDRIVER_OBJECT pDriverObject, WCHAR *strDriverName)
  281. {
  282.         PLDR_DATA_TABLE_ENTRY pDataTableEntry, pTempDataTableEntry;
  283.         PLIST_ENTRY pList;
  284.         UNICODE_STRING usDriverName;

  285.         RtlInitUnicodeString(&usDriverName, strDriverName);

  286.         pDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pDriverObject->DriverSection;

  287.         if (!pDataTableEntry)
  288.         {
  289.                 return 0;
  290.         }

  291.         pList = pDataTableEntry->InLoadOrderLinks.Flink;

  292.         while(pList != &pDataTableEntry->InLoadOrderLinks)
  293.         {
  294.                 pTempDataTableEntry = (PLDR_DATA_TABLE_ENTRY)pList;

  295.                 //KdPrint(("\n%wZ\n", &pTempDataTableEntry->BaseDllName));

  296.                 if (0 == RtlCompareUnicodeString(&pTempDataTableEntry->BaseDllName, &usDriverName, FALSE))
  297.                 {
  298.                         return pTempDataTableEntry;
  299.                 }

  300.                 pList = pList->Flink;
  301.         }

  302.         return 0;
  303. }


  304. #pragma PAGEDCODE
  305. ULONG SearchHookPointer(ULONG StartAddress)
  306. {
  307.         ULONG u_index;
  308.         UCHAR *p = (UCHAR*)StartAddress;

  309.         for (u_index = 0; u_index < 200; u_index++)
  310.         {
  311.                 if (*p == 0x2b &&
  312.                         *(p+1) == 0xe1 &&
  313.                         *(p+2) == 0xc1 &&
  314.                         *(p+3) == 0xe9 &&
  315.                         *(p+4) == 0x02)
  316.                 {
  317.                         return (ULONG)p;
  318.                 }
  319.                 p--;
  320.         }

  321.         return 0;
  322. }

  323. #pragma PAGEDCODE
  324. ULONG __stdcall FilterKiFastCallEntry(ULONG ServiceTableBase, ULONG FuncIndex, ULONG OrigFuncAddress)
  325. {
  326.         if (ServiceTableBase == (ULONG)KeServiceDescriptorTable.ServiceTableBase)
  327.         {
  328.                 if (strstr((char*)PsGetCurrentProcess() + 0x174, "Ollydbg") != 0)
  329.                 {
  330.                         return g_pNewServiceTable->ServiceTableBase[FuncIndex];
  331.                 }
  332.         }

  333.         return OrigFuncAddress;
  334. }

  335. __declspec(naked) void NewKiFastCallEntry()
  336. {
  337.         __asm
  338.         {
  339.                 pushad
  340.                         pushfd

  341.                         push ebx
  342.                         push eax
  343.                         push edi
  344.                         call FilterKiFastCallEntry

  345.                         mov [esp + 0x14], eax

  346.                         popfd
  347.                         popad

  348.                         sub esp,ecx
  349.                         shr ecx,2
  350.                         jmp g_goto_OrigFunc
  351.         }
  352. }

  353. void UnHookKiFastCallEntry()
  354. {
  355.         UCHAR str_origfuncode[5] = {0x2b, 0xe1, 0xc1, 0xe9, 0x02};
  356.         if (g_kifastcall_hookpoint == 0)
  357.         {
  358.                 return;
  359.         }

  360.         PageProtectOff();
  361.         RtlCopyMemory((PVOID)g_kifastcall_hookpoint, str_origfuncode, 5);
  362.         PageProtectOn();
  363. }

  364. void HookKiFastCallEntry(ULONG HookPointer)
  365. {
  366.         ULONG u_temp;
  367.         UCHAR u_jmp_code[5];

  368.         u_jmp_code[0] = 0xe9;

  369.         u_temp = (ULONG)NewKiFastCallEntry - HookPointer - 5;
  370.         *(ULONG*)&u_jmp_code[1] = u_temp;

  371.         PageProtectOff();

  372.         RtlCopyMemory((PVOID)HookPointer, u_jmp_code, 5);

  373.         PageProtectOn();

  374. }

  375. NTSTATUS  NewNtCreateFile(
  376.                                                   OUT PHANDLE  FileHandle,
  377.                                                   IN ACCESS_MASK  DesiredAccess,
  378.                                                   IN POBJECT_ATTRIBUTES  ObjectAttributes,
  379.                                                   OUT PIO_STATUS_BLOCK  IoStatusBlock,
  380.                                                   IN PLARGE_INTEGER  AllocationSize,
  381.                                                   IN ULONG  FileAttributes,
  382.                                                   IN ULONG  ShareAccess,
  383.                                                   IN ULONG  CreateDisposition,
  384.                                                   IN ULONG  CreateOptions,
  385.                                                   IN PVOID  EaBuffer,
  386.                                                   IN ULONG  EaLength
  387.                                                   )
  388. {
  389.         ULONG u_call_retAddr;
  390.         __asm
  391.         {
  392.                 pushad
  393.                         mov eax, [ebp + 0x4]
  394.                 mov u_call_retAddr, eax
  395.                         popad
  396.         }

  397.         KdPrint(("u_call_retAddr: %x\n", u_call_retAddr));
  398.         g_kifastcall_hookpoint = SearchHookPointer(u_call_retAddr);

  399.         if (g_kifastcall_hookpoint == 0)
  400.         {
  401.                 KdPrint(("search failed!\n"));
  402.         }
  403.         else
  404.         {
  405.                 KdPrint(("search success %x\n", g_kifastcall_hookpoint));
  406.         }

  407.         g_goto_OrigFunc = g_kifastcall_hookpoint + 5;
  408.         HookKiFastCallEntry(g_kifastcall_hookpoint);

  409.         PageProtectOff();

  410.         KeServiceDescriptorTable.ServiceTableBase[37] = (unsigned int)g_ntCreateFile;

  411.         PageProtectOn();

  412.         return ((pNtCreateFile)g_ntCreateFile)(
  413.                 FileHandle,
  414.                 DesiredAccess,
  415.                 ObjectAttributes,
  416.                 IoStatusBlock,
  417.                 AllocationSize,
  418.                 FileAttributes,
  419.                 ShareAccess,
  420.                 CreateDisposition,
  421.                 CreateOptions,
  422.                 EaBuffer,
  423.                 EaLength);
  424. }




  425. #pragma PAGEDCODE
  426. void SearchKiFastCallEntry()
  427. {
  428.         NTSTATUS Status;
  429.         HANDLE hFile;
  430.         OBJECT_ATTRIBUTES        ObjAttr;
  431.         UNICODE_STRING FileName;
  432.         IO_STATUS_BLOCK IoStatusBlock;

  433.         RtlInitUnicodeString(&FileName, L"\\??\\C:\\WINDOWS\\system32\\ntoskrnl.exe");

  434.         InitializeObjectAttributes(&ObjAttr, &FileName, OBJ_CASE_INSENSITIVE, NULL, NULL);

  435.         PageProtectOff();
  436.         g_ntCreateFile = KeServiceDescriptorTable.ServiceTableBase[37];
  437.         KeServiceDescriptorTable.ServiceTableBase[37] = (unsigned int)NewNtCreateFile;
  438.         PageProtectOn();

  439.         Status = ZwCreateFile(&hFile, GENERIC_ALL, &ObjAttr, &IoStatusBlock, NULL, FILE_ATTRIBUTE_NORMAL,
  440.                 FILE_SHARE_READ, FILE_OPEN,  FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, 0);
  441.         if (NT_SUCCESS(Status))
  442.         {
  443.                 ZwClose(hFile);
  444.         }

  445. }


  446. #pragma PAGEDCODE
  447. VOID MyDriverUnload(IN PDRIVER_OBJECT pDriverObject)
  448. {

  449.         if (g_lpVitrualPointer)
  450.         {
  451.                 ExFreePool(g_lpVitrualPointer);
  452.         }

  453.         UnHookKiFastCallEntry();

  454.         KdPrint(("DriverEntry unLoading...\n"));

  455. }



  456. #pragma INITCODE
  457. NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
  458. {
  459.         NTSTATUS status = STATUS_SUCCESS;
  460.         PLDR_DATA_TABLE_ENTRY pLdrDataTableEntry;

  461.         pLdrDataTableEntry = EnumDriver(pDriverObject, L"ntoskrnl.exe");
  462.         if (pLdrDataTableEntry)
  463.         {
  464.                 ReadFileToMemory(L"\\??\\C:\\WINDOWS\\system32\\ntoskrnl.exe", &g_lpVitrualPointer, pLdrDataTableEntry->DllBase);
  465.                 KdPrint(("g_lpVitrualPointer:%X\n", g_lpVitrualPointer));
  466.                 g_NewKernelInc = (ULONG)g_lpVitrualPointer - (ULONG)pLdrDataTableEntry->DllBase;
  467.                 SearchKiFastCallEntry();
  468.         }

  469.         pDriverObject->DriverUnload = MyDriverUnload;
  470.         return status;
  471. }
复制代码
ntimage.h
  1. /*++ BUILD Version: 0004    // Increment this if a change has global effects

  2. Copyright (c) Microsoft Corporation. All rights reserved.

  3. You may only use this code if you agree to the terms of the Windows Research Kernel Source Code License agreement (see License.txt).
  4. If you do not agree to the terms, do not use the code.


  5. Module Name:

  6.     ntimage.h

  7. Abstract:

  8.     This is the include file that describes all image structures.

  9. --*/

  10. #ifndef _NTIMAGE_
  11. #define _NTIMAGE_

  12. #if _MSC_VER > 1000
  13. #pragma once
  14. #endif

  15. //
  16. // Define the linker version number.  This is temporary to aid
  17. // in debugging with people trying to load images built with
  18. // an older linker.  This is not required in the final product.
  19. //

  20. #define IMAGE_MAJOR_LINKER_VERSION 2

  21. // begin_winnt


  22. //
  23. // Image Format
  24. //

  25. #include "pshpack4.h"                   // 4 byte packing is the default

  26. #define IMAGE_DOS_SIGNATURE                 0x5A4D      // MZ
  27. #define IMAGE_OS2_SIGNATURE                 0x454E      // NE
  28. #define IMAGE_OS2_SIGNATURE_LE              0x454C      // LE
  29. #define IMAGE_VXD_SIGNATURE                 0x454C      // LE
  30. #define IMAGE_NT_SIGNATURE                  0x00004550  // PE00

  31. #include "pshpack2.h"                   // 16 bit headers are 2 byte packed

  32. typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE header
  33.     USHORT e_magic;                     // Magic number
  34.     USHORT e_cblp;                      // Bytes on last page of file
  35.     USHORT e_cp;                        // Pages in file
  36.     USHORT e_crlc;                      // Relocations
  37.     USHORT e_cparhdr;                   // Size of header in paragraphs
  38.     USHORT e_minalloc;                  // Minimum extra paragraphs needed
  39.     USHORT e_maxalloc;                  // Maximum extra paragraphs needed
  40.     USHORT e_ss;                        // Initial (relative) SS value
  41.     USHORT e_sp;                        // Initial SP value
  42.     USHORT e_csum;                      // Checksum
  43.     USHORT e_ip;                        // Initial IP value
  44.     USHORT e_cs;                        // Initial (relative) CS value
  45.     USHORT e_lfarlc;                    // File address of relocation table
  46.     USHORT e_ovno;                      // Overlay number
  47.     USHORT e_res[4];                    // Reserved words
  48.     USHORT e_oemid;                     // OEM identifier (for e_oeminfo)
  49.     USHORT e_oeminfo;                   // OEM information; e_oemid specific
  50.     USHORT e_res2[10];                  // Reserved words
  51.     LONG   e_lfanew;                    // File address of new exe header
  52.   } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

  53. typedef struct _IMAGE_OS2_HEADER {      // OS/2 .EXE header
  54.     USHORT ne_magic;                    // Magic number
  55.     CHAR   ne_ver;                      // Version number
  56.     CHAR   ne_rev;                      // Revision number
  57.     USHORT ne_enttab;                   // Offset of Entry Table
  58.     USHORT ne_cbenttab;                 // Number of bytes in Entry Table
  59.     LONG   ne_crc;                      // Checksum of whole file
  60.     USHORT ne_flags;                    // Flag word
  61.     USHORT ne_autodata;                 // Automatic data segment number
  62.     USHORT ne_heap;                     // Initial heap allocation
  63.     USHORT ne_stack;                    // Initial stack allocation
  64.     LONG   ne_csip;                     // Initial CS:IP setting
  65.     LONG   ne_sssp;                     // Initial SS:SP setting
  66.     USHORT ne_cseg;                     // Count of file segments
  67.     USHORT ne_cmod;                     // Entries in Module Reference Table
  68.     USHORT ne_cbnrestab;                // Size of non-resident name table
  69.     USHORT ne_segtab;                   // Offset of Segment Table
  70.     USHORT ne_rsrctab;                  // Offset of Resource Table
  71.     USHORT ne_restab;                   // Offset of resident name table
  72.     USHORT ne_modtab;                   // Offset of Module Reference Table
  73.     USHORT ne_imptab;                   // Offset of Imported Names Table
  74.     LONG   ne_nrestab;                  // Offset of Non-resident Names Table
  75.     USHORT ne_cmovent;                  // Count of movable entries
  76.     USHORT ne_align;                    // Segment alignment shift count
  77.     USHORT ne_cres;                     // Count of resource segments
  78.     UCHAR  ne_exetyp;                   // Target Operating system
  79.     UCHAR  ne_flagsothers;              // Other .EXE flags
  80.     USHORT ne_pretthunks;               // offset to return thunks
  81.     USHORT ne_psegrefbytes;             // offset to segment ref. bytes
  82.     USHORT ne_swaparea;                 // Minimum code swap area size
  83.     USHORT ne_expver;                   // Expected Windows version number
  84.   } IMAGE_OS2_HEADER, *PIMAGE_OS2_HEADER;

  85. typedef struct _IMAGE_VXD_HEADER {      // Windows VXD header
  86.     USHORT e32_magic;                   // Magic number
  87.     UCHAR  e32_border;                  // The byte ordering for the VXD
  88.     UCHAR  e32_worder;                  // The word ordering for the VXD
  89.     ULONG  e32_level;                   // The EXE format level for now = 0
  90.     USHORT e32_cpu;                     // The CPU type
  91.     USHORT e32_os;                      // The OS type
  92.     ULONG  e32_ver;                     // Module version
  93.     ULONG  e32_mflags;                  // Module flags
  94.     ULONG  e32_mpages;                  // Module # pages
  95.     ULONG  e32_startobj;                // Object # for instruction pointer
  96.     ULONG  e32_eip;                     // Extended instruction pointer
  97.     ULONG  e32_stackobj;                // Object # for stack pointer
  98.     ULONG  e32_esp;                     // Extended stack pointer
  99.     ULONG  e32_pagesize;                // VXD page size
  100.     ULONG  e32_lastpagesize;            // Last page size in VXD
  101.     ULONG  e32_fixupsize;               // Fixup section size
  102.     ULONG  e32_fixupsum;                // Fixup section checksum
  103.     ULONG  e32_ldrsize;                 // Loader section size
  104.     ULONG  e32_ldrsum;                  // Loader section checksum
  105.     ULONG  e32_objtab;                  // Object table offset
  106.     ULONG  e32_objcnt;                  // Number of objects in module
  107.     ULONG  e32_objmap;                  // Object page map offset
  108.     ULONG  e32_itermap;                 // Object iterated data map offset
  109.     ULONG  e32_rsrctab;                 // Offset of Resource Table
  110.     ULONG  e32_rsrccnt;                 // Number of resource entries
  111.     ULONG  e32_restab;                  // Offset of resident name table
  112.     ULONG  e32_enttab;                  // Offset of Entry Table
  113.     ULONG  e32_dirtab;                  // Offset of Module Directive Table
  114.     ULONG  e32_dircnt;                  // Number of module directives
  115.     ULONG  e32_fpagetab;                // Offset of Fixup Page Table
  116.     ULONG  e32_frectab;                 // Offset of Fixup Record Table
  117.     ULONG  e32_impmod;                  // Offset of Import Module Name Table
  118.     ULONG  e32_impmodcnt;               // Number of entries in Import Module Name Table
  119.     ULONG  e32_impproc;                 // Offset of Import Procedure Name Table
  120.     ULONG  e32_pagesum;                 // Offset of Per-Page Checksum Table
  121.     ULONG  e32_datapage;                // Offset of Enumerated Data Pages
  122.     ULONG  e32_preload;                 // Number of preload pages
  123.     ULONG  e32_nrestab;                 // Offset of Non-resident Names Table
  124.     ULONG  e32_cbnrestab;               // Size of Non-resident Name Table
  125.     ULONG  e32_nressum;                 // Non-resident Name Table Checksum
  126.     ULONG  e32_autodata;                // Object # for automatic data object
  127.     ULONG  e32_debuginfo;               // Offset of the debugging information
  128.     ULONG  e32_debuglen;                // The length of the debugging info. in bytes
  129.     ULONG  e32_instpreload;             // Number of instance pages in preload section of VXD file
  130.     ULONG  e32_instdemand;              // Number of instance pages in demand load section of VXD file
  131.     ULONG  e32_heapsize;                // Size of heap - for 16-bit apps
  132.     UCHAR  e32_res3[12];                // Reserved words
  133.     ULONG  e32_winresoff;
  134.     ULONG  e32_winreslen;
  135.     USHORT e32_devid;                   // Device ID for VxD
  136.     USHORT e32_ddkver;                  // DDK version for VxD
  137.   } IMAGE_VXD_HEADER, *PIMAGE_VXD_HEADER;

  138. #include "poppack.h"                    // Back to 4 byte packing

  139. //
  140. // File header format.
  141. //

  142. typedef struct _IMAGE_FILE_HEADER {
  143.     USHORT  Machine;
  144.     USHORT  NumberOfSections;
  145.     ULONG   TimeDateStamp;
  146.     ULONG   PointerToSymbolTable;
  147.     ULONG   NumberOfSymbols;
  148.     USHORT  SizeOfOptionalHeader;
  149.     USHORT  Characteristics;
  150. } IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

  151. #define IMAGE_SIZEOF_FILE_HEADER             20


  152. #define IMAGE_FILE_RELOCS_STRIPPED           0x0001  // Relocation info stripped from file.
  153. #define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // File is executable  (i.e. no unresolved external references).
  154. #define IMAGE_FILE_LINE_NUMS_STRIPPED        0x0004  // Line nunbers stripped from file.
  155. #define IMAGE_FILE_LOCAL_SYMS_STRIPPED       0x0008  // Local symbols stripped from file.
  156. #define IMAGE_FILE_AGGRESIVE_WS_TRIM         0x0010  // Agressively trim working set
  157. #define IMAGE_FILE_LARGE_ADDRESS_AWARE       0x0020  // App can handle >2gb addresses
  158. #define IMAGE_FILE_BYTES_REVERSED_LO         0x0080  // Bytes of machine word are reversed.
  159. #define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32 bit word machine.
  160. #define IMAGE_FILE_DEBUG_STRIPPED            0x0200  // Debugging info stripped from file in .DBG file
  161. #define IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP   0x0400  // If Image is on removable media, copy and run from the swap file.
  162. #define IMAGE_FILE_NET_RUN_FROM_SWAP         0x0800  // If Image is on Net, copy and run from the swap file.
  163. #define IMAGE_FILE_SYSTEM                    0x1000  // System File.
  164. #define IMAGE_FILE_DLL                       0x2000  // File is a DLL.
  165. #define IMAGE_FILE_UP_SYSTEM_ONLY            0x4000  // File should only be run on a UP machine
  166. #define IMAGE_FILE_BYTES_REVERSED_HI         0x8000  // Bytes of machine word are reversed.

  167. #define IMAGE_FILE_MACHINE_UNKNOWN           0
  168. #define IMAGE_FILE_MACHINE_I386              0x014c  // Intel 386.
  169. #define IMAGE_FILE_MACHINE_R3000             0x0162  // MIPS little-endian, 0x160 big-endian
  170. #define IMAGE_FILE_MACHINE_R4000             0x0166  // MIPS little-endian
  171. #define IMAGE_FILE_MACHINE_R10000            0x0168  // MIPS little-endian
  172. #define IMAGE_FILE_MACHINE_WCEMIPSV2         0x0169  // MIPS little-endian WCE v2
  173. #define IMAGE_FILE_MACHINE_ALPHA             0x0184  // Alpha_AXP
  174. #define IMAGE_FILE_MACHINE_SH3               0x01a2  // SH3 little-endian
  175. #define IMAGE_FILE_MACHINE_SH3DSP            0x01a3
  176. #define IMAGE_FILE_MACHINE_SH3E              0x01a4  // SH3E little-endian
  177. #define IMAGE_FILE_MACHINE_SH4               0x01a6  // SH4 little-endian
  178. #define IMAGE_FILE_MACHINE_SH5               0x01a8  // SH5
  179. #define IMAGE_FILE_MACHINE_ARM               0x01c0  // ARM Little-Endian
  180. #define IMAGE_FILE_MACHINE_THUMB             0x01c2
  181. #define IMAGE_FILE_MACHINE_AM33              0x01d3
  182. #define IMAGE_FILE_MACHINE_POWERPC           0x01F0  // IBM PowerPC Little-Endian
  183. #define IMAGE_FILE_MACHINE_POWERPCFP         0x01f1
  184. #define IMAGE_FILE_MACHINE_IA64              0x0200  // Intel 64
  185. #define IMAGE_FILE_MACHINE_MIPS16            0x0266  // MIPS
  186. #define IMAGE_FILE_MACHINE_ALPHA64           0x0284  // ALPHA64
  187. #define IMAGE_FILE_MACHINE_MIPSFPU           0x0366  // MIPS
  188. #define IMAGE_FILE_MACHINE_MIPSFPU16         0x0466  // MIPS
  189. #define IMAGE_FILE_MACHINE_AXP64             IMAGE_FILE_MACHINE_ALPHA64
  190. #define IMAGE_FILE_MACHINE_TRICORE           0x0520  // Infineon
  191. #define IMAGE_FILE_MACHINE_CEF               0x0CEF
  192. #define IMAGE_FILE_MACHINE_EBC               0x0EBC  // EFI Byte Code
  193. #define IMAGE_FILE_MACHINE_AMD64             0x8664  // AMD64 (K8)
  194. #define IMAGE_FILE_MACHINE_M32R              0x9041  // M32R little-endian
  195. #define IMAGE_FILE_MACHINE_CEE               0xC0EE

  196. //
  197. // Directory format.
  198. //

  199. typedef struct _IMAGE_DATA_DIRECTORY {
  200.     ULONG   VirtualAddress;
  201.     ULONG   Size;
  202. } IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

  203. #define IMAGE_NUMBEROF_DIRECTORY_ENTRIES    16

  204. //
  205. // Optional header format.
  206. //

  207. typedef struct _IMAGE_OPTIONAL_HEADER {
  208.     //
  209.     // Standard fields.
  210.     //

  211.     USHORT  Magic;
  212.     UCHAR   MajorLinkerVersion;
  213.     UCHAR   MinorLinkerVersion;
  214.     ULONG   SizeOfCode;
  215.     ULONG   SizeOfInitializedData;
  216.     ULONG   SizeOfUninitializedData;
  217.     ULONG   AddressOfEntryPoint;
  218.     ULONG   BaseOfCode;
  219.     ULONG   BaseOfData;

  220.     //
  221.     // NT additional fields.
  222.     //

  223.     ULONG   ImageBase;
  224.     ULONG   SectionAlignment;
  225.     ULONG   FileAlignment;
  226.     USHORT  MajorOperatingSystemVersion;
  227.     USHORT  MinorOperatingSystemVersion;
  228.     USHORT  MajorImageVersion;
  229.     USHORT  MinorImageVersion;
  230.     USHORT  MajorSubsystemVersion;
  231.     USHORT  MinorSubsystemVersion;
  232.     ULONG   Win32VersionValue;
  233.     ULONG   SizeOfImage;
  234.     ULONG   SizeOfHeaders;
  235.     ULONG   CheckSum;
  236.     USHORT  Subsystem;
  237.     USHORT  DllCharacteristics;
  238.     ULONG   SizeOfStackReserve;
  239.     ULONG   SizeOfStackCommit;
  240.     ULONG   SizeOfHeapReserve;
  241.     ULONG   SizeOfHeapCommit;
  242.     ULONG   LoaderFlags;
  243.     ULONG   NumberOfRvaAndSizes;
  244.     IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
  245. } IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

  246. typedef struct _IMAGE_ROM_OPTIONAL_HEADER {
  247.     USHORT Magic;
  248.     UCHAR  MajorLinkerVersion;
  249.     UCHAR  MinorLinkerVersion;
  250.     ULONG  SizeOfCode;
  251.     ULONG  SizeOfInitializedData;
  252.     ULONG  SizeOfUninitializedData;
  253.     ULONG  AddressOfEntryPoint;
  254.     ULONG  BaseOfCode;
  255.     ULONG  BaseOfData;
  256.     ULONG  BaseOfBss;
  257.     ULONG  GprMask;
  258.     ULONG  CprMask[4];
  259.     ULONG  GpValue;
  260. } IMAGE_ROM_OPTIONAL_HEADER, *PIMAGE_ROM_OPTIONAL_HEADER;

  261. typedef struct _IMAGE_OPTIONAL_HEADER64 {
  262.     USHORT      Magic;
  263.     UCHAR       MajorLinkerVersion;
  264.     UCHAR       MinorLinkerVersion;
  265.     ULONG       SizeOfCode;
  266.     ULONG       SizeOfInitializedData;
  267.     ULONG       SizeOfUninitializedData;
  268.     ULONG       AddressOfEntryPoint;
  269.     ULONG       BaseOfCode;
  270.     ULONGLONG   ImageBase;
  271.     ULONG       SectionAlignment;
  272.     ULONG       FileAlignment;
  273.     USHORT      MajorOperatingSystemVersion;
  274.     USHORT      MinorOperatingSystemVersion;
  275.     USHORT      MajorImageVersion;
  276.     USHORT      MinorImageVersion;
  277.     USHORT      MajorSubsystemVersion;
  278.     USHORT      MinorSubsystemVersion;
  279.     ULONG       Win32VersionValue;
  280.     ULONG       SizeOfImage;
  281.     ULONG       SizeOfHeaders;
  282.     ULONG       CheckSum;
  283.     USHORT      Subsystem;
  284.     USHORT      DllCharacteristics;
  285.     ULONGLONG   SizeOfStackReserve;
  286.     ULONGLONG   SizeOfStackCommit;
  287.     ULONGLONG   SizeOfHeapReserve;
  288.     ULONGLONG   SizeOfHeapCommit;
  289.     ULONG       LoaderFlags;
  290.     ULONG       NumberOfRvaAndSizes;
  291.     IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
  292. } IMAGE_OPTIONAL_HEADER64, *PIMAGE_OPTIONAL_HEADER64;

  293. #define IMAGE_SIZEOF_ROM_OPTIONAL_HEADER      56
  294. #define IMAGE_SIZEOF_STD_OPTIONAL_HEADER      28
  295. #define IMAGE_SIZEOF_NT_OPTIONAL32_HEADER    224
  296. #define IMAGE_SIZEOF_NT_OPTIONAL64_HEADER    240

  297. #define IMAGE_NT_OPTIONAL_HDR32_MAGIC      0x10b
  298. #define IMAGE_NT_OPTIONAL_HDR64_MAGIC      0x20b
  299. #define IMAGE_ROM_OPTIONAL_HDR_MAGIC       0x107

  300. #ifdef _WIN64
  301. typedef IMAGE_OPTIONAL_HEADER64             IMAGE_OPTIONAL_HEADER;
  302. typedef PIMAGE_OPTIONAL_HEADER64            PIMAGE_OPTIONAL_HEADER;
  303. #define IMAGE_SIZEOF_NT_OPTIONAL_HEADER     IMAGE_SIZEOF_NT_OPTIONAL64_HEADER
  304. #define IMAGE_NT_OPTIONAL_HDR_MAGIC         IMAGE_NT_OPTIONAL_HDR64_MAGIC
  305. #else
  306. typedef IMAGE_OPTIONAL_HEADER32             IMAGE_OPTIONAL_HEADER;
  307. typedef PIMAGE_OPTIONAL_HEADER32            PIMAGE_OPTIONAL_HEADER;
  308. #define IMAGE_SIZEOF_NT_OPTIONAL_HEADER     IMAGE_SIZEOF_NT_OPTIONAL32_HEADER
  309. #define IMAGE_NT_OPTIONAL_HDR_MAGIC         IMAGE_NT_OPTIONAL_HDR32_MAGIC
  310. #endif

  311. typedef struct _IMAGE_NT_HEADERS64 {
  312.     ULONG Signature;
  313.     IMAGE_FILE_HEADER FileHeader;
  314.     IMAGE_OPTIONAL_HEADER64 OptionalHeader;
  315. } IMAGE_NT_HEADERS64, *PIMAGE_NT_HEADERS64;

  316. typedef struct _IMAGE_NT_HEADERS {
  317.     ULONG Signature;
  318.     IMAGE_FILE_HEADER FileHeader;
  319.     IMAGE_OPTIONAL_HEADER32 OptionalHeader;
  320. } IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

  321. typedef struct _IMAGE_ROM_HEADERS {
  322.     IMAGE_FILE_HEADER FileHeader;
  323.     IMAGE_ROM_OPTIONAL_HEADER OptionalHeader;
  324. } IMAGE_ROM_HEADERS, *PIMAGE_ROM_HEADERS;

  325. #ifdef _WIN64
  326. typedef IMAGE_NT_HEADERS64                  IMAGE_NT_HEADERS;
  327. typedef PIMAGE_NT_HEADERS64                 PIMAGE_NT_HEADERS;
  328. #else
  329. typedef IMAGE_NT_HEADERS32                  IMAGE_NT_HEADERS;
  330. typedef PIMAGE_NT_HEADERS32                 PIMAGE_NT_HEADERS;
  331. #endif

  332. // IMAGE_FIRST_SECTION doesn't need 32/64 versions since the file header is the same either way.

  333. #define IMAGE_FIRST_SECTION( ntheader ) ((PIMAGE_SECTION_HEADER)        \
  334.     ((ULONG_PTR)ntheader +                                              \
  335.      FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) +                 \
  336.      ((PIMAGE_NT_HEADERS)(ntheader))->FileHeader.SizeOfOptionalHeader   \
  337.     ))

  338. // Subsystem Values

  339. #define IMAGE_SUBSYSTEM_UNKNOWN              0   // Unknown subsystem.
  340. #define IMAGE_SUBSYSTEM_NATIVE               1   // Image doesn't require a subsystem.
  341. #define IMAGE_SUBSYSTEM_WINDOWS_GUI          2   // Image runs in the Windows GUI subsystem.
  342. #define IMAGE_SUBSYSTEM_WINDOWS_CUI          3   // Image runs in the Windows character subsystem.
  343. // end_winnt
  344. // reserved                                  4   // Old Windows CE subsystem.
  345. // begin_winnt
  346. #define IMAGE_SUBSYSTEM_OS2_CUI              5   // image runs in the OS/2 character subsystem.
  347. #define IMAGE_SUBSYSTEM_POSIX_CUI            7   // image runs in the Posix character subsystem.
  348. #define IMAGE_SUBSYSTEM_NATIVE_WINDOWS       8   // image is a native Win9x driver.
  349. #define IMAGE_SUBSYSTEM_WINDOWS_CE_GUI       9   // Image runs in the Windows CE subsystem.
  350. #define IMAGE_SUBSYSTEM_EFI_APPLICATION      10  //
  351. #define IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER  11   //
  352. #define IMAGE_SUBSYSTEM_EFI_RUNTIME_DRIVER   12  //
  353. #define IMAGE_SUBSYSTEM_EFI_ROM              13
  354. #define IMAGE_SUBSYSTEM_XBOX                 14

  355. // DllCharacteristics Entries

  356. //      IMAGE_LIBRARY_PROCESS_INIT           0x0001     // Reserved.
  357. //      IMAGE_LIBRARY_PROCESS_TERM           0x0002     // Reserved.
  358. //      IMAGE_LIBRARY_THREAD_INIT            0x0004     // Reserved.
  359. //      IMAGE_LIBRARY_THREAD_TERM            0x0008     // Reserved.
  360. #define IMAGE_DLLCHARACTERISTICS_NO_ISOLATION 0x0200    // Image understands isolation and doesn't want it
  361. #define IMAGE_DLLCHARACTERISTICS_NO_SEH      0x0400     // Image does not use SEH.  No SE handler may reside in this image
  362. #define IMAGE_DLLCHARACTERISTICS_NO_BIND     0x0800     // Do not bind this image.
  363. //                                           0x1000     // Reserved.
  364. #define IMAGE_DLLCHARACTERISTICS_WDM_DRIVER  0x2000     // Driver uses WDM model
  365. //                                           0x4000     // Reserved.
  366. #define IMAGE_DLLCHARACTERISTICS_TERMINAL_SERVER_AWARE     0x8000
  367. // end_winnt
  368. #define IMAGE_DLLCHARACTERISTICS_X86_THUNK   0x1000 // Image is a Wx86 Thunk DLL
  369. // Note: The Borland linker sets IMAGE_LIBRARY_xxx flags in DllCharacteristics

  370. // LoaderFlags Values

  371. #define IMAGE_LOADER_FLAGS_COMPLUS             0x00000001   // COM+ image
  372. #define IMAGE_LOADER_FLAGS_SYSTEM_GLOBAL       0x01000000   // Global subsections apply across TS sessions.

  373. // begin_winnt

  374. // Directory Entries

  375. #define IMAGE_DIRECTORY_ENTRY_EXPORT          0   // Export Directory
  376. #define IMAGE_DIRECTORY_ENTRY_IMPORT          1   // Import Directory
  377. #define IMAGE_DIRECTORY_ENTRY_RESOURCE        2   // Resource Directory
  378. #define IMAGE_DIRECTORY_ENTRY_EXCEPTION       3   // Exception Directory
  379. #define IMAGE_DIRECTORY_ENTRY_SECURITY        4   // Security Directory
  380. #define IMAGE_DIRECTORY_ENTRY_BASERELOC       5   // Base Relocation Table
  381. #define IMAGE_DIRECTORY_ENTRY_DEBUG           6   // Debug Directory
  382. //      IMAGE_DIRECTORY_ENTRY_COPYRIGHT       7   // (X86 usage)
  383. #define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE    7   // Architecture Specific Data
  384. #define IMAGE_DIRECTORY_ENTRY_GLOBALPTR       8   // RVA of GP
  385. #define IMAGE_DIRECTORY_ENTRY_TLS             9   // TLS Directory
  386. #define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG    10   // Load Configuration Directory
  387. #define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT   11   // Bound Import Directory in headers
  388. #define IMAGE_DIRECTORY_ENTRY_IAT            12   // Import Address Table
  389. #define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT   13   // Delay Load Import Descriptors
  390. #define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 14   // COM Runtime descriptor

  391. //
  392. // Non-COFF Object file header
  393. //

  394. typedef struct ANON_OBJECT_HEADER {
  395.     USHORT  Sig1;            // Must be IMAGE_FILE_MACHINE_UNKNOWN
  396.     USHORT  Sig2;            // Must be 0xffff
  397.     USHORT  Version;         // >= 1 (implies the CLSID field is present)
  398.     USHORT  Machine;
  399.     ULONG   TimeDateStamp;
  400.     CLSID   ClassID;         // Used to invoke CoCreateInstance
  401.     ULONG   SizeOfData;      // Size of data that follows the header
  402. } ANON_OBJECT_HEADER;

  403. //
  404. // Section header format.
  405. //

  406. #define IMAGE_SIZEOF_SHORT_NAME              8

  407. typedef struct _IMAGE_SECTION_HEADER {
  408.     UCHAR   Name[IMAGE_SIZEOF_SHORT_NAME];
  409.     union {
  410.             ULONG   PhysicalAddress;
  411.             ULONG   VirtualSize;
  412.     } Misc;
  413.     ULONG   VirtualAddress;
  414.     ULONG   SizeOfRawData;
  415.     ULONG   PointerToRawData;
  416.     ULONG   PointerToRelocations;
  417.     ULONG   PointerToLinenumbers;
  418.     USHORT  NumberOfRelocations;
  419.     USHORT  NumberOfLinenumbers;
  420.     ULONG   Characteristics;
  421. } IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

  422. #define IMAGE_SIZEOF_SECTION_HEADER          40

  423. //
  424. // Section characteristics.
  425. //
  426. //      IMAGE_SCN_TYPE_REG                   0x00000000  // Reserved.
  427. //      IMAGE_SCN_TYPE_DSECT                 0x00000001  // Reserved.
  428. //      IMAGE_SCN_TYPE_NOLOAD                0x00000002  // Reserved.
  429. //      IMAGE_SCN_TYPE_GROUP                 0x00000004  // Reserved.
  430. #define IMAGE_SCN_TYPE_NO_PAD                0x00000008  // Reserved.
  431. //      IMAGE_SCN_TYPE_COPY                  0x00000010  // Reserved.

  432. #define IMAGE_SCN_CNT_CODE                   0x00000020  // Section contains code.
  433. #define IMAGE_SCN_CNT_INITIALIZED_DATA       0x00000040  // Section contains initialized data.
  434. #define IMAGE_SCN_CNT_UNINITIALIZED_DATA     0x00000080  // Section contains uninitialized data.

  435. #define IMAGE_SCN_LNK_OTHER                  0x00000100  // Reserved.
  436. #define IMAGE_SCN_LNK_INFO                   0x00000200  // Section contains comments or some other type of information.
  437. //      IMAGE_SCN_TYPE_OVER                  0x00000400  // Reserved.
  438. #define IMAGE_SCN_LNK_REMOVE                 0x00000800  // Section contents will not become part of image.
  439. #define IMAGE_SCN_LNK_COMDAT                 0x00001000  // Section contents comdat.
  440. //                                           0x00002000  // Reserved.
  441. //      IMAGE_SCN_MEM_PROTECTED - Obsolete   0x00004000
  442. #define IMAGE_SCN_NO_DEFER_SPEC_EXC          0x00004000  // Reset speculative exceptions handling bits in the TLB entries for this section.
  443. #define IMAGE_SCN_GPREL                      0x00008000  // Section content can be accessed relative to GP
  444. #define IMAGE_SCN_MEM_FARDATA                0x00008000
  445. //      IMAGE_SCN_MEM_SYSHEAP  - Obsolete    0x00010000
  446. #define IMAGE_SCN_MEM_PURGEABLE              0x00020000
  447. #define IMAGE_SCN_MEM_16BIT                  0x00020000
  448. #define IMAGE_SCN_MEM_LOCKED                 0x00040000
  449. #define IMAGE_SCN_MEM_PRELOAD                0x00080000

  450. #define IMAGE_SCN_ALIGN_1BYTES               0x00100000  //
  451. #define IMAGE_SCN_ALIGN_2BYTES               0x00200000  //
  452. #define IMAGE_SCN_ALIGN_4BYTES               0x00300000  //
  453. #define IMAGE_SCN_ALIGN_8BYTES               0x00400000  //
  454. #define IMAGE_SCN_ALIGN_16BYTES              0x00500000  // Default alignment if no others are specified.
  455. #define IMAGE_SCN_ALIGN_32BYTES              0x00600000  //
  456. #define IMAGE_SCN_ALIGN_64BYTES              0x00700000  //
  457. #define IMAGE_SCN_ALIGN_128BYTES             0x00800000  //
  458. #define IMAGE_SCN_ALIGN_256BYTES             0x00900000  //
  459. #define IMAGE_SCN_ALIGN_512BYTES             0x00A00000  //
  460. #define IMAGE_SCN_ALIGN_1024BYTES            0x00B00000  //
  461. #define IMAGE_SCN_ALIGN_2048BYTES            0x00C00000  //
  462. #define IMAGE_SCN_ALIGN_4096BYTES            0x00D00000  //
  463. #define IMAGE_SCN_ALIGN_8192BYTES            0x00E00000  //
  464. // Unused                                    0x00F00000
  465. #define IMAGE_SCN_ALIGN_MASK                 0x00F00000

  466. #define IMAGE_SCN_LNK_NRELOC_OVFL            0x01000000  // Section contains extended relocations.
  467. #define IMAGE_SCN_MEM_DISCARDABLE            0x02000000  // Section can be discarded.
  468. #define IMAGE_SCN_MEM_NOT_CACHED             0x04000000  // Section is not cachable.
  469. #define IMAGE_SCN_MEM_NOT_PAGED              0x08000000  // Section is not pageable.
  470. #define IMAGE_SCN_MEM_SHARED                 0x10000000  // Section is shareable.
  471. #define IMAGE_SCN_MEM_EXECUTE                0x20000000  // Section is executable.
  472. #define IMAGE_SCN_MEM_READ                   0x40000000  // Section is readable.
  473. #define IMAGE_SCN_MEM_WRITE                  0x80000000  // Section is writeable.

  474. //
  475. // TLS Characteristic Flags
  476. //
  477. #define IMAGE_SCN_SCALE_INDEX                0x00000001  // Tls index is scaled

  478. #include "pshpack2.h"                       // Symbols, relocs, and linenumbers are 2 byte packed

  479. //
  480. // Symbol format.
  481. //

  482. typedef struct _IMAGE_SYMBOL {
  483.     union {
  484.         UCHAR   ShortName[8];
  485.         struct {
  486.             ULONG   Short;     // if 0, use LongName
  487.             ULONG   Long;      // offset into string table
  488.         } Name;
  489.         ULONG   LongName[2];    // PUCHAR[2]
  490.     } N;
  491.     ULONG   Value;
  492.     SHORT   SectionNumber;
  493.     USHORT  Type;
  494.     UCHAR   StorageClass;
  495.     UCHAR   NumberOfAuxSymbols;
  496. } IMAGE_SYMBOL;
  497. typedef IMAGE_SYMBOL UNALIGNED *PIMAGE_SYMBOL;


  498. #define IMAGE_SIZEOF_SYMBOL                  18

  499. //
  500. // Section values.
  501. //
  502. // Symbols have a section number of the section in which they are
  503. // defined. Otherwise, section numbers have the following meanings:
  504. //

  505. #define IMAGE_SYM_UNDEFINED           (SHORT)0          // Symbol is undefined or is common.
  506. #define IMAGE_SYM_ABSOLUTE            (SHORT)-1         // Symbol is an absolute value.
  507. #define IMAGE_SYM_DEBUG               (SHORT)-2         // Symbol is a special debug item.
  508. #define IMAGE_SYM_SECTION_MAX         0xFEFF            // Values 0xFF00-0xFFFF are special

  509. //
  510. // Type (fundamental) values.
  511. //

  512. #define IMAGE_SYM_TYPE_NULL                 0x0000  // no type.
  513. #define IMAGE_SYM_TYPE_VOID                 0x0001  //
  514. #define IMAGE_SYM_TYPE_CHAR                 0x0002  // type character.
  515. #define IMAGE_SYM_TYPE_SHORT                0x0003  // type short integer.
  516. #define IMAGE_SYM_TYPE_INT                  0x0004  //
  517. #define IMAGE_SYM_TYPE_LONG                 0x0005  //
  518. #define IMAGE_SYM_TYPE_FLOAT                0x0006  //
  519. #define IMAGE_SYM_TYPE_DOUBLE               0x0007  //
  520. #define IMAGE_SYM_TYPE_STRUCT               0x0008  //
  521. #define IMAGE_SYM_TYPE_UNION                0x0009  //
  522. #define IMAGE_SYM_TYPE_ENUM                 0x000A  // enumeration.
  523. #define IMAGE_SYM_TYPE_MOE                  0x000B  // member of enumeration.
  524. #define IMAGE_SYM_TYPE_UCHAR                0x000C  //
  525. #define IMAGE_SYM_TYPE_USHORT               0x000D  //
  526. #define IMAGE_SYM_TYPE_UINT                 0x000E  //
  527. #define IMAGE_SYM_TYPE_ULONG                0x000F  //
  528. #define IMAGE_SYM_TYPE_PCODE                0x8000  //
  529. //
  530. // Type (derived) values.
  531. //

  532. #define IMAGE_SYM_DTYPE_NULL                0       // no derived type.
  533. #define IMAGE_SYM_DTYPE_POINTER             1       // pointer.
  534. #define IMAGE_SYM_DTYPE_FUNCTION            2       // function.
  535. #define IMAGE_SYM_DTYPE_ARRAY               3       // array.

  536. //
  537. // Storage classes.
  538. //
  539. #define IMAGE_SYM_CLASS_END_OF_FUNCTION     (UCHAR)-1
  540. #define IMAGE_SYM_CLASS_NULL                0x0000
  541. #define IMAGE_SYM_CLASS_AUTOMATIC           0x0001
  542. #define IMAGE_SYM_CLASS_EXTERNAL            0x0002
  543. #define IMAGE_SYM_CLASS_STATIC              0x0003
  544. #define IMAGE_SYM_CLASS_REGISTER            0x0004
  545. #define IMAGE_SYM_CLASS_EXTERNAL_DEF        0x0005
  546. #define IMAGE_SYM_CLASS_LABEL               0x0006
  547. #define IMAGE_SYM_CLASS_UNDEFINED_LABEL     0x0007
  548. #define IMAGE_SYM_CLASS_MEMBER_OF_STRUCT    0x0008
  549. #define IMAGE_SYM_CLASS_ARGUMENT            0x0009
  550. #define IMAGE_SYM_CLASS_STRUCT_TAG          0x000A
  551. #define IMAGE_SYM_CLASS_MEMBER_OF_UNION     0x000B
  552. #define IMAGE_SYM_CLASS_UNION_TAG           0x000C
  553. #define IMAGE_SYM_CLASS_TYPE_DEFINITION     0x000D
  554. #define IMAGE_SYM_CLASS_UNDEFINED_STATIC    0x000E
  555. #define IMAGE_SYM_CLASS_ENUM_TAG            0x000F
  556. #define IMAGE_SYM_CLASS_MEMBER_OF_ENUM      0x0010
  557. #define IMAGE_SYM_CLASS_REGISTER_PARAM      0x0011
  558. #define IMAGE_SYM_CLASS_BIT_FIELD           0x0012

  559. #define IMAGE_SYM_CLASS_FAR_EXTERNAL        0x0044  //

  560. #define IMAGE_SYM_CLASS_BLOCK               0x0064
  561. #define IMAGE_SYM_CLASS_FUNCTION            0x0065
  562. #define IMAGE_SYM_CLASS_END_OF_STRUCT       0x0066
  563. #define IMAGE_SYM_CLASS_FILE                0x0067
  564. // new
  565. #define IMAGE_SYM_CLASS_SECTION             0x0068
  566. #define IMAGE_SYM_CLASS_WEAK_EXTERNAL       0x0069

  567. #define IMAGE_SYM_CLASS_CLR_TOKEN           0x006B

  568. // type packing constants

  569. #define N_BTMASK                            0x000F
  570. #define N_TMASK                             0x0030
  571. #define N_TMASK1                            0x00C0
  572. #define N_TMASK2                            0x00F0
  573. #define N_BTSHFT                            4
  574. #define N_TSHIFT                            2
  575. // MACROS

  576. // Basic Type of  x
  577. #define BTYPE(x) ((x) & N_BTMASK)

  578. // Is x a pointer?
  579. #ifndef ISPTR
  580. #define ISPTR(x) (((x) & N_TMASK) == (IMAGE_SYM_DTYPE_POINTER << N_BTSHFT))
  581. #endif

  582. // Is x a function?
  583. #ifndef ISFCN
  584. #define ISFCN(x) (((x) & N_TMASK) == (IMAGE_SYM_DTYPE_FUNCTION << N_BTSHFT))
  585. #endif

  586. // Is x an array?

  587. #ifndef ISARY
  588. #define ISARY(x) (((x) & N_TMASK) == (IMAGE_SYM_DTYPE_ARRAY << N_BTSHFT))
  589. #endif

  590. // Is x a structure, union, or enumeration TAG?
  591. #ifndef ISTAG
  592. #define ISTAG(x) ((x)==IMAGE_SYM_CLASS_STRUCT_TAG || (x)==IMAGE_SYM_CLASS_UNION_TAG || (x)==IMAGE_SYM_CLASS_ENUM_TAG)
  593. #endif

  594. #ifndef INCREF
  595. #define INCREF(x) ((((x)&~N_BTMASK)<<N_TSHIFT)|(IMAGE_SYM_DTYPE_POINTER<<N_BTSHFT)|((x)&N_BTMASK))
  596. #endif
  597. #ifndef DECREF
  598. #define DECREF(x) ((((x)>>N_TSHIFT)&~N_BTMASK)|((x)&N_BTMASK))
  599. #endif

  600. //
  601. // Auxiliary entry format.
  602. //

  603. typedef union _IMAGE_AUX_SYMBOL {
  604.     struct {
  605.         ULONG    TagIndex;                      // struct, union, or enum tag index
  606.         union {
  607.             struct {
  608.                 USHORT  Linenumber;             // declaration line number
  609.                 USHORT  Size;                   // size of struct, union, or enum
  610.             } LnSz;
  611.            ULONG    TotalSize;
  612.         } Misc;
  613.         union {
  614.             struct {                            // if ISFCN, tag, or .bb
  615.                 ULONG    PointerToLinenumber;
  616.                 ULONG    PointerToNextFunction;
  617.             } Function;
  618.             struct {                            // if ISARY, up to 4 dimen.
  619.                 USHORT   Dimension[4];
  620.             } Array;
  621.         } FcnAry;
  622.         USHORT  TvIndex;                        // tv index
  623.     } Sym;
  624.     struct {
  625.         UCHAR   Name[IMAGE_SIZEOF_SYMBOL];
  626.     } File;
  627.     struct {
  628.         ULONG   Length;                         // section length
  629.         USHORT  NumberOfRelocations;            // number of relocation entries
  630.         USHORT  NumberOfLinenumbers;            // number of line numbers
  631.         ULONG   CheckSum;                       // checksum for communal
  632.         SHORT   Number;                         // section number to associate with
  633.         UCHAR   Selection;                      // communal selection type
  634.     } Section;
  635. } IMAGE_AUX_SYMBOL;
  636. typedef IMAGE_AUX_SYMBOL UNALIGNED *PIMAGE_AUX_SYMBOL;

  637. #define IMAGE_SIZEOF_AUX_SYMBOL             18

  638. typedef enum IMAGE_AUX_SYMBOL_TYPE {
  639.     IMAGE_AUX_SYMBOL_TYPE_TOKEN_DEF = 1,
  640. } IMAGE_AUX_SYMBOL_TYPE;

  641. #include <pshpack2.h>

  642. typedef struct IMAGE_AUX_SYMBOL_TOKEN_DEF {
  643.     UCHAR bAuxType;                  // IMAGE_AUX_SYMBOL_TYPE
  644.     UCHAR bReserved;                 // Must be 0
  645.     ULONG SymbolTableIndex;
  646.     UCHAR rgbReserved[12];           // Must be 0
  647. } IMAGE_AUX_SYMBOL_TOKEN_DEF;

  648. typedef IMAGE_AUX_SYMBOL_TOKEN_DEF UNALIGNED *PIMAGE_AUX_SYMBOL_TOKEN_DEF;

  649. #include <poppack.h>

  650. //
  651. // Communal selection types.
  652. //

  653. #define IMAGE_COMDAT_SELECT_NODUPLICATES    1
  654. #define IMAGE_COMDAT_SELECT_ANY             2
  655. #define IMAGE_COMDAT_SELECT_SAME_SIZE       3
  656. #define IMAGE_COMDAT_SELECT_EXACT_MATCH     4
  657. #define IMAGE_COMDAT_SELECT_ASSOCIATIVE     5
  658. #define IMAGE_COMDAT_SELECT_LARGEST         6
  659. #define IMAGE_COMDAT_SELECT_NEWEST          7

  660. #define IMAGE_WEAK_EXTERN_SEARCH_NOLIBRARY  1
  661. #define IMAGE_WEAK_EXTERN_SEARCH_LIBRARY    2
  662. #define IMAGE_WEAK_EXTERN_SEARCH_ALIAS      3

  663. //
  664. // Relocation format.
  665. //

  666. typedef struct _IMAGE_RELOCATION {
  667.     union {
  668.         ULONG   VirtualAddress;
  669.         ULONG   RelocCount;             // Set to the real count when IMAGE_SCN_LNK_NRELOC_OVFL is set
  670.     };
  671.     ULONG   SymbolTableIndex;
  672.     USHORT  Type;
  673. } IMAGE_RELOCATION;
  674. typedef IMAGE_RELOCATION UNALIGNED *PIMAGE_RELOCATION;

  675. #define IMAGE_SIZEOF_RELOCATION         10

  676. //
  677. // I386 relocation types.
  678. //
  679. #define IMAGE_REL_I386_ABSOLUTE         0x0000  // Reference is absolute, no relocation is necessary
  680. #define IMAGE_REL_I386_DIR16            0x0001  // Direct 16-bit reference to the symbols virtual address
  681. #define IMAGE_REL_I386_REL16            0x0002  // PC-relative 16-bit reference to the symbols virtual address
  682. #define IMAGE_REL_I386_DIR32            0x0006  // Direct 32-bit reference to the symbols virtual address
  683. #define IMAGE_REL_I386_DIR32NB          0x0007  // Direct 32-bit reference to the symbols virtual address, base not included
  684. #define IMAGE_REL_I386_SEG12            0x0009  // Direct 16-bit reference to the segment-selector bits of a 32-bit virtual address
  685. #define IMAGE_REL_I386_SECTION          0x000A
  686. #define IMAGE_REL_I386_SECREL           0x000B
  687. #define IMAGE_REL_I386_TOKEN            0x000C  // clr token
  688. #define IMAGE_REL_I386_SECREL7          0x000D  // 7 bit offset from base of section containing target
  689. #define IMAGE_REL_I386_REL32            0x0014  // PC-relative 32-bit reference to the symbols virtual address

  690. //
  691. // MIPS relocation types.
  692. //
  693. #define IMAGE_REL_MIPS_ABSOLUTE         0x0000  // Reference is absolute, no relocation is necessary
  694. #define IMAGE_REL_MIPS_REFHALF          0x0001
  695. #define IMAGE_REL_MIPS_REFWORD          0x0002
  696. #define IMAGE_REL_MIPS_JMPADDR          0x0003
  697. #define IMAGE_REL_MIPS_REFHI            0x0004
  698. #define IMAGE_REL_MIPS_REFLO            0x0005
  699. #define IMAGE_REL_MIPS_GPREL            0x0006
  700. #define IMAGE_REL_MIPS_LITERAL          0x0007
  701. #define IMAGE_REL_MIPS_SECTION          0x000A
  702. #define IMAGE_REL_MIPS_SECREL           0x000B
  703. #define IMAGE_REL_MIPS_SECRELLO         0x000C  // Low 16-bit section relative reference (used for >32k TLS)
  704. #define IMAGE_REL_MIPS_SECRELHI         0x000D  // High 16-bit section relative reference (used for >32k TLS)
  705. #define IMAGE_REL_MIPS_TOKEN            0x000E  // clr token
  706. #define IMAGE_REL_MIPS_JMPADDR16        0x0010
  707. #define IMAGE_REL_MIPS_REFWORDNB        0x0022
  708. #define IMAGE_REL_MIPS_PAIR             0x0025

  709. //
  710. // Alpha Relocation types.
  711. //
  712. #define IMAGE_REL_ALPHA_ABSOLUTE        0x0000
  713. #define IMAGE_REL_ALPHA_REFLONG         0x0001
  714. #define IMAGE_REL_ALPHA_REFQUAD         0x0002
  715. #define IMAGE_REL_ALPHA_GPREL32         0x0003
  716. #define IMAGE_REL_ALPHA_LITERAL         0x0004
  717. #define IMAGE_REL_ALPHA_LITUSE          0x0005
  718. #define IMAGE_REL_ALPHA_GPDISP          0x0006
  719. #define IMAGE_REL_ALPHA_BRADDR          0x0007
  720. #define IMAGE_REL_ALPHA_HINT            0x0008
  721. #define IMAGE_REL_ALPHA_INLINE_REFLONG  0x0009
  722. #define IMAGE_REL_ALPHA_REFHI           0x000A
  723. #define IMAGE_REL_ALPHA_REFLO           0x000B
  724. #define IMAGE_REL_ALPHA_PAIR            0x000C
  725. #define IMAGE_REL_ALPHA_MATCH           0x000D
  726. #define IMAGE_REL_ALPHA_SECTION         0x000E
  727. #define IMAGE_REL_ALPHA_SECREL          0x000F
  728. #define IMAGE_REL_ALPHA_REFLONGNB       0x0010
  729. #define IMAGE_REL_ALPHA_SECRELLO        0x0011  // Low 16-bit section relative reference
  730. #define IMAGE_REL_ALPHA_SECRELHI        0x0012  // High 16-bit section relative reference
  731. #define IMAGE_REL_ALPHA_REFQ3           0x0013  // High 16 bits of 48 bit reference
  732. #define IMAGE_REL_ALPHA_REFQ2           0x0014  // Middle 16 bits of 48 bit reference
  733. #define IMAGE_REL_ALPHA_REFQ1           0x0015  // Low 16 bits of 48 bit reference
  734. #define IMAGE_REL_ALPHA_GPRELLO         0x0016  // Low 16-bit GP relative reference
  735. #define IMAGE_REL_ALPHA_GPRELHI         0x0017  // High 16-bit GP relative reference

  736. //
  737. // IBM PowerPC relocation types.
  738. //
  739. #define IMAGE_REL_PPC_ABSOLUTE          0x0000  // NOP
  740. #define IMAGE_REL_PPC_ADDR64            0x0001  // 64-bit address
  741. #define IMAGE_REL_PPC_ADDR32            0x0002  // 32-bit address
  742. #define IMAGE_REL_PPC_ADDR24            0x0003  // 26-bit address, shifted left 2 (branch absolute)
  743. #define IMAGE_REL_PPC_ADDR16            0x0004  // 16-bit address
  744. #define IMAGE_REL_PPC_ADDR14            0x0005  // 16-bit address, shifted left 2 (load doubleword)
  745. #define IMAGE_REL_PPC_REL24             0x0006  // 26-bit PC-relative offset, shifted left 2 (branch relative)
  746. #define IMAGE_REL_PPC_REL14             0x0007  // 16-bit PC-relative offset, shifted left 2 (br cond relative)
  747. #define IMAGE_REL_PPC_TOCREL16          0x0008  // 16-bit offset from TOC base
  748. #define IMAGE_REL_PPC_TOCREL14          0x0009  // 16-bit offset from TOC base, shifted left 2 (load doubleword)

  749. #define IMAGE_REL_PPC_ADDR32NB          0x000A  // 32-bit addr w/o image base
  750. #define IMAGE_REL_PPC_SECREL            0x000B  // va of containing section (as in an image sectionhdr)
  751. #define IMAGE_REL_PPC_SECTION           0x000C  // sectionheader number
  752. #define IMAGE_REL_PPC_IFGLUE            0x000D  // substitute TOC restore instruction iff symbol is glue code
  753. #define IMAGE_REL_PPC_IMGLUE            0x000E  // symbol is glue code; virtual address is TOC restore instruction
  754. #define IMAGE_REL_PPC_SECREL16          0x000F  // va of containing section (limited to 16 bits)
  755. #define IMAGE_REL_PPC_REFHI             0x0010
  756. #define IMAGE_REL_PPC_REFLO             0x0011
  757. #define IMAGE_REL_PPC_PAIR              0x0012
  758. #define IMAGE_REL_PPC_SECRELLO          0x0013  // Low 16-bit section relative reference (used for >32k TLS)
  759. #define IMAGE_REL_PPC_SECRELHI          0x0014  // High 16-bit section relative reference (used for >32k TLS)
  760. #define IMAGE_REL_PPC_GPREL             0x0015
  761. #define IMAGE_REL_PPC_TOKEN             0x0016  // clr token

  762. #define IMAGE_REL_PPC_TYPEMASK          0x00FF  // mask to isolate above values in IMAGE_RELOCATION.Type

  763. // Flag bits in IMAGE_RELOCATION.TYPE

  764. #define IMAGE_REL_PPC_NEG               0x0100  // subtract reloc value rather than adding it
  765. #define IMAGE_REL_PPC_BRTAKEN           0x0200  // fix branch prediction bit to predict branch taken
  766. #define IMAGE_REL_PPC_BRNTAKEN          0x0400  // fix branch prediction bit to predict branch not taken
  767. #define IMAGE_REL_PPC_TOCDEFN           0x0800  // toc slot defined in file (or, data in toc)

  768. //
  769. // Hitachi SH3 relocation types.
  770. //
  771. #define IMAGE_REL_SH3_ABSOLUTE          0x0000  // No relocation
  772. #define IMAGE_REL_SH3_DIRECT16          0x0001  // 16 bit direct
  773. #define IMAGE_REL_SH3_DIRECT32          0x0002  // 32 bit direct
  774. #define IMAGE_REL_SH3_DIRECT8           0x0003  // 8 bit direct, -128..255
  775. #define IMAGE_REL_SH3_DIRECT8_WORD      0x0004  // 8 bit direct .W (0 ext.)
  776. #define IMAGE_REL_SH3_DIRECT8_LONG      0x0005  // 8 bit direct .L (0 ext.)
  777. #define IMAGE_REL_SH3_DIRECT4           0x0006  // 4 bit direct (0 ext.)
  778. #define IMAGE_REL_SH3_DIRECT4_WORD      0x0007  // 4 bit direct .W (0 ext.)
  779. #define IMAGE_REL_SH3_DIRECT4_LONG      0x0008  // 4 bit direct .L (0 ext.)
  780. #define IMAGE_REL_SH3_PCREL8_WORD       0x0009  // 8 bit PC relative .W
  781. #define IMAGE_REL_SH3_PCREL8_LONG       0x000A  // 8 bit PC relative .L
  782. #define IMAGE_REL_SH3_PCREL12_WORD      0x000B  // 12 LSB PC relative .W
  783. #define IMAGE_REL_SH3_STARTOF_SECTION   0x000C  // Start of EXE section
  784. #define IMAGE_REL_SH3_SIZEOF_SECTION    0x000D  // Size of EXE section
  785. #define IMAGE_REL_SH3_SECTION           0x000E  // Section table index
  786. #define IMAGE_REL_SH3_SECREL            0x000F  // Offset within section
  787. #define IMAGE_REL_SH3_DIRECT32_NB       0x0010  // 32 bit direct not based
  788. #define IMAGE_REL_SH3_GPREL4_LONG       0x0011  // GP-relative addressing
  789. #define IMAGE_REL_SH3_TOKEN             0x0012  // clr token

  790. #define IMAGE_REL_ARM_ABSOLUTE          0x0000  // No relocation required
  791. #define IMAGE_REL_ARM_ADDR32            0x0001  // 32 bit address
  792. #define IMAGE_REL_ARM_ADDR32NB          0x0002  // 32 bit address w/o image base
  793. #define IMAGE_REL_ARM_BRANCH24          0x0003  // 24 bit offset << 2 & sign ext.
  794. #define IMAGE_REL_ARM_BRANCH11          0x0004  // Thumb: 2 11 bit offsets
  795. #define IMAGE_REL_ARM_TOKEN             0x0005  // clr token
  796. #define IMAGE_REL_ARM_GPREL12           0x0006  // GP-relative addressing (ARM)
  797. #define IMAGE_REL_ARM_GPREL7            0x0007  // GP-relative addressing (Thumb)
  798. #define IMAGE_REL_ARM_BLX24             0x0008
  799. #define IMAGE_REL_ARM_BLX11             0x0009
  800. #define IMAGE_REL_ARM_SECTION           0x000E  // Section table index
  801. #define IMAGE_REL_ARM_SECREL            0x000F  // Offset within section

  802. #define IMAGE_REL_AM_ABSOLUTE           0x0000
  803. #define IMAGE_REL_AM_ADDR32             0x0001
  804. #define IMAGE_REL_AM_ADDR32NB           0x0002
  805. #define IMAGE_REL_AM_CALL32             0x0003
  806. #define IMAGE_REL_AM_FUNCINFO           0x0004
  807. #define IMAGE_REL_AM_REL32_1            0x0005
  808. #define IMAGE_REL_AM_REL32_2            0x0006
  809. #define IMAGE_REL_AM_SECREL             0x0007
  810. #define IMAGE_REL_AM_SECTION            0x0008
  811. #define IMAGE_REL_AM_TOKEN              0x0009

  812. //
  813. // x64 relocations
  814. //
  815. #define IMAGE_REL_AMD64_ABSOLUTE        0x0000  // Reference is absolute, no relocation is necessary
  816. #define IMAGE_REL_AMD64_ADDR64          0x0001  // 64-bit address (VA).
  817. #define IMAGE_REL_AMD64_ADDR32          0x0002  // 32-bit address (VA).
  818. #define IMAGE_REL_AMD64_ADDR32NB        0x0003  // 32-bit address w/o image base (RVA).
  819. #define IMAGE_REL_AMD64_REL32           0x0004  // 32-bit relative address from byte following reloc
  820. #define IMAGE_REL_AMD64_REL32_1         0x0005  // 32-bit relative address from byte distance 1 from reloc
  821. #define IMAGE_REL_AMD64_REL32_2         0x0006  // 32-bit relative address from byte distance 2 from reloc
  822. #define IMAGE_REL_AMD64_REL32_3         0x0007  // 32-bit relative address from byte distance 3 from reloc
  823. #define IMAGE_REL_AMD64_REL32_4         0x0008  // 32-bit relative address from byte distance 4 from reloc
  824. #define IMAGE_REL_AMD64_REL32_5         0x0009  // 32-bit relative address from byte distance 5 from reloc
  825. #define IMAGE_REL_AMD64_SECTION         0x000A  // Section index
  826. #define IMAGE_REL_AMD64_SECREL          0x000B  // 32 bit offset from base of section containing target
  827. #define IMAGE_REL_AMD64_SECREL7         0x000C  // 7 bit unsigned offset from base of section containing target
  828. #define IMAGE_REL_AMD64_TOKEN           0x000D  // 32 bit metadata token
  829. #define IMAGE_REL_AMD64_SREL32          0x000E  // 32 bit signed span-dependent value emitted into object
  830. #define IMAGE_REL_AMD64_PAIR            0x000F
  831. #define IMAGE_REL_AMD64_SSPAN32         0x0010  // 32 bit signed span-dependent value applied at link time

  832. //
  833. // IA64 relocation types.
  834. //
  835. #define IMAGE_REL_IA64_ABSOLUTE         0x0000
  836. #define IMAGE_REL_IA64_IMM14            0x0001
  837. #define IMAGE_REL_IA64_IMM22            0x0002
  838. #define IMAGE_REL_IA64_IMM64            0x0003
  839. #define IMAGE_REL_IA64_DIR32            0x0004
  840. #define IMAGE_REL_IA64_DIR64            0x0005
  841. #define IMAGE_REL_IA64_PCREL21B         0x0006
  842. #define IMAGE_REL_IA64_PCREL21M         0x0007
  843. #define IMAGE_REL_IA64_PCREL21F         0x0008
  844. #define IMAGE_REL_IA64_GPREL22          0x0009
  845. #define IMAGE_REL_IA64_LTOFF22          0x000A
  846. #define IMAGE_REL_IA64_SECTION          0x000B
  847. #define IMAGE_REL_IA64_SECREL22         0x000C
  848. #define IMAGE_REL_IA64_SECREL64I        0x000D
  849. #define IMAGE_REL_IA64_SECREL32         0x000E
  850. //
  851. #define IMAGE_REL_IA64_DIR32NB          0x0010
  852. #define IMAGE_REL_IA64_SREL14           0x0011
  853. #define IMAGE_REL_IA64_SREL22           0x0012
  854. #define IMAGE_REL_IA64_SREL32           0x0013
  855. #define IMAGE_REL_IA64_UREL32           0x0014
  856. #define IMAGE_REL_IA64_PCREL60X         0x0015  // This is always a BRL and never converted
  857. #define IMAGE_REL_IA64_PCREL60B         0x0016  // If possible, convert to MBB bundle with NOP.B in slot 1
  858. #define IMAGE_REL_IA64_PCREL60F         0x0017  // If possible, convert to MFB bundle with NOP.F in slot 1
  859. #define IMAGE_REL_IA64_PCREL60I         0x0018  // If possible, convert to MIB bundle with NOP.I in slot 1
  860. #define IMAGE_REL_IA64_PCREL60M         0x0019  // If possible, convert to MMB bundle with NOP.M in slot 1
  861. #define IMAGE_REL_IA64_IMMGPREL64       0x001A
  862. #define IMAGE_REL_IA64_TOKEN            0x001B  // clr token
  863. #define IMAGE_REL_IA64_GPREL32          0x001C
  864. #define IMAGE_REL_IA64_ADDEND           0x001F

  865. //
  866. // CEF relocation types.
  867. //
  868. #define IMAGE_REL_CEF_ABSOLUTE          0x0000  // Reference is absolute, no relocation is necessary
  869. #define IMAGE_REL_CEF_ADDR32            0x0001  // 32-bit address (VA).
  870. #define IMAGE_REL_CEF_ADDR64            0x0002  // 64-bit address (VA).
  871. #define IMAGE_REL_CEF_ADDR32NB          0x0003  // 32-bit address w/o image base (RVA).
  872. #define IMAGE_REL_CEF_SECTION           0x0004  // Section index
  873. #define IMAGE_REL_CEF_SECREL            0x0005  // 32 bit offset from base of section containing target
  874. #define IMAGE_REL_CEF_TOKEN             0x0006  // 32 bit metadata token

  875. //
  876. // clr relocation types.
  877. //
  878. #define IMAGE_REL_CEE_ABSOLUTE          0x0000  // Reference is absolute, no relocation is necessary
  879. #define IMAGE_REL_CEE_ADDR32            0x0001  // 32-bit address (VA).
  880. #define IMAGE_REL_CEE_ADDR64            0x0002  // 64-bit address (VA).
  881. #define IMAGE_REL_CEE_ADDR32NB          0x0003  // 32-bit address w/o image base (RVA).
  882. #define IMAGE_REL_CEE_SECTION           0x0004  // Section index
  883. #define IMAGE_REL_CEE_SECREL            0x0005  // 32 bit offset from base of section containing target
  884. #define IMAGE_REL_CEE_TOKEN             0x0006  // 32 bit metadata token


  885. #define IMAGE_REL_M32R_ABSOLUTE       0x0000   // No relocation required
  886. #define IMAGE_REL_M32R_ADDR32         0x0001   // 32 bit address
  887. #define IMAGE_REL_M32R_ADDR32NB       0x0002   // 32 bit address w/o image base
  888. #define IMAGE_REL_M32R_ADDR24         0x0003   // 24 bit address
  889. #define IMAGE_REL_M32R_GPREL16        0x0004   // GP relative addressing
  890. #define IMAGE_REL_M32R_PCREL24        0x0005   // 24 bit offset << 2 & sign ext.
  891. #define IMAGE_REL_M32R_PCREL16        0x0006   // 16 bit offset << 2 & sign ext.
  892. #define IMAGE_REL_M32R_PCREL8         0x0007   // 8 bit offset << 2 & sign ext.
  893. #define IMAGE_REL_M32R_REFHALF        0x0008   // 16 MSBs
  894. #define IMAGE_REL_M32R_REFHI          0x0009   // 16 MSBs; adj for LSB sign ext.
  895. #define IMAGE_REL_M32R_REFLO          0x000A   // 16 LSBs
  896. #define IMAGE_REL_M32R_PAIR           0x000B   // Link HI and LO
  897. #define IMAGE_REL_M32R_SECTION        0x000C   // Section table index
  898. #define IMAGE_REL_M32R_SECREL32       0x000D   // 32 bit section relative reference
  899. #define IMAGE_REL_M32R_TOKEN          0x000E   // clr token


  900. #define EXT_IMM64(Value, Address, Size, InstPos, ValPos)  /* Intel-IA64-Filler */           \
  901.     Value |= (((ULONGLONG)((*(Address) >> InstPos) & (((ULONGLONG)1 << Size) - 1))) << ValPos)  // Intel-IA64-Filler

  902. #define INS_IMM64(Value, Address, Size, InstPos, ValPos)  /* Intel-IA64-Filler */\
  903.     *(PULONG)Address = (*(PULONG)Address & ~(((1 << Size) - 1) << InstPos)) | /* Intel-IA64-Filler */\
  904.           ((ULONG)((((ULONGLONG)Value >> ValPos) & (((ULONGLONG)1 << Size) - 1))) << InstPos)  // Intel-IA64-Filler

  905. #define EMARCH_ENC_I17_IMM7B_INST_WORD_X         3  // Intel-IA64-Filler
  906. #define EMARCH_ENC_I17_IMM7B_SIZE_X              7  // Intel-IA64-Filler
  907. #define EMARCH_ENC_I17_IMM7B_INST_WORD_POS_X     4  // Intel-IA64-Filler
  908. #define EMARCH_ENC_I17_IMM7B_VAL_POS_X           0  // Intel-IA64-Filler

  909. #define EMARCH_ENC_I17_IMM9D_INST_WORD_X         3  // Intel-IA64-Filler
  910. #define EMARCH_ENC_I17_IMM9D_SIZE_X              9  // Intel-IA64-Filler
  911. #define EMARCH_ENC_I17_IMM9D_INST_WORD_POS_X     18 // Intel-IA64-Filler
  912. #define EMARCH_ENC_I17_IMM9D_VAL_POS_X           7  // Intel-IA64-Filler

  913. #define EMARCH_ENC_I17_IMM5C_INST_WORD_X         3  // Intel-IA64-Filler
  914. #define EMARCH_ENC_I17_IMM5C_SIZE_X              5  // Intel-IA64-Filler
  915. #define EMARCH_ENC_I17_IMM5C_INST_WORD_POS_X     13 // Intel-IA64-Filler
  916. #define EMARCH_ENC_I17_IMM5C_VAL_POS_X           16 // Intel-IA64-Filler

  917. #define EMARCH_ENC_I17_IC_INST_WORD_X            3  // Intel-IA64-Filler
  918. #define EMARCH_ENC_I17_IC_SIZE_X                 1  // Intel-IA64-Filler
  919. #define EMARCH_ENC_I17_IC_INST_WORD_POS_X        12 // Intel-IA64-Filler
  920. #define EMARCH_ENC_I17_IC_VAL_POS_X              21 // Intel-IA64-Filler

  921. #define EMARCH_ENC_I17_IMM41a_INST_WORD_X        1  // Intel-IA64-Filler
  922. #define EMARCH_ENC_I17_IMM41a_SIZE_X             10 // Intel-IA64-Filler
  923. #define EMARCH_ENC_I17_IMM41a_INST_WORD_POS_X    14 // Intel-IA64-Filler
  924. #define EMARCH_ENC_I17_IMM41a_VAL_POS_X          22 // Intel-IA64-Filler

  925. #define EMARCH_ENC_I17_IMM41b_INST_WORD_X        1  // Intel-IA64-Filler
  926. #define EMARCH_ENC_I17_IMM41b_SIZE_X             8  // Intel-IA64-Filler
  927. #define EMARCH_ENC_I17_IMM41b_INST_WORD_POS_X    24 // Intel-IA64-Filler
  928. #define EMARCH_ENC_I17_IMM41b_VAL_POS_X          32 // Intel-IA64-Filler

  929. #define EMARCH_ENC_I17_IMM41c_INST_WORD_X        2  // Intel-IA64-Filler
  930. #define EMARCH_ENC_I17_IMM41c_SIZE_X             23 // Intel-IA64-Filler
  931. #define EMARCH_ENC_I17_IMM41c_INST_WORD_POS_X    0  // Intel-IA64-Filler
  932. #define EMARCH_ENC_I17_IMM41c_VAL_POS_X          40 // Intel-IA64-Filler

  933. #define EMARCH_ENC_I17_SIGN_INST_WORD_X          3  // Intel-IA64-Filler
  934. #define EMARCH_ENC_I17_SIGN_SIZE_X               1  // Intel-IA64-Filler
  935. #define EMARCH_ENC_I17_SIGN_INST_WORD_POS_X      27 // Intel-IA64-Filler
  936. #define EMARCH_ENC_I17_SIGN_VAL_POS_X            63 // Intel-IA64-Filler

  937. #define X3_OPCODE_INST_WORD_X                    3  // Intel-IA64-Filler
  938. #define X3_OPCODE_SIZE_X                         4  // Intel-IA64-Filler
  939. #define X3_OPCODE_INST_WORD_POS_X                28 // Intel-IA64-Filler
  940. #define X3_OPCODE_SIGN_VAL_POS_X                 0  // Intel-IA64-Filler

  941. #define X3_I_INST_WORD_X                         3  // Intel-IA64-Filler
  942. #define X3_I_SIZE_X                              1  // Intel-IA64-Filler
  943. #define X3_I_INST_WORD_POS_X                     27 // Intel-IA64-Filler
  944. #define X3_I_SIGN_VAL_POS_X                      59 // Intel-IA64-Filler

  945. #define X3_D_WH_INST_WORD_X                      3  // Intel-IA64-Filler
  946. #define X3_D_WH_SIZE_X                           3  // Intel-IA64-Filler
  947. #define X3_D_WH_INST_WORD_POS_X                  24 // Intel-IA64-Filler
  948. #define X3_D_WH_SIGN_VAL_POS_X                   0  // Intel-IA64-Filler

  949. #define X3_IMM20_INST_WORD_X                     3  // Intel-IA64-Filler
  950. #define X3_IMM20_SIZE_X                          20 // Intel-IA64-Filler
  951. #define X3_IMM20_INST_WORD_POS_X                 4  // Intel-IA64-Filler
  952. #define X3_IMM20_SIGN_VAL_POS_X                  0  // Intel-IA64-Filler

  953. #define X3_IMM39_1_INST_WORD_X                   2  // Intel-IA64-Filler
  954. #define X3_IMM39_1_SIZE_X                        23 // Intel-IA64-Filler
  955. #define X3_IMM39_1_INST_WORD_POS_X               0  // Intel-IA64-Filler
  956. #define X3_IMM39_1_SIGN_VAL_POS_X                36 // Intel-IA64-Filler

  957. #define X3_IMM39_2_INST_WORD_X                   1  // Intel-IA64-Filler
  958. #define X3_IMM39_2_SIZE_X                        16 // Intel-IA64-Filler
  959. #define X3_IMM39_2_INST_WORD_POS_X               16 // Intel-IA64-Filler
  960. #define X3_IMM39_2_SIGN_VAL_POS_X                20 // Intel-IA64-Filler

  961. #define X3_P_INST_WORD_X                         3  // Intel-IA64-Filler
  962. #define X3_P_SIZE_X                              4  // Intel-IA64-Filler
  963. #define X3_P_INST_WORD_POS_X                     0  // Intel-IA64-Filler
  964. #define X3_P_SIGN_VAL_POS_X                      0  // Intel-IA64-Filler

  965. #define X3_TMPLT_INST_WORD_X                     0  // Intel-IA64-Filler
  966. #define X3_TMPLT_SIZE_X                          4  // Intel-IA64-Filler
  967. #define X3_TMPLT_INST_WORD_POS_X                 0  // Intel-IA64-Filler
  968. #define X3_TMPLT_SIGN_VAL_POS_X                  0  // Intel-IA64-Filler

  969. #define X3_BTYPE_QP_INST_WORD_X                  2  // Intel-IA64-Filler
  970. #define X3_BTYPE_QP_SIZE_X                       9  // Intel-IA64-Filler
  971. #define X3_BTYPE_QP_INST_WORD_POS_X              23 // Intel-IA64-Filler
  972. #define X3_BTYPE_QP_INST_VAL_POS_X               0  // Intel-IA64-Filler

  973. #define X3_EMPTY_INST_WORD_X                     1  // Intel-IA64-Filler
  974. #define X3_EMPTY_SIZE_X                          2  // Intel-IA64-Filler
  975. #define X3_EMPTY_INST_WORD_POS_X                 14 // Intel-IA64-Filler
  976. #define X3_EMPTY_INST_VAL_POS_X                  0  // Intel-IA64-Filler

  977. //
  978. // Line number format.
  979. //

  980. typedef struct _IMAGE_LINENUMBER {
  981.     union {
  982.         ULONG   SymbolTableIndex;               // Symbol table index of function name if Linenumber is 0.
  983.         ULONG   VirtualAddress;                 // Virtual address of line number.
  984.     } Type;
  985.     USHORT  Linenumber;                         // Line number.
  986. } IMAGE_LINENUMBER;
  987. typedef IMAGE_LINENUMBER UNALIGNED *PIMAGE_LINENUMBER;

  988. #define IMAGE_SIZEOF_LINENUMBER              6

  989. #include "poppack.h"                        // Back to 4 byte packing

  990. //
  991. // Based relocation format.
  992. //

  993. typedef struct _IMAGE_BASE_RELOCATION {
  994.     ULONG   VirtualAddress;
  995.     ULONG   SizeOfBlock;
  996.         USHORT  TypeOffset[1];
  997. } IMAGE_BASE_RELOCATION;
  998. typedef IMAGE_BASE_RELOCATION UNALIGNED * PIMAGE_BASE_RELOCATION;

  999. #define IMAGE_SIZEOF_BASE_RELOCATION         8

  1000. //
  1001. // Based relocation types.
  1002. //

  1003. #define IMAGE_REL_BASED_ABSOLUTE              0
  1004. #define IMAGE_REL_BASED_HIGH                  1
  1005. #define IMAGE_REL_BASED_LOW                   2
  1006. #define IMAGE_REL_BASED_HIGHLOW               3
  1007. #define IMAGE_REL_BASED_HIGHADJ               4
  1008. #define IMAGE_REL_BASED_MIPS_JMPADDR          5
  1009. // end_winnt
  1010. #define IMAGE_REL_BASED_SECTION               6
  1011. #define IMAGE_REL_BASED_REL32                 7
  1012. //      IMAGE_REL_BASED_VXD_RELATIVE          8
  1013. // begin_winnt
  1014. #define IMAGE_REL_BASED_MIPS_JMPADDR16        9
  1015. #define IMAGE_REL_BASED_IA64_IMM64            9
  1016. #define IMAGE_REL_BASED_DIR64                 10


  1017. //
  1018. // Archive format.
  1019. //

  1020. #define IMAGE_ARCHIVE_START_SIZE             8
  1021. #define IMAGE_ARCHIVE_START                  "!<arch>\n"
  1022. #define IMAGE_ARCHIVE_END                    "`\n"
  1023. #define IMAGE_ARCHIVE_PAD                    "\n"
  1024. #define IMAGE_ARCHIVE_LINKER_MEMBER          "/               "
  1025. #define IMAGE_ARCHIVE_LONGNAMES_MEMBER       "//              "

  1026. typedef struct _IMAGE_ARCHIVE_MEMBER_HEADER {
  1027.     UCHAR    Name[16];                          // File member name - `/' terminated.
  1028.     UCHAR    Date[12];                          // File member date - decimal.
  1029.     UCHAR    UserID[6];                         // File member user id - decimal.
  1030.     UCHAR    GroupID[6];                        // File member group id - decimal.
  1031.     UCHAR    Mode[8];                           // File member mode - octal.
  1032.     UCHAR    Size[10];                          // File member size - decimal.
  1033.     UCHAR    EndHeader[2];                      // String to end header.
  1034. } IMAGE_ARCHIVE_MEMBER_HEADER, *PIMAGE_ARCHIVE_MEMBER_HEADER;

  1035. #define IMAGE_SIZEOF_ARCHIVE_MEMBER_HDR      60

  1036. //
  1037. // DLL support.
  1038. //

  1039. //
  1040. // Export Format
  1041. //

  1042. typedef struct _IMAGE_EXPORT_DIRECTORY {
  1043.     ULONG   Characteristics;
  1044.     ULONG   TimeDateStamp;
  1045.     USHORT  MajorVersion;
  1046.     USHORT  MinorVersion;
  1047.     ULONG   Name;
  1048.     ULONG   Base;
  1049.     ULONG   NumberOfFunctions;
  1050.     ULONG   NumberOfNames;
  1051.     ULONG   AddressOfFunctions;     // RVA from base of image
  1052.     ULONG   AddressOfNames;         // RVA from base of image
  1053.     ULONG   AddressOfNameOrdinals;  // RVA from base of image
  1054. } IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;

  1055. //
  1056. // Import Format
  1057. //

  1058. typedef struct _IMAGE_IMPORT_BY_NAME {
  1059.     USHORT  Hint;
  1060.     UCHAR   Name[1];
  1061. } IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;

  1062. #include "pshpack8.h"                       // Use align 8 for the 64-bit IAT.

  1063. typedef struct _IMAGE_THUNK_DATA64 {
  1064.     union {
  1065.         ULONGLONG ForwarderString;  // PUCHAR
  1066.         ULONGLONG Function;         // PULONG
  1067.         ULONGLONG Ordinal;
  1068.         ULONGLONG AddressOfData;    // PIMAGE_IMPORT_BY_NAME
  1069.     } u1;
  1070. } IMAGE_THUNK_DATA64;
  1071. typedef IMAGE_THUNK_DATA64 * PIMAGE_THUNK_DATA64;

  1072. #include "poppack.h"                        // Back to 4 byte packing

  1073. typedef struct _IMAGE_THUNK_DATA32 {
  1074.     union {
  1075.         ULONG ForwarderString;      // PUCHAR
  1076.         ULONG Function;             // PULONG
  1077.         ULONG Ordinal;
  1078.         ULONG AddressOfData;        // PIMAGE_IMPORT_BY_NAME
  1079.     } u1;
  1080. } IMAGE_THUNK_DATA32;
  1081. typedef IMAGE_THUNK_DATA32 * PIMAGE_THUNK_DATA32;

  1082. #define IMAGE_ORDINAL_FLAG64 0x8000000000000000
  1083. #define IMAGE_ORDINAL_FLAG32 0x80000000
  1084. #define IMAGE_ORDINAL64(Ordinal) (Ordinal & 0xffff)
  1085. #define IMAGE_ORDINAL32(Ordinal) (Ordinal & 0xffff)
  1086. #define IMAGE_SNAP_BY_ORDINAL64(Ordinal) ((Ordinal & IMAGE_ORDINAL_FLAG64) != 0)
  1087. #define IMAGE_SNAP_BY_ORDINAL32(Ordinal) ((Ordinal & IMAGE_ORDINAL_FLAG32) != 0)

  1088. //
  1089. // Thread Local Storage
  1090. //

  1091. typedef VOID
  1092. (NTAPI *PIMAGE_TLS_CALLBACK) (
  1093.     PVOID DllHandle,
  1094.     ULONG Reason,
  1095.     PVOID Reserved
  1096.     );

  1097. typedef struct _IMAGE_TLS_DIRECTORY64 {
  1098.     ULONGLONG   StartAddressOfRawData;
  1099.     ULONGLONG   EndAddressOfRawData;
  1100.     ULONGLONG   AddressOfIndex;         // PULONG
  1101.     ULONGLONG   AddressOfCallBacks;     // PIMAGE_TLS_CALLBACK *;
  1102.     ULONG   SizeOfZeroFill;
  1103.     ULONG   Characteristics;
  1104. } IMAGE_TLS_DIRECTORY64;
  1105. typedef IMAGE_TLS_DIRECTORY64 * PIMAGE_TLS_DIRECTORY64;

  1106. typedef struct _IMAGE_TLS_DIRECTORY32 {
  1107.     ULONG   StartAddressOfRawData;
  1108.     ULONG   EndAddressOfRawData;
  1109.     ULONG   AddressOfIndex;             // PULONG
  1110.     ULONG   AddressOfCallBacks;         // PIMAGE_TLS_CALLBACK *
  1111.     ULONG   SizeOfZeroFill;
  1112.     ULONG   Characteristics;
  1113. } IMAGE_TLS_DIRECTORY32;
  1114. typedef IMAGE_TLS_DIRECTORY32 * PIMAGE_TLS_DIRECTORY32;

  1115. #ifdef _WIN64
  1116. #define IMAGE_ORDINAL_FLAG              IMAGE_ORDINAL_FLAG64
  1117. #define IMAGE_ORDINAL(Ordinal)          IMAGE_ORDINAL64(Ordinal)
  1118. typedef IMAGE_THUNK_DATA64              IMAGE_THUNK_DATA;
  1119. typedef PIMAGE_THUNK_DATA64             PIMAGE_THUNK_DATA;
  1120. #define IMAGE_SNAP_BY_ORDINAL(Ordinal)  IMAGE_SNAP_BY_ORDINAL64(Ordinal)
  1121. typedef IMAGE_TLS_DIRECTORY64           IMAGE_TLS_DIRECTORY;
  1122. typedef PIMAGE_TLS_DIRECTORY64          PIMAGE_TLS_DIRECTORY;
  1123. #else
  1124. #define IMAGE_ORDINAL_FLAG              IMAGE_ORDINAL_FLAG32
  1125. #define IMAGE_ORDINAL(Ordinal)          IMAGE_ORDINAL32(Ordinal)
  1126. typedef IMAGE_THUNK_DATA32              IMAGE_THUNK_DATA;
  1127. typedef PIMAGE_THUNK_DATA32             PIMAGE_THUNK_DATA;
  1128. #define IMAGE_SNAP_BY_ORDINAL(Ordinal)  IMAGE_SNAP_BY_ORDINAL32(Ordinal)
  1129. typedef IMAGE_TLS_DIRECTORY32           IMAGE_TLS_DIRECTORY;
  1130. typedef PIMAGE_TLS_DIRECTORY32          PIMAGE_TLS_DIRECTORY;
  1131. #endif

  1132. typedef struct _IMAGE_IMPORT_DESCRIPTOR {
  1133.     union {
  1134.         ULONG   Characteristics;            // 0 for terminating null import descriptor
  1135.         ULONG   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
  1136.     };
  1137.     ULONG   TimeDateStamp;                  // 0 if not bound,
  1138.                                             // -1 if bound, and real date\time stamp
  1139.                                             //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
  1140.                                             // O.W. date/time stamp of DLL bound to (Old BIND)

  1141.     ULONG   ForwarderChain;                 // -1 if no forwarders
  1142.     ULONG   Name;
  1143.     ULONG   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
  1144. } IMAGE_IMPORT_DESCRIPTOR;
  1145. typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED *PIMAGE_IMPORT_DESCRIPTOR;

  1146. //
  1147. // New format import descriptors pointed to by DataDirectory[ IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT ]
  1148. //

  1149. typedef struct _IMAGE_BOUND_IMPORT_DESCRIPTOR {
  1150.     ULONG   TimeDateStamp;
  1151.     USHORT  OffsetModuleName;
  1152.     USHORT  NumberOfModuleForwarderRefs;
  1153. // Array of zero or more IMAGE_BOUND_FORWARDER_REF follows
  1154. } IMAGE_BOUND_IMPORT_DESCRIPTOR,  *PIMAGE_BOUND_IMPORT_DESCRIPTOR;

  1155. typedef struct _IMAGE_BOUND_FORWARDER_REF {
  1156.     ULONG   TimeDateStamp;
  1157.     USHORT  OffsetModuleName;
  1158.     USHORT  Reserved;
  1159. } IMAGE_BOUND_FORWARDER_REF, *PIMAGE_BOUND_FORWARDER_REF;

  1160. //
  1161. // Resource Format.
  1162. //

  1163. //
  1164. // Resource directory consists of two counts, following by a variable length
  1165. // array of directory entries.  The first count is the number of entries at
  1166. // beginning of the array that have actual names associated with each entry.
  1167. // The entries are in ascending order, case insensitive strings.  The second
  1168. // count is the number of entries that immediately follow the named entries.
  1169. // This second count identifies the number of entries that have 16-bit integer
  1170. // Ids as their name.  These entries are also sorted in ascending order.
  1171. //
  1172. // This structure allows fast lookup by either name or number, but for any
  1173. // given resource entry only one form of lookup is supported, not both.
  1174. // This is consistant with the syntax of the .RC file and the .RES file.
  1175. //

  1176. typedef struct _IMAGE_RESOURCE_DIRECTORY {
  1177.     ULONG   Characteristics;
  1178.     ULONG   TimeDateStamp;
  1179.     USHORT  MajorVersion;
  1180.     USHORT  MinorVersion;
  1181.     USHORT  NumberOfNamedEntries;
  1182.     USHORT  NumberOfIdEntries;
  1183. //  IMAGE_RESOURCE_DIRECTORY_ENTRY DirectoryEntries[];
  1184. } IMAGE_RESOURCE_DIRECTORY, *PIMAGE_RESOURCE_DIRECTORY;

  1185. #define IMAGE_RESOURCE_NAME_IS_STRING        0x80000000
  1186. #define IMAGE_RESOURCE_DATA_IS_DIRECTORY     0x80000000
  1187. //
  1188. // Each directory contains the 32-bit Name of the entry and an offset,
  1189. // relative to the beginning of the resource directory of the data associated
  1190. // with this directory entry.  If the name of the entry is an actual text
  1191. // string instead of an integer Id, then the high order bit of the name field
  1192. // is set to one and the low order 31-bits are an offset, relative to the
  1193. // beginning of the resource directory of the string, which is of type
  1194. // IMAGE_RESOURCE_DIRECTORY_STRING.  Otherwise the high bit is clear and the
  1195. // low-order 16-bits are the integer Id that identify this resource directory
  1196. // entry. If the directory entry is yet another resource directory (i.e. a
  1197. // subdirectory), then the high order bit of the offset field will be
  1198. // set to indicate this.  Otherwise the high bit is clear and the offset
  1199. // field points to a resource data entry.
  1200. //

  1201. typedef struct _IMAGE_RESOURCE_DIRECTORY_ENTRY {
  1202.     union {
  1203.         struct {
  1204.             ULONG NameOffset:31;
  1205.             ULONG NameIsString:1;
  1206.         };
  1207.         ULONG   Name;
  1208.         USHORT  Id;
  1209.     };
  1210.     union {
  1211.         ULONG   OffsetToData;
  1212.         struct {
  1213.             ULONG   OffsetToDirectory:31;
  1214.             ULONG   DataIsDirectory:1;
  1215.         };
  1216.     };
  1217. } IMAGE_RESOURCE_DIRECTORY_ENTRY, *PIMAGE_RESOURCE_DIRECTORY_ENTRY;

  1218. //
  1219. // For resource directory entries that have actual string names, the Name
  1220. // field of the directory entry points to an object of the following type.
  1221. // All of these string objects are stored together after the last resource
  1222. // directory entry and before the first resource data object.  This minimizes
  1223. // the impact of these variable length objects on the alignment of the fixed
  1224. // size directory entry objects.
  1225. //

  1226. typedef struct _IMAGE_RESOURCE_DIRECTORY_STRING {
  1227.     USHORT  Length;
  1228.     CHAR    NameString[ 1 ];
  1229. } IMAGE_RESOURCE_DIRECTORY_STRING, *PIMAGE_RESOURCE_DIRECTORY_STRING;


  1230. typedef struct _IMAGE_RESOURCE_DIR_STRING_U {
  1231.     USHORT  Length;
  1232.     WCHAR   NameString[ 1 ];
  1233. } IMAGE_RESOURCE_DIR_STRING_U, *PIMAGE_RESOURCE_DIR_STRING_U;


  1234. //
  1235. // Each resource data entry describes a leaf node in the resource directory
  1236. // tree.  It contains an offset, relative to the beginning of the resource
  1237. // directory of the data for the resource, a size field that gives the number
  1238. // of bytes of data at that offset, a CodePage that should be used when
  1239. // decoding code point values within the resource data.  Typically for new
  1240. // applications the code page would be the unicode code page.
  1241. //

  1242. typedef struct _IMAGE_RESOURCE_DATA_ENTRY {
  1243.     ULONG   OffsetToData;
  1244.     ULONG   Size;
  1245.     ULONG   CodePage;
  1246.     ULONG   Reserved;
  1247. } IMAGE_RESOURCE_DATA_ENTRY, *PIMAGE_RESOURCE_DATA_ENTRY;

  1248. //
  1249. // Load Configuration Directory Entry
  1250. //

  1251. typedef struct {
  1252.     ULONG   Size;
  1253.     ULONG   TimeDateStamp;
  1254.     USHORT  MajorVersion;
  1255.     USHORT  MinorVersion;
  1256.     ULONG   GlobalFlagsClear;
  1257.     ULONG   GlobalFlagsSet;
  1258.     ULONG   CriticalSectionDefaultTimeout;
  1259.     ULONG   DeCommitFreeBlockThreshold;
  1260.     ULONG   DeCommitTotalFreeThreshold;
  1261.     ULONG   LockPrefixTable;            // VA
  1262.     ULONG   MaximumAllocationSize;
  1263.     ULONG   VirtualMemoryThreshold;
  1264.     ULONG   ProcessHeapFlags;
  1265.     ULONG   ProcessAffinityMask;
  1266.     USHORT  CSDVersion;
  1267.     USHORT  Reserved1;
  1268.     ULONG   EditList;                   // VA
  1269.     ULONG   SecurityCookie;             // VA
  1270.     ULONG   SEHandlerTable;             // VA
  1271.     ULONG   SEHandlerCount;
  1272. } IMAGE_LOAD_CONFIG_DIRECTORY32, *PIMAGE_LOAD_CONFIG_DIRECTORY32;

  1273. typedef struct {
  1274.     ULONG      Size;
  1275.     ULONG      TimeDateStamp;
  1276.     USHORT     MajorVersion;
  1277.     USHORT     MinorVersion;
  1278.     ULONG      GlobalFlagsClear;
  1279.     ULONG      GlobalFlagsSet;
  1280.     ULONG      CriticalSectionDefaultTimeout;
  1281.     ULONGLONG  DeCommitFreeBlockThreshold;
  1282.     ULONGLONG  DeCommitTotalFreeThreshold;
  1283.     ULONGLONG  LockPrefixTable;         // VA
  1284.     ULONGLONG  MaximumAllocationSize;
  1285.     ULONGLONG  VirtualMemoryThreshold;
  1286.     ULONGLONG  ProcessAffinityMask;
  1287.     ULONG      ProcessHeapFlags;
  1288.     USHORT     CSDVersion;
  1289.     USHORT     Reserved1;
  1290.     ULONGLONG  EditList;                // VA
  1291.     ULONGLONG  SecurityCookie;          // VA
  1292.     ULONGLONG  SEHandlerTable;          // VA
  1293.     ULONGLONG  SEHandlerCount;
  1294. } IMAGE_LOAD_CONFIG_DIRECTORY64, *PIMAGE_LOAD_CONFIG_DIRECTORY64;

  1295. #ifdef _WIN64
  1296. typedef IMAGE_LOAD_CONFIG_DIRECTORY64     IMAGE_LOAD_CONFIG_DIRECTORY;
  1297. typedef PIMAGE_LOAD_CONFIG_DIRECTORY64    PIMAGE_LOAD_CONFIG_DIRECTORY;
  1298. #else
  1299. typedef IMAGE_LOAD_CONFIG_DIRECTORY32     IMAGE_LOAD_CONFIG_DIRECTORY;
  1300. typedef PIMAGE_LOAD_CONFIG_DIRECTORY32    PIMAGE_LOAD_CONFIG_DIRECTORY;
  1301. #endif

  1302. //
  1303. // WIN CE Exception table format
  1304. //

  1305. //
  1306. // Function table entry format.  Function table is pointed to by the
  1307. // IMAGE_DIRECTORY_ENTRY_EXCEPTION directory entry.
  1308. //

  1309. typedef struct _IMAGE_CE_RUNTIME_FUNCTION_ENTRY {
  1310.     ULONG FuncStart;
  1311.     ULONG PrologLen : 8;
  1312.     ULONG FuncLen : 22;
  1313.     ULONG ThirtyTwoBit : 1;
  1314.     ULONG ExceptionFlag : 1;
  1315. } IMAGE_CE_RUNTIME_FUNCTION_ENTRY, * PIMAGE_CE_RUNTIME_FUNCTION_ENTRY;

  1316. typedef struct _IMAGE_ALPHA64_RUNTIME_FUNCTION_ENTRY {
  1317.     ULONGLONG BeginAddress;
  1318.     ULONGLONG EndAddress;
  1319.     ULONGLONG ExceptionHandler;
  1320.     ULONGLONG HandlerData;
  1321.     ULONGLONG PrologEndAddress;
  1322. } IMAGE_ALPHA64_RUNTIME_FUNCTION_ENTRY, *PIMAGE_ALPHA64_RUNTIME_FUNCTION_ENTRY;

  1323. typedef struct _IMAGE_ALPHA_RUNTIME_FUNCTION_ENTRY {
  1324.     ULONG BeginAddress;
  1325.     ULONG EndAddress;
  1326.     ULONG ExceptionHandler;
  1327.     ULONG HandlerData;
  1328.     ULONG PrologEndAddress;
  1329. } IMAGE_ALPHA_RUNTIME_FUNCTION_ENTRY, *PIMAGE_ALPHA_RUNTIME_FUNCTION_ENTRY;

  1330. typedef struct _IMAGE_RUNTIME_FUNCTION_ENTRY {
  1331.     ULONG BeginAddress;
  1332.     ULONG EndAddress;
  1333.     ULONG UnwindInfoAddress;
  1334. } _IMAGE_RUNTIME_FUNCTION_ENTRY, *_PIMAGE_RUNTIME_FUNCTION_ENTRY;

  1335. typedef  _IMAGE_RUNTIME_FUNCTION_ENTRY  IMAGE_IA64_RUNTIME_FUNCTION_ENTRY;
  1336. typedef _PIMAGE_RUNTIME_FUNCTION_ENTRY PIMAGE_IA64_RUNTIME_FUNCTION_ENTRY;

  1337. typedef  _IMAGE_RUNTIME_FUNCTION_ENTRY  IMAGE_RUNTIME_FUNCTION_ENTRY;
  1338. typedef _PIMAGE_RUNTIME_FUNCTION_ENTRY PIMAGE_RUNTIME_FUNCTION_ENTRY;

  1339. //
  1340. // Debug Format
  1341. //

  1342. typedef struct _IMAGE_DEBUG_DIRECTORY {
  1343.     ULONG   Characteristics;
  1344.     ULONG   TimeDateStamp;
  1345.     USHORT  MajorVersion;
  1346.     USHORT  MinorVersion;
  1347.     ULONG   Type;
  1348.     ULONG   SizeOfData;
  1349.     ULONG   AddressOfRawData;
  1350.     ULONG   PointerToRawData;
  1351. } IMAGE_DEBUG_DIRECTORY, *PIMAGE_DEBUG_DIRECTORY;

  1352. #define IMAGE_DEBUG_TYPE_UNKNOWN          0
  1353. #define IMAGE_DEBUG_TYPE_COFF             1
  1354. #define IMAGE_DEBUG_TYPE_CODEVIEW         2
  1355. #define IMAGE_DEBUG_TYPE_FPO              3
  1356. #define IMAGE_DEBUG_TYPE_MISC             4
  1357. #define IMAGE_DEBUG_TYPE_EXCEPTION        5
  1358. #define IMAGE_DEBUG_TYPE_FIXUP            6
  1359. #define IMAGE_DEBUG_TYPE_OMAP_TO_SRC      7
  1360. #define IMAGE_DEBUG_TYPE_OMAP_FROM_SRC    8
  1361. #define IMAGE_DEBUG_TYPE_BORLAND          9
  1362. #define IMAGE_DEBUG_TYPE_RESERVED10       10
  1363. #define IMAGE_DEBUG_TYPE_CLSID            11

  1364. // end_winnt

  1365. // IMAGE_DEBUG_TYPE values > 0x7FFFFFFF are reserved for BBT

  1366. // begin_winnt

  1367. typedef struct _IMAGE_COFF_SYMBOLS_HEADER {
  1368.     ULONG   NumberOfSymbols;
  1369.     ULONG   LvaToFirstSymbol;
  1370.     ULONG   NumberOfLinenumbers;
  1371.     ULONG   LvaToFirstLinenumber;
  1372.     ULONG   RvaToFirstByteOfCode;
  1373.     ULONG   RvaToLastByteOfCode;
  1374.     ULONG   RvaToFirstByteOfData;
  1375.     ULONG   RvaToLastByteOfData;
  1376. } IMAGE_COFF_SYMBOLS_HEADER, *PIMAGE_COFF_SYMBOLS_HEADER;

  1377. #define FRAME_FPO       0
  1378. #define FRAME_TRAP      1
  1379. #define FRAME_TSS       2
  1380. #define FRAME_NONFPO    3

  1381. typedef struct _FPO_DATA {
  1382.     ULONG       ulOffStart;             // offset 1st byte of function code
  1383.     ULONG       cbProcSize;             // # bytes in function
  1384.     ULONG       cdwLocals;              // # bytes in locals/4
  1385.     USHORT      cdwParams;              // # bytes in params/4
  1386.     USHORT      cbProlog : 8;           // # bytes in prolog
  1387.     USHORT      cbRegs   : 3;           // # regs saved
  1388.     USHORT      fHasSEH  : 1;           // TRUE if SEH in func
  1389.     USHORT      fUseBP   : 1;           // TRUE if EBP has been allocated
  1390.     USHORT      reserved : 1;           // reserved for future use
  1391.     USHORT      cbFrame  : 2;           // frame type
  1392. } FPO_DATA, *PFPO_DATA;
  1393. #define SIZEOF_RFPO_DATA 16


  1394. #define IMAGE_DEBUG_MISC_EXENAME    1

  1395. typedef struct _IMAGE_DEBUG_MISC {
  1396.     ULONG       DataType;               // type of misc data, see defines
  1397.     ULONG       Length;                 // total length of record, rounded to four
  1398.                                         // byte multiple.
  1399.     BOOLEAN     Unicode;                // TRUE if data is unicode string
  1400.     UCHAR       Reserved[ 3 ];
  1401.     UCHAR       Data[ 1 ];              // Actual data
  1402. } IMAGE_DEBUG_MISC, *PIMAGE_DEBUG_MISC;


  1403. //
  1404. // Function table extracted from MIPS/ALPHA/IA64 images.  Does not contain
  1405. // information needed only for runtime support.  Just those fields for
  1406. // each entry needed by a debugger.
  1407. //

  1408. typedef struct _IMAGE_FUNCTION_ENTRY {
  1409.     ULONG   StartingAddress;
  1410.     ULONG   EndingAddress;
  1411.     ULONG   EndOfPrologue;
  1412. } IMAGE_FUNCTION_ENTRY, *PIMAGE_FUNCTION_ENTRY;

  1413. typedef struct _IMAGE_FUNCTION_ENTRY64 {
  1414.     ULONGLONG   StartingAddress;
  1415.     ULONGLONG   EndingAddress;
  1416.     union {
  1417.         ULONGLONG   EndOfPrologue;
  1418.         ULONGLONG   UnwindInfoAddress;
  1419.     };
  1420. } IMAGE_FUNCTION_ENTRY64, *PIMAGE_FUNCTION_ENTRY64;

  1421. //
  1422. // Debugging information can be stripped from an image file and placed
  1423. // in a separate .DBG file, whose file name part is the same as the
  1424. // image file name part (e.g. symbols for CMD.EXE could be stripped
  1425. // and placed in CMD.DBG).  This is indicated by the IMAGE_FILE_DEBUG_STRIPPED
  1426. // flag in the Characteristics field of the file header.  The beginning of
  1427. // the .DBG file contains the following structure which captures certain
  1428. // information from the image file.  This allows a debug to proceed even if
  1429. // the original image file is not accessable.  This header is followed by
  1430. // zero of more IMAGE_SECTION_HEADER structures, followed by zero or more
  1431. // IMAGE_DEBUG_DIRECTORY structures.  The latter structures and those in
  1432. // the image file contain file offsets relative to the beginning of the
  1433. // .DBG file.
  1434. //
  1435. // If symbols have been stripped from an image, the IMAGE_DEBUG_MISC structure
  1436. // is left in the image file, but not mapped.  This allows a debugger to
  1437. // compute the name of the .DBG file, from the name of the image in the
  1438. // IMAGE_DEBUG_MISC structure.
  1439. //

  1440. typedef struct _IMAGE_SEPARATE_DEBUG_HEADER {
  1441.     USHORT      Signature;
  1442.     USHORT      Flags;
  1443.     USHORT      Machine;
  1444.     USHORT      Characteristics;
  1445.     ULONG       TimeDateStamp;
  1446.     ULONG       CheckSum;
  1447.     ULONG       ImageBase;
  1448.     ULONG       SizeOfImage;
  1449.     ULONG       NumberOfSections;
  1450.     ULONG       ExportedNamesSize;
  1451.     ULONG       DebugDirectorySize;
  1452.     ULONG       SectionAlignment;
  1453.     ULONG       Reserved[2];
  1454. } IMAGE_SEPARATE_DEBUG_HEADER, *PIMAGE_SEPARATE_DEBUG_HEADER;

  1455. typedef struct _NON_PAGED_DEBUG_INFO {
  1456.     USHORT      Signature;
  1457.     USHORT      Flags;
  1458.     ULONG       Size;
  1459.     USHORT      Machine;
  1460.     USHORT      Characteristics;
  1461.     ULONG       TimeDateStamp;
  1462.     ULONG       CheckSum;
  1463.     ULONG       SizeOfImage;
  1464.     ULONGLONG   ImageBase;
  1465. } NON_PAGED_DEBUG_INFO, *PNON_PAGED_DEBUG_INFO;

  1466. #define IMAGE_SEPARATE_DEBUG_SIGNATURE 0x4944
  1467. #define NON_PAGED_DEBUG_SIGNATURE      0x494E

  1468. #define IMAGE_SEPARATE_DEBUG_FLAGS_MASK 0x8000
  1469. #define IMAGE_SEPARATE_DEBUG_MISMATCH   0x8000  // when DBG was updated, the
  1470.                                                 // old checksum didn't match.

  1471. //
  1472. //  The .arch section is made up of headers, each describing an amask position/value
  1473. //  pointing to an array of IMAGE_ARCHITECTURE_ENTRY's.  Each "array" (both the header
  1474. //  and entry arrays) are terminated by a quadword of 0xffffffffL.
  1475. //
  1476. //  NOTE: There may be quadwords of 0 sprinkled around and must be skipped.
  1477. //

  1478. typedef struct _ImageArchitectureHeader {
  1479.     unsigned int AmaskValue: 1;                 // 1 -> code section depends on mask bit
  1480.                                                 // 0 -> new instruction depends on mask bit
  1481.     int :7;                                     // MBZ
  1482.     unsigned int AmaskShift: 8;                 // Amask bit in question for this fixup
  1483.     int :16;                                    // MBZ
  1484.     ULONG FirstEntryRVA;                        // RVA into .arch section to array of ARCHITECTURE_ENTRY's
  1485. } IMAGE_ARCHITECTURE_HEADER, *PIMAGE_ARCHITECTURE_HEADER;

  1486. typedef struct _ImageArchitectureEntry {
  1487.     ULONG FixupInstRVA;                         // RVA of instruction to fixup
  1488.     ULONG NewInst;                              // fixup instruction (see alphaops.h)
  1489. } IMAGE_ARCHITECTURE_ENTRY, *PIMAGE_ARCHITECTURE_ENTRY;

  1490. #include "poppack.h"                // Back to the initial value

  1491. // The following structure defines the new import object.  Note the values of the first two fields,
  1492. // which must be set as stated in order to differentiate old and new import members.
  1493. // Following this structure, the linker emits two null-terminated strings used to recreate the
  1494. // import at the time of use.  The first string is the import's name, the second is the dll's name.

  1495. #define IMPORT_OBJECT_HDR_SIG2  0xffff

  1496. typedef struct IMPORT_OBJECT_HEADER {
  1497.     USHORT  Sig1;                       // Must be IMAGE_FILE_MACHINE_UNKNOWN
  1498.     USHORT  Sig2;                       // Must be IMPORT_OBJECT_HDR_SIG2.
  1499.     USHORT  Version;
  1500.     USHORT  Machine;
  1501.     ULONG   TimeDateStamp;              // Time/date stamp
  1502.     ULONG   SizeOfData;                 // particularly useful for incremental links

  1503.     union {
  1504.         USHORT  Ordinal;                // if grf & IMPORT_OBJECT_ORDINAL
  1505.         USHORT  Hint;
  1506.     };

  1507.     USHORT  Type : 2;                   // IMPORT_TYPE
  1508.     USHORT  NameType : 3;               // IMPORT_NAME_TYPE
  1509.     USHORT  Reserved : 11;              // Reserved. Must be zero.
  1510. } IMPORT_OBJECT_HEADER;

  1511. typedef enum IMPORT_OBJECT_TYPE
  1512. {
  1513.     IMPORT_OBJECT_CODE = 0,
  1514.     IMPORT_OBJECT_DATA = 1,
  1515.     IMPORT_OBJECT_CONST = 2,
  1516. } IMPORT_OBJECT_TYPE;

  1517. typedef enum IMPORT_OBJECT_NAME_TYPE
  1518. {
  1519.     IMPORT_OBJECT_ORDINAL = 0,          // Import by ordinal
  1520.     IMPORT_OBJECT_NAME = 1,             // Import name == public symbol name.
  1521.     IMPORT_OBJECT_NAME_NO_PREFIX = 2,   // Import name == public symbol name skipping leading ?, @, or optionally _.
  1522.     IMPORT_OBJECT_NAME_UNDECORATE = 3,  // Import name == public symbol name skipping leading ?, @, or optionally _
  1523.                                         // and truncating at first @
  1524. } IMPORT_OBJECT_NAME_TYPE;

  1525. // end_winnt

  1526. // The structure is used by the NT loader for clr URT support.  It
  1527. // is a duplicate of the definition in corhdr.h.

  1528. // begin_winnt

  1529. #ifndef __IMAGE_COR20_HEADER_DEFINED__
  1530. #define __IMAGE_COR20_HEADER_DEFINED__

  1531. typedef enum ReplacesCorHdrNumericDefines
  1532. {
  1533. // COM+ Header entry point flags.
  1534.     COMIMAGE_FLAGS_ILONLY               =0x00000001,
  1535.     COMIMAGE_FLAGS_32BITREQUIRED        =0x00000002,
  1536.     COMIMAGE_FLAGS_IL_LIBRARY           =0x00000004,
  1537.     COMIMAGE_FLAGS_STRONGNAMESIGNED     =0x00000008,
  1538.     COMIMAGE_FLAGS_TRACKDEBUGDATA       =0x00010000,

  1539. // Version flags for image.
  1540.     COR_VERSION_MAJOR_V2                =2,
  1541.     COR_VERSION_MAJOR                   =COR_VERSION_MAJOR_V2,
  1542.     COR_VERSION_MINOR                   =0,
  1543.     COR_DELETED_NAME_LENGTH             =8,
  1544.     COR_VTABLEGAP_NAME_LENGTH           =8,

  1545. // Maximum size of a NativeType descriptor.
  1546.     NATIVE_TYPE_MAX_CB                  =1,   
  1547.     COR_ILMETHOD_SECT_SMALL_MAX_DATASIZE=0xFF,

  1548. // #defines for the MIH FLAGS
  1549.     IMAGE_COR_MIH_METHODRVA             =0x01,
  1550.     IMAGE_COR_MIH_EHRVA                 =0x02,   
  1551.     IMAGE_COR_MIH_BASICBLOCK            =0x08,

  1552. // V-table constants
  1553.     COR_VTABLE_32BIT                    =0x01,          // V-table slots are 32-bits in size.   
  1554.     COR_VTABLE_64BIT                    =0x02,          // V-table slots are 64-bits in size.   
  1555.     COR_VTABLE_FROM_UNMANAGED           =0x04,          // If set, transition from unmanaged.
  1556.     COR_VTABLE_CALL_MOST_DERIVED        =0x10,          // Call most derived method described by

  1557. // EATJ constants
  1558.     IMAGE_COR_EATJ_THUNK_SIZE           =32,            // Size of a jump thunk reserved range.

  1559. // Max name lengths   
  1560.     MAX_CLASS_NAME                      =1024,
  1561.     MAX_PACKAGE_NAME                    =1024,
  1562. } ReplacesCorHdrNumericDefines;

  1563. // COM+ 2.0 header structure.
  1564. typedef struct IMAGE_COR20_HEADER
  1565. {
  1566.     // Header versioning
  1567.     ULONG                   cb;              
  1568.     USHORT                  MajorRuntimeVersion;
  1569.     USHORT                  MinorRuntimeVersion;
  1570.    
  1571.     // Symbol table and startup information
  1572.     IMAGE_DATA_DIRECTORY    MetaData;        
  1573.     ULONG                   Flags;           
  1574.     ULONG                   EntryPointToken;
  1575.    
  1576.     // Binding information
  1577.     IMAGE_DATA_DIRECTORY    Resources;
  1578.     IMAGE_DATA_DIRECTORY    StrongNameSignature;

  1579.     // Regular fixup and binding information
  1580.     IMAGE_DATA_DIRECTORY    CodeManagerTable;
  1581.     IMAGE_DATA_DIRECTORY    VTableFixups;
  1582.     IMAGE_DATA_DIRECTORY    ExportAddressTableJumps;

  1583.     // Precompiled image info (internal use only - set to zero)
  1584.     IMAGE_DATA_DIRECTORY    ManagedNativeHeader;
  1585.    
  1586. } IMAGE_COR20_HEADER, *PIMAGE_COR20_HEADER;

  1587. #endif // __IMAGE_COR20_HEADER_DEFINED__

  1588. //
  1589. // End Image Format
  1590. //

  1591. // end_winnt

  1592. typedef IMAGE_OS2_HEADER UNALIGNED * PUIMAGE_OS2_HEADER;
  1593. typedef IMAGE_IMPORT_DESCRIPTOR UNALIGNED CONST *PCIMAGE_IMPORT_DESCRIPTOR;
  1594. typedef CONST IMAGE_BOUND_IMPORT_DESCRIPTOR *PCIMAGE_BOUND_IMPORT_DESCRIPTOR;
  1595. typedef CONST IMAGE_BOUND_FORWARDER_REF     *PCIMAGE_BOUND_FORWARDER_REF;
  1596. typedef CONST IMAGE_IMPORT_BY_NAME          *PCIMAGE_IMPORT_BY_NAME;
  1597. typedef CONST IMAGE_THUNK_DATA              *PCIMAGE_THUNK_DATA;
  1598. typedef CONST IMAGE_THUNK_DATA32            *PCIMAGE_THUNK_DATA32;
  1599. typedef CONST IMAGE_THUNK_DATA64            *PCIMAGE_THUNK_DATA64;
  1600. typedef CONST IMAGE_TLS_DIRECTORY           *PCIMAGE_TLS_DIRECTORY;
  1601. typedef CONST IMAGE_TLS_DIRECTORY32         *PCIMAGE_TLS_DIRECTORY32;
  1602. typedef CONST IMAGE_TLS_DIRECTORY64         *PCIMAGE_TLS_DIRECTORY64;
  1603. typedef CONST IMAGE_EXPORT_DIRECTORY        *PCIMAGE_EXPORT_DIRECTORY;
  1604. typedef CONST IMAGE_SECTION_HEADER          *PCIMAGE_SECTION_HEADER;

  1605. #endif // _NTIMAGE_
复制代码

返回列表