PE文件与内存中的地址映射关系

最新推荐文章于 2022-09-17 13:07:57 发布
最新推荐文章于 2022-09-17 13:07:57 发布
阅读量8.8k 收藏 5
点赞数 6
分类专栏: # 逆向 文章标签: 汇编 CPU PE文件 内存地址 计算机基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/84833632
版权

PE文件与(虚拟)内存中的地址映射

  1. 文件偏移地址

    PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对于文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。

  2. 装载地址(Image Base)

    PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x10000000。

  3. 虚拟内存地址(VA)

    PE文件中的指令被装入内存后的地址。

  4. 相对虚拟地址(RVA)

    内存地址相对于映射基址(即装载地址)的偏移量。在装入内存之后,将按照内存数据标准存放,每一个数据节都是0x1000字节的倍数,不足的用0x00补齐。

  5. 节偏移

    定义节偏移=RVA-文件偏移

满足下面公式:

VA=Image Base+RVA

breezeO_o
关注
专栏目录
PE文件内存映射
做一个快乐学习者
10-13 1952
如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念: 1.文件偏移地址(file offset) PE文件数据在硬盘存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。 2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...
简谈PE文件内存
写代码的dodo
03-18 3128
关于PE文件(可执行文件,Portable Executale)结构的研究以前也看过,很久没回顾了。前两天看了本书又涉及到这方面的知识,在此分享一下个人心得,毕竟本人是还没出茅庐的菜鸟,可能有错误之处恳请大家指正。 我相信大家在接触PE听到的醉多的就是什么RVA,VA,Offset,Rsize,Vsize啥啥啥乱七八糟的名称,还有计算公式。我只想说,去你妹的!网络上关于这个的解释都是粘过来,复制
取得文件内存的位置(转贴)
Qi_jianzhou的资料室
12-26 978
从 csdn 上找到的原文件地址:http://topic.csdn.net/t/20021224/14/1295059.html------------------------知道一个进程的ID/HANDLE/FileName,怎么取得它在内存的映像文件地址?!楼主FIGLAB(无花果)2002-12-24 14:04:54 在 VC/MFC / 进程/线程/DLL 提问知
PE文件地址与内存地址
软件调试的变革
12-14 3121
1.      VC可以通过#pragmadata_seg()可以将代码的任意部分编译到PE的任意节,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址与VA(virtualAddress)之间的转换。 文件偏移地址(file offset)文件相对于文件开头的偏移 装载基址(image base)PE装入内存时的基地址,
PE格式: VA地址与FOA地址
CSDN
07-26 5178
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
Windows:PE格式之基址重定位
无名J0kзr的博客
03-26 805
文章目录杂什么是基址重定位为什么需要基址重定位如何进行基址重定位重定位表的数据结构实例 杂 参考: 基址重定位的作用及详细解析 小甲鱼PE详解之基址重定位详解 PE文件结构(五)基址重定位 《程序员的自我修养:链接、装载与库》 什么是基址重定位 重定位就是把程序的逻辑地址空间变换成内存的实际物理地址空间的过程,也就是说在装入时对目标程序指令和数据的修改过程。他是实现多道程序在内存同时运行的基础。 为什么需要基址重定位 每个PE文件都有一个首选基地址,它表示模块被映射到进程地址空间时最佳的装载位置。 而
RunPE-In-Memory:在内存运行Exe文件PE模块)(如Application Loader)
02-06
RunPE技术的核心在于模拟PE文件的正常加载过程,即创建一个新的进程,然后将目标PE文件的内容映射到这个进程,执行其入口点。Windows API函数,如CreateProcess、VirtualAlloc和WriteProcessMemory等,通常被用来...
可以比较内存或原始 PE 文件PE图像的 UI 应用程序_ C++_代码_下载
06-15
标题的“可以比较内存或原始 PE 文件PE 图像的 UI 应用程序”指的是一个用户界面(UI)工具,该工具设计用于对比内存PE(Portable Executable)图像与磁盘上的原始PE文件PE文件格式是Windows操作系统...
RunPE 内存直接运行PE文件
02-04
在C++实现RunPE,我们需要深入理解PE文件格式、内存映射以及进程注入等概念。 首先,PE文件格式是Windows操作系统用于存储可执行程序、动态链接库(DLL)和其他类型模块的数据结构。PE文件包含头信息、节表、导入...
虚拟内存PE文件与虚拟内存之间的映射
dyuanXu的博客
09-17 1052
虚拟内存PE文件与虚拟内存之间的映射
PE文件的物理地址与内存地址互相转换!
09-15
PE文件的物理地址与内存地址互相转换!
PE文件结构图,很详细,方便大家下载
08-21
很方便查看的PE文件结构图,看起来很方便 很方便查看的PE文件结构图,看起来很方便
逆向-PE文件基本概念
写代码的小阿帆的博客
05-20 692
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 PE文件大体结构如下图: PE文件使用平面地址空间,代码数据组合在一起形成一个较大结构,文件的内容被分为不同的区块(secession),区块包含代码和数据,各区块按页对齐,没有大小限制,每个块在内存有自身的属性,比如其是否包含代码,是否只读或可写等。 PE文件并非作为单一文件被映射
操作系统 | 内存文件映射 —— 文件内存的映射
"You are worthy! You can do it!"
09-07 7548
这么做是为了减少磁盘的IO操作,为了提高性能而考虑的,程序访问一般都带有局部性,局部性原理,在这里主要是指的空间局部性,即我们访问了文件的某一段数据,那么接下去很可能还会访问接下去的一段数据,由于磁盘IO操作的速度比直接访问内存慢了好几个数量级,所以OS根据局部性原理会在一次 read()系统调用过程预读更多的文件数据缓存在内核IO缓冲区,当继续访问的文件数据在缓冲区时便直接拷贝数据到进程私有空间,避免了再次的低效率磁盘IO操作。(页表由页号和块号组成)进程看到的所有地址组成的空间,就是虚拟空间。
PE文件内存的映射学习总结
bcbobo21cn的专栏
09-04 2629
PE文件内存的映射 http://www.cnblogs.com/qintangtao/archive/2013/01/28/2880606.html 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存的指令或
Windows平台PE文件内存地址到磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1629
内存地址转换为磁盘地址 计算公式为 RAW = RVA(相对虚拟地址) - VirtualAddress(内存节区起始地址) + PointerToRawData(磁盘文件节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
PE文件内存的加载
duangduang2020的博客
07-28 2912
PE文件分为 文件头,各个数据节 在PE文件,各个部分不满200h个字节的,用0填充,直到满足200h个字节 PE文件加载进内存后,各个部分不满4KB个字节的,用0填充,直到满足4KB个字节 这里说的各个部分包括文件头和各个数据节,特别需要注意的是文件头也是这样的单独一部分!
亲手教你改PE文件之加载基址的新玩法
蚁景网安学院
11-29 1170
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
PE文件结构详解
leolewin的博客
08-23 2918
1.M_DOS头部结构体: IMAGE_DOS_HEADER STRUCT { +00h WORD e_magic // Magic DOS signature MZ(4Dh 5Ah) DOS可执行文件标记 +02h WORD e_cblp // Bytes on last page of file +04h WORD e_cp // Pages in file +0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值