PE文件与内存中的地址映射关系

最新推荐文章于 2022-09-17 13:07:57 发布
最新推荐文章于 2022-09-17 13:07:57 发布
阅读量8.8k 收藏 5
点赞数 6
分类专栏: # 逆向 文章标签: 汇编 CPU PE文件 内存地址 计算机基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/84833632
版权

PE文件与(虚拟)内存中的地址映射

  1. 文件偏移地址

    PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对于文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。

  2. 装载地址(Image Base)

    PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x10000000。

  3. 虚拟内存地址(VA)

    PE文件中的指令被装入内存后的地址。

  4. 相对虚拟地址(RVA)

    内存地址相对于映射基址(即装载地址)的偏移量。在装入内存之后,将按照内存数据标准存放,每一个数据节都是0x1000字节的倍数,不足的用0x00补齐。

  5. 节偏移

    定义节偏移=RVA-文件偏移

满足下面公式:

VA=Image Base+RVA

breezeO_o
关注
  • 6
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE文件内存映射
做一个快乐学习者
10-13 1892
如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念: 1.文件偏移地址(file offset) PE文件数据在硬盘存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。 2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...
RunPE 内存直接运行PE文件
02-04
在C++实现RunPE,我们需要深入理解PE文件格式、内存映射以及进程注入等概念。 首先,PE文件格式是Windows操作系统用于存储可执行程序、动态链接库(DLL)和其他类型模块的数据结构。PE文件包含头信息、节表、导入...
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件的OEP·           如何获取PE文件的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
取得文件内存的位置(转贴)
Qi_jianzhou的资料室
12-26 966
从 csdn 上找到的原文件地址:http://topic.csdn.net/t/20021224/14/1295059.html------------------------知道一个进程的ID/HANDLE/FileName,怎么取得它在内存的映像文件地址?!楼主FIGLAB(无花果)2002-12-24 14:04:54 在 VC/MFC / 进程/线程/DLL 提问知
PE文件地址与内存地址
软件调试的变革
12-14 3087
1.      VC可以通过#pragmadata_seg()可以将代码的任意部分编译到PE的任意节,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址与VA(virtualAddress)之间的转换。 文件偏移地址(file offset)文件相对于文件开头的偏移 装载基址(image base)PE装入内存时的基地址,
PE格式: VA地址与FOA地址
CSDN
07-26 5157
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
虚拟内存PE文件与虚拟内存之间的映射
最新发布
dyuanXu的博客
09-17 1032
虚拟内存PE文件与虚拟内存之间的映射
逆向-PE文件基本概念
写代码的小阿帆的博客
05-20 665
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。 PE文件大体结构如下图: PE文件使用平面地址空间,代码数据组合在一起形成一个较大结构,文件的内容被分为不同的区块(secession),区块包含代码和数据,各区块按页对齐,没有大小限制,每个块在内存有自身的属性,比如其是否包含代码,是否只读或可写等。 PE文件并非作为单一文件被映射
可以比较内存或原始 PE 文件PE图像的 UI 应用程序_ C++_代码_下载
06-15
标题的“可以比较内存或原始 PE 文件PE 图像的 UI 应用程序”指的是一个用户界面(UI)工具,该工具设计用于对比内存PE(Portable Executable)图像与磁盘上的原始PE文件PE文件格式是Windows操作系统...
PE文件结构详解
08-25
PE文件加载到内存后,内存的版本称为模块(Module)。映射文件的起始地址称为模块句柄(hModule),也称为基地址(ImageBase)。文件数据一般512字节(1扇区)对齐,32位内存一般4k(1页)对齐。 DOS部分 DOS头...
PE文件的物理地址与内存地址互相转换!
09-15
PE文件的物理地址与内存地址互相转换!
RunPE-In-Memory:在内存运行Exe文件PE模块)(如Application Loader)
02-06
RunPE技术的核心在于模拟PE文件的正常加载过程,即创建一个新的进程,然后将目标PE文件的内容映射到这个进程,执行其入口点。Windows API函数,如CreateProcess、VirtualAlloc和WriteProcessMemory等,通常被用来...
操作系统 | 内存文件映射 —— 文件内存的映射
"You are worthy! You can do it!"
09-07 6878
这么做是为了减少磁盘的IO操作,为了提高性能而考虑的,程序访问一般都带有局部性,局部性原理,在这里主要是指的空间局部性,即我们访问了文件的某一段数据,那么接下去很可能还会访问接下去的一段数据,由于磁盘IO操作的速度比直接访问内存慢了好几个数量级,所以OS根据局部性原理会在一次 read()系统调用过程预读更多的文件数据缓存在内核IO缓冲区,当继续访问的文件数据在缓冲区时便直接拷贝数据到进程私有空间,避免了再次的低效率磁盘IO操作。(页表由页号和块号组成)进程看到的所有地址组成的空间,就是虚拟空间。
PE文件内存的映射学习总结
bcbobo21cn的专栏
09-04 2610
PE文件内存的映射 http://www.cnblogs.com/qintangtao/archive/2013/01/28/2880606.html 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址和PE文件之间的映射关系。 当且仅当真正执行到某个内存的指令或
PE文件内存的加载
duangduang2020的博客
07-28 2896
PE文件分为 文件头,各个数据节 在PE文件,各个部分不满200h个字节的,用0填充,直到满足200h个字节 PE文件加载进内存后,各个部分不满4KB个字节的,用0填充,直到满足4KB个字节 这里说的各个部分包括文件头和各个数据节,特别需要注意的是文件头也是这样的单独一部分!
小甲鱼PE详解之区块表(节表)和区块(节)(PE详解04)
07-29 3682
上一讲:小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用到此为止,小甲鱼和大家已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。(视频教程:http://f
亲手教你改PE文件之加载基址的新玩法
蚁景网安学院
11-29 1096
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
内存映射文件&PE内存映像
倒计时
12-01 2504
内存映射文件是指将硬盘上的文件不做修改的装载到内存,(为什么?)在硬盘上,文件是被分割开存放的,当我们访问时,计算机需要先将不同位置的内容读取到内存,而有了内存文件映射,访问就会变得更轻松和快捷,由于读取磁盘操作放到了一起,读写效率会提高很多,所以许多大型的编辑软件经常会使用内存映射文件存取磁盘文件PE内存映像是指按照一定的规则装载到内存,装入后的整个文件头内容不会发生变化,但PE文件
[pwn]调试:gdb+pwndbg食用指南
热门推荐
Breeze的博客
12-31 5万+
gdb+pwndbg组合拳 文章目录gdb+pwndbg组合拳前言及安装基本指令执行指令断点指令下普通断点指令b(break):删除、禁用断点:内存断点指令watch:捕获断点catch:打印指令查看内存指令x:打印指令p(print):打印汇编指令disass(disassemble):打印源代码指令list:修改和查找指令修改数据指令set:查找数据:堆操作指令(pwndbg插件独有)其他pw...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值