笔记:PE结构(5)文件缓冲区拉伸到虚拟内存缓冲区

最新推荐文章于 2024-06-13 16:20:21 发布
最新推荐文章于 2024-06-13 16:20:21 发布
阅读量150 收藏
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q324411601/article/details/126615550
版权

misc 是节在内存中的真实大小(而并非是文件中的),所以有可能会出现misc>SizeofRawData的情况

原因是节在文件中,有很多未初始化的数据,到了内存后,这些数据是需要给空间的。

拉伸后的大小在可选头SizeofImage中.

拉伸步骤:

1.读SizeofImage 对应的申请内存,初始化为0

2.拷贝头们+节表   大小为(SizeofHeaders

3.拷贝节区,PointerToRawData决定从文件哪个位置拷贝.(偏移,因为是0开始的,所以也是实际地址)

                   VirtualAddress决定拷贝到内存什么地址(偏移,距离申请内存开始的地方的偏移).

                   SizeofRawData决定拷贝多大,

  不能用Misc的值去拷贝(万一比SizeofRawData大 那么就会拷贝到下个节区的数据

注意:拉伸时,虚拟内存缓冲区的开始地址和ImageBase没有关系(仅仅是拉伸到自己申请的内存)

必备练习:

计算在虚拟

最低0.47元/天 解锁文章
Q324411601
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
heob:检测缓冲区溢出和内存泄漏
05-07
heob覆盖被调用进程的堆函数,以检测缓冲区溢出和内存泄漏。 在缓冲区溢出时,将引发访问冲突,并提供有问题的指令和缓冲区分配的堆栈跟踪。 当程序正常退出时,将显示所有泄漏的堆栈跟踪。 汇编: 最小GW 必须...
微信小程序学习笔记:目录结构详解及数据绑定
03-29
目录结构 pages 所有页面 app.js 全局js app.json 注册页面,配置小程序 app.wxss 全局样式文件 pages存放页面文件 每个页面一个文件夹,下面.wxml和.js文件是必需的。 .wxss和.josn文件不是必需的,如果没有的话就...
PE|压缩
个人笔记
05-21 220
PE|压缩压缩 重点:理解整个过程的思路是重点,代码思路自然就出来了。 PE结构使用数据: SizeOfImage SizeOfHeaders PointerToRawData VirtualAddress SizeofRawData -开辟空间 -复制头 -复制节 压缩 -开辟一个新的空间 -复制头 -复制节 注意:最后一个节的PointerToRawData+在磁盘中所占大小SizeOfRawData ...
手工解析PE(文件)
GNAIXGNAHZ的博客
06-03 477
手工模拟文件
misc
qq_43613772的博客
07-17 2734
Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Misc 在国外的比赛中其实又被具体划分为各个小块,有 Recon、Forensic、Stego、Misc… 在国内内的比赛中,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)也被划入其中。 杂项大致有几种类型: 流量分析 隐写 压缩包处理 文件格式分析 攻击取证 主要介绍一些获取信息的渠道...
注意: masm 操纵pe文件 virtualsize 是在misc里
07-01 824
,[edi].Misc.VirtualSize,\
Python学习笔记:分支结构
12-22
1. 单分支结构 单分支结构即只有一个分支,如下,有两种方式实现 guess = eval(input()) if guess == 99: print("猜对了") if True: print("条件正确") 2. 二分支结构 2.1定义 根据判断条件结果而选择...
linux内存缓冲区完美教程大全
01-05
应大家要求上传。可嵌入到工程上的C语言实现的内存泄漏检查代码!!!!!!!!!...深入理解LINUX内存管理学习笔记。常见的内存错误。以及缓冲区缓冲区溢出攻击:原理,防御及检测,并给出全部代码以及ppt
PE文件结构学习笔记.mht
03-28
PE文件结构学习笔记.mht
逆向编程一,PE结构内存
cszrydn的专栏
05-20 663
PE的加载从文件内存有一个的过程,的原因是因为PE文件中的对齐字节和在内存中的对齐字节可能不一样(文件对齐字节<=内存对齐字节,为了节省磁盘空间,目前的pe文件大部分文件内存对齐字节都是一样的)。文件对齐字节在可选PE头里: _IMAGE_OPTIONAL_HEADER: 32 4 SectionAlignment 内存对齐 当加载进内存时节的对齐值(以字节计)。它必须≥FileAlignment。默认是相应系统的页面大小。 36 4 Fi..
linux虚拟内存、存储器层次结构、缓存
weixin_45298607的博客
03-28 1512
最近在学习虚拟内存,每天学一点点整理一点点,内容可能有点多,可以收藏慢慢看。 文章目录 1. 存储器;2. DRAM寻址;3. cache缓存;4. 虚拟地址VM;5. 综合栗子
虚拟内存缓冲区管理
墨的博客
11-29 1194
在刚开始接触TQ2440并测试TEST程序时,当时就产生了一个疑惑,把程序下载到NAND和SDRAM中,其中断均能正确执行,当时以为,程序有可能采用了动态添加中断向量技术,即在SDRAM中运行时在向量0x18处添加跳转指令的二进制编码。虽然能够实现,但在实际编程时会非常麻烦。 ARM采用了虚拟内存映射技术即MMU,负责虚拟地址到物理地址的映射,并提供硬件机制的内存访问权限检查,通过使用CACHE
滴水三期:day29.1-节表
Edimade的博客
05-02 1007
一、节表(1.节表引入>2.定位节表位置与计算个数>3.节表结构)>二、节表每个字段的含义>三、作业(1.手动解析节表>2.编写程序打印节表中的信息)
ARM虚拟内存缓冲区实现/管理(无OS)
流水
03-20 1537
查到一些概念资料: 一)TLB 1)TLB的概述 TLB是一个内存管理单元用于改进虚拟地址到物理地址转换速度的缓存. TLB是位于内存中的页表的cache,如果没有TLB,则每次取数据都需要两次访问内存,即查页表获得物理地址和取数据.   2)TLB的原理 当cpu对数据进行读请求时,CPU根据虚拟地址(前20位)到TLB中查找. TLB中保存着虚拟地址(前20位)和页框号的对映关
C语言实现PE压缩和扩大、合并、增加节区
qq_35289660的博客
05-11 1571
C语言实现PE压缩和扩大、合并、增加节区 文章目录C语言实现PE压缩和扩大、合并、增加节区0.说明一.各个部分的子函数1.读取2.3.压缩4.存盘5.扩大节6.合并节7.新增节二.整体代码 0.说明 看滴水初期视频PE部分的笔记 然后自己写代码实现 文件过程 PE节区扩大、合并、增大都是在之后实现的 这之中涉及了许多结构体和自定义数据,都是定义在winnt.h这个头文件中,当然也被包含于windows.h这个头文件。开始的时候都是不熟,只有多写,自然就记着了。 编译环境:vc++
JAVA动态表达式:Antlr4 表达式树解析
最新发布
℡メ㏑╭ァ小凯
06-13 330
这样通过循环你就能得到这串表达式的每个值:((1==1 and (2==2 or 3==3)) or (2==2 or 3==3)) and '啦啦啦'=='1'下面的RuleEntity rule对象,就是把上面的结构树给拿到了。比如,第一个是( ,第二个是(,第三个是1,第四个是==......目前已经实现了常理及分组常规表达式的解析。
java中集合List,Set,Queue,Map
m0_61898915的博客
06-09 1368
Java SE中的集合框架是一组用于存储和操作对象的类和接口。它提供了丰富的数据结构,可以用于解决各种问题。
Anconda环境迁移
qq_33043025的博客
06-12 357
解压环境(-C 之前为打包文件路径 -C 之后为迁入机器 anaconda3/envs 目录 + 环境名)安装好之后打包需要迁出的环境(-n 之后为 虚拟环境名字 -o 之后为打包出来的文件名)在anaconda/envs目录中,以迁入环境名称创建文件夹。检查环境是否完全复制。
使用 保存文件_ecFlow笔记:使用SSD盘保存ecFlow生成文件
05-17
在使用ecFlow时,如果需要频繁地生成文件,建议使用SSD盘来保存这些文件,以获得更快的读写速度和更好的性能。 下面是使用SSD盘保存ecFlow生成文件的步骤: 1. 确定SSD盘的挂载点,可以使用df命令查看。假设SSD盘...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值