关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐

最新推荐文章于 2022-07-20 11:13:57 发布
最新推荐文章于 2022-07-20 11:13:57 发布
阅读量3.3k 收藏
点赞数
分类专栏: PE文件结构学习 文章标签: image linker header dos exe 磁盘

关于IMAGE_OPTIONAL_HEADER.SectionAlignment与IMAGE_OPTIONAL_HEADER.FileAlignment 以及内存映射的字节对齐
的关系.

一. PE格式(包括文件中和内存中)是怎么分块对齐的?
PE的大概格式是:
IMAGE_DOS_HEADER +
Stub +
IMAGE_NT_HEADERS +
IMAGE_SECTION_HEADER * n
Section 0
Section 1
...
Section n


分块对齐是这样分的:
------Block 1---------------------
IMAGE_DOS_HEADER +
Stub +
IMAGE_NT_HEADERS +
IMAGE_SECTION_HEADER * n
------Block 2---------------------
Section 0
------Block 3---------------------
Section 1
------Block 4---------------------
...
------Block 5---------------------
Section n
----------------------------------

从Block1 到 Block5都要按指定大小对齐.
其中, PE文件存储在磁盘的对齐是按照IMAGE_OPTIONAL_HEADER.FileAlignment对齐;
PE文件运行的时候再内存中是按照IMAGE_OPTIONAL_HEADER.SectionAlignment对齐.

用VC6生成一个Exe文件, 查看FileAlignment和SectionAlignment, 默认都是0x1000(4k).
一般Block 1比0x1000小的, 所以Block 2的ROF为0x1000.
而运行装载后, Block 2 的RVA一般为0x401000. (PE从0x400000开始装载的).

用VC2008生成一个Exe文件, 查看FileAlignment默认是0x200, SectionAlignment默认都是0x1000.
所以, 假设Block 1大小为0x2E6, 那么, 所以Block 2的ROF为0x400.
而运行装载后, Block 2 的RVA为0x401000. (PE从0x400000开始装载的).

而我们用CreateFileMapping打开一个文件时, 也是把文件加载到内存, 这个也是要对齐的,
但是这种对齐是针对整个文件的(这个也是基于0x1000对齐的).
区别是CreateFileMapping的对齐是针对这个文件的, 而PE文件运行装载的内存对齐是针对块的, 例如上面说的Block 1 ---- Block 5,

http://bbs.pediy.com/archive/index.php?t-90067.html


/ALIGN指定节的内存对齐属性,要更改节的文件对齐,
可以指定一个未公开的链接器选项"/FILEALIGN:#"来指定,例如"/FILEALIGN:0x1000"
#pragma comment(linker, "/ALIGN:0x1000")
#pragma comment(linker, "/FILEALIGN:0x1000")  // 验证了, 写在代码里没效
在 VC2008 中这样写就说第2行是无效指令,只能在项目属性的|连接器|命令行|附加选项里写.

我用VC2008修改如下
(FileAlignment默认是0x200, SectionAlignment默认是0x1000)
1.
SectionAlignment(/ALIGN:0x1000)
FileAlignment(/FILEALIGN:0x1000)
可以运行(其实这个配置就VC6的默认配置)

2.
SectionAlignment(/ALIGN:0x200)
FileAlignment(/FILEALIGN:0x1000)
报不是Win32应用程序.

3.
/ALIGN指定节的内存对齐属性,要更改节的文件对齐,就是用/OPT:WIN98,可以指定4k对齐,如果是OPT:NOWIN98,就是512字节对齐.
vs 2008 已经不支持了。


在VC6.0下
FileAlignment和SectionAlignment, 默认都是0x1000(4k).
1.
SectionAlignment(/ALIGN:0x200)
可以运行(只改SectionAlignment, FileAlignment自动变成了0x200)
(有这个警告LINK : warning LNK4108: /ALIGN specified without /DRIVER or /VXD; image may not run)

2.
SectionAlignment(/ALIGN:0x200)
FileAlignment(/FILEALIGN:0x1000)
可以运行(FileAlignment自动变成了0x200)(也就是说再VC6.0中/FILEALIGN:0x1000是无效的)
(有这个警告LINK : warning LNK4108: /ALIGN specified without /DRIVER or /VXD; image may not run)

3.
SectionAlignment(/ALIGN:0x1000)
FileAlignment(/OPT:WIN98)
可以运行(SectionAlignment 0x1000, FileAlignment 0x200)
(有这个警告LINK : warning LNK4108: /ALIGN specified without /DRIVER or /VXD; image may not run)

 

 

 

 

 

 

 

 

 

 

 

 

小大小丑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编BHO截获并替换_百度、谷歌搜索表单
09-27
- 是否有BaseOfCode、SectionAlignmentFileAlignment、CheckSum、SizeOfStackCommit以及SECTION.text的结构信息。 - 引入地址表是否存在。 - DLL名称是否和系统DLL文件类似。 文章还提到编写BHO来截获并替换百度...
delphi 在内存中直接运行EXE类型的资源文件
09-09
{ 计算加载pe并对齐需要占用多少内存,未直接使用OptionalHeader.SizeOfImage作为结果是因为据说有的编译器生成的exe这个值会填0 } function CalcTotalImageSize(MzH: PImageDosHeader; FileLen: Cardinal; peH: ...
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明
cay22的专栏
02-24 2289
关于PE文件格式中IMAGE_OPTIONAL_HEADER.FileAlignment的一些说明 这个字段是在文件对齐时使用的. 例如FileAlignment = 0x1000, 有一个节真正有用的数据大小为0x400, 但是因为FileAlignment是0x1000, 所以连接器生成文件时, 该节的大小就是0x1000了. 这就是文件对齐. 看下面数据: IMAGE_DOS_HEA
PE中节表IMAGE_SECTION_HEADER详(四)
想喝奶茶的胖大海
12-27 963
typedef struct _IMAGE_SECTION_HEADER { BYTE Name[IMAGE_ SIZEOF_ SHORT_ NAME]; //ASCI字符串 可自定义只截取8个 union { DWORD PhysicalAddress; DWORD VirtualSize; } Mlisc; DWORD VirtualAddress;//在内存中的偏移地址,加上Im...
5.PE文件之节表(IMAGE_SECTION_HEADER)
kernelhack
10-26 5362
PE头IMAGE_NT_HEADERS后紧跟着节表(也可以理解为IMAGE_OPTIONAL_HEADER后为节表).它由许多个节表项(IMAGE_SECTION_HEADER)组成,每个节表项记录了PE中与某个特定的节有关的信息,如节的属性、节的大小、节在文件和内存中的起始位置等.节表中节的数量由IMAGE_FILE_HEADER.NumberOfSection来定义. IMAGE_SECTION_HEADER 结构及成员含义如下: #define IMAGE_SIZEOF_SECTION_HEA
BIN 文件对 section 指令的扩展
chuifuhuo6864的博客
11-16 259
1. 基本概念 1) LMA: Load Address 2) VMA: Virtual Address 3) 实例 int a __attribute__((section(".section AA, \"aw\", @nobits"))); int b __attribute__...
PE结构-1
Starr
07-05 370
PE结构-1 文章目录PE结构-11. Dos头2. NT头IMAGE_OPTIONAL_HEADER643. 区块表4. 区块对齐换算RVA和文件偏移 本部分的目的是搞懂下图。 [外链图片转存失败(img-L9JWZCae-1562203515045)(https://r.photo.store.qq.com/psb?/V11kR0B93Se55a/E3tXISz3EWJpu2BIku7jE2Q...
PE文件结构详解--对照《加密与破解》第十章.docx
01-24
- **SectionAlignment**:内存中的节对齐值。 - **FileAlignment**:文件中的节对齐值。 - **MajorOperatingSystemVersion / MinorOperatingSystemVersion**:指定操作系统的主版本号和次版本号。 - **...
PE文件结构与ELF文件结构
04-19
在这个结构中,又有两个结构,即 IMAGE_FILE_HEADER 结构类型与 IMAGE_OPTIONAL_HEADER32 结构类型。这两个结构的定义如下: typedef struct IMAGE_FILE_HEADER { WORD Machine; // 表示该程序要执行的环境及平台 ...
windows平台PE文件自定义节区添加
08-17
dwVirtualSectionAlign = pImageNtHeader->OptionalHeader.SectionAlignment; // 获取区块表个数 dwNumOfSections = pImageNtHeader->FileHeader.NumberOfSections; // 初始化新加的区段表结构 memset(&...
PE文件格式
11-05
- 其他字段:如SectionAlignmentFileAlignment、Subsystem、SizeOfHeapCommit等,它们定义了内存分配、文件对齐方式、子系统类型(如GUI或控制台程序)以及初始堆大小等信息。 四、节表和数据目录 - 节表:由多...
深入剖析PE文件
07-25
- **SectionAlignment**:内存中Section的对齐大小。 - **FileAlignment**:文件中Section的对齐大小。 - **SizeOfImage**:映像在内存中的总大小。 - **SizeOfHeaders**:文件头的总大小。 - **SubSystem**:指定...
PE文件结构简析-windbg
06-15
- **SectionAlignment** 和 **FileAlignment**:段对齐和文件对齐方式。 - **MajorOperatingSystemVersion** 和 **MinorOperatingSystemVersion**:操作系统版本。 - **SizeOfImage**:PE文件加载后的大小。 - *...
CQU恶意代码实验三-手动节表免疫节间免疫等
最新发布
04-15
- `SectionAlignment`: 内存中节的对齐粒度(4096) - `FileAlignment`: 文件中节的对齐粒度(512) - `NumberOfSections`: 节的数量(12H,即18个节) - **解析每个节的属性**: - **名称**(`Name`)、**虚拟...
windows PE格式
06-25
- **SectionAlignment**:内存中的节对齐大小。 - **FileAlignment**:文件中的节对齐大小。 - **MajorOperatingSystemVersion**:目标操作系统的主版本号。 - **MinorOperatingSystemVersion**:目标操作系统的...
PE文件结构详解
热门推荐
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件之IMAGE_OPTIONAL_HEADER
jiangqin115的专栏
03-30 700
可选头位于IMAGE_NT_HEADERS内,紧接与IMAGE_FILE_HEADER之后,可选头的大小由文件头中倒数第二个成员指定。可选头中重要的数据成员有:第一个成员WORD Magic,这个对于32位可执行文件来说为0x010B。DWORD AddressOfEntryPoint,这个成员是程序执行的入口RVA地址。ImageBase为建议的装载地址。对于可执行文件来说一般是0x004000...
PE文件结构
c630843901的博客
04-28 647
文章目录DOS头PE头区段表区段理解一下 简述:PE文件分为5个部分 DOS文件头 DOS加载模块 PE文件头 区段表 区段 PE文件中显示的地址全部都是RVA,换算成VA需要加上基地址ImageBase与文件偏移地址RVA 虚拟地址(VA):每个32位PE文件被加载到内存中会分配4GB的虚拟内存,虚拟地址=基址+程序相对地址 相对虚拟地址(RVA):是当PE文件被展开时相对于文件头的地址,这个地址+ImageBase就是真正的虚拟地址 程序入口点 (EOP):程序开始执行的地方 DOSDOS
PE格式详细讲解【03】– IMAGE_OPTIONAL_HEADER32 结构
m0_61601712的博客
03-26 292
咱接着往下讲解IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用! 接着我们来谈谈 IMAGE_OPTIONAL_HEADER 结构,正如名字的意思,这是一个可选映像头,是一个可选的结构。 但是呢,实际上上节课我们讲解的 IMAGE_FILE_HEADER 结构远远不足以来定义 PE 文件的属性。 因此,这些属性在 IMAGE_OPTIONAL_HEADER 结构中进行定义。 因此这两个结构联合起来,才是一个完整的 “PE文件结构” 。 那么我们接着就应该顺理成章地来谈谈 IM...
将PE文件格式逆向解析成汇编语言
06-02
将PE文件格式逆向解析成汇编语言是一个非常复杂的任务,需要对PE文件格式有深入的了解,并且需要具备较强的反汇编技能。以下是一个简单的示例,演示如何将PE文件头部信息逆向解析成汇编语言: ``` ; 定义IMAGE_DOS_HEADER结构体 IMAGE_DOS_HEADER struct e_magic dw ? e_cblp dw ? e_cp dw ? e_crlc dw ? e_cparhdr dw ? e_minalloc dw ? e_maxalloc dw ? e_ss dw ? e_sp dw ? e_csum dw ? e_ip dw ? e_cs dw ? e_lfarlc dw ? e_ovno dw ? e_res dw 4 dup(?) e_oemid dw ? e_oeminfo dw ? e_res2 dw 10 dup(?) e_lfanew dd ? IMAGE_DOS_HEADER ends ; 定义IMAGE_NT_HEADERS结构体 IMAGE_NT_HEADERS struct Signature dd ? FileHeader IMAGE_FILE_HEADER <> OptionalHeader IMAGE_OPTIONAL_HEADER32 <> IMAGE_NT_HEADERS ends ; 定义IMAGE_FILE_HEADER结构体 IMAGE_FILE_HEADER struct Machine dw ? NumberOfSections dw ? TimeDateStamp dd ? PointerToSymbolTable dd ? NumberOfSymbols dd ? SizeOfOptionalHeader dw ? Characteristics dw ? IMAGE_FILE_HEADER ends ; 定义IMAGE_OPTIONAL_HEADER32结构体 IMAGE_OPTIONAL_HEADER32 struct Magic dw ? MajorLinkerVersion db ? MinorLinkerVersion db ? SizeOfCode dd ? SizeOfInitializedData dd ? SizeOfUninitializedData dd ? AddressOfEntryPoint dd ? BaseOfCode dd ? BaseOfData dd ? ImageBase dd ? SectionAlignment dd ? FileAlignment dd ? MajorOperatingSystemVersion dw ? MinorOperatingSystemVersion dw ? MajorImageVersion dw ? MinorImageVersion dw ? MajorSubsystemVersion dw ? MinorSubsystemVersion dw ? Win32VersionValue dd ? SizeOfImage dd ? SizeOfHeaders dd ? CheckSum dd ? Subsystem dw ? DllCharacteristics dw ? SizeOfStackReserve dd ? SizeOfStackCommit dd ? SizeOfHeapReserve dd ? SizeOfHeapCommit dd ? LoaderFlags dd ? NumberOfRvaAndSizes dd ? DataDirectory dd 16 dup(?) IMAGE_OPTIONAL_HEADER32 ends ; 定义节表结构体 IMAGE_SECTION_HEADER struct Name db 8 dup(?) VirtualSize dd ? VirtualAddress dd ? SizeOfRawData dd ? PointerToRawData dd ? PointerToRelocations dd ? PointerToLinenumbers dd ? NumberOfRelocations dw ? NumberOfLinenumbers dw ? Characteristics dd ? IMAGE_SECTION_HEADER ends ; 定义变量 dos_header IMAGE_DOS_HEADER <> nt_headers IMAGE_NT_HEADERS <> section_headers IMAGE_SECTION_HEADER 16 dup(?) ; 读取PE文件 filename db 'test.exe', 0 handle dw ? buffer db 512 dup(?) bytes_read dw ? section_table_offset dd ? size_of_section_table dd ? ; 打开文件 mov ah, 3dh mov al, 0 ; 只读模式 mov dx, offset filename int 21h mov handle, ax ; 读取DOS头部信息 mov ah, 3fh mov bx, handle mov cx, sizeof IMAGE_DOS_HEADER mov dx, offset dos_header int 21h ; 获取PE头部偏移地址 mov ax, word ptr [dos_header+0x3c] mov bx, handle mov cx, sizeof IMAGE_NT_HEADERS mov dx, offset nt_headers add dx, ax int 21h ; 解析PE头部信息 mov ax, word ptr [nt_headers.Signature] cmp ax, 'PE' jne exit_program ; 解析文件头部信息 mov ax, word ptr [nt_headers.FileHeader.NumberOfSections] mov section_table_offset, dx mov size_of_section_table, ax * sizeof IMAGE_SECTION_HEADER add dx, sizeof IMAGE_FILE_HEADER mov cx, sizeof IMAGE_FILE_HEADER mov si, offset nt_headers.FileHeader mov di, dx rep movsb ; 解析可选头部信息 mov ax, word ptr [nt_headers.OptionalHeader.Magic] cmp ax, IMAGE_NT_OPTIONAL_HDR32_MAGIC jne exit_program mov cx, sizeof IMAGE_OPTIONAL_HEADER32 mov si, offset nt_headers.OptionalHeader mov di, dx rep movsb ; 解析节表信息 mov ah, 3fh mov bx, handle mov cx, size_of_section_table mov dx, offset section_headers add dx, section_table_offset int 21h exit_program: ; 关闭文件 mov ah, 3eh mov bx, handle int 21h ``` 以上代码仅为示例,实际上解析PE文件格式的过程要比这个更加复杂,需要对不同的结构体进行不同的解析方式,并且需要处理一些特殊情况。同时,反汇编的过程中还需要考虑一些优化问题,例如去除无用代码、还原函数调用等,以确保反汇编的代码正确、可读性强。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值