虚拟内存及PE文件与虚拟内存之间的映射

已于 2022-09-17 13:08:54 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 安全软件漏洞分析 文章标签: 网络安全
于 2022-09-17 13:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyuanxu/article/details/126904111
版权

虚拟内存

        Windows 的内存可以被分为两个层面:物理内存和虚拟内存。
        如图 1.2.1 所示, Windows 让所有的进程都“相信”自己拥有独立的 4GB 内存空间。但是,我们计算机中那根实际的内存条可能只有512MB ,怎么可能为所有进程都分配 4GB 的内存呢?
这一切都是通过虚拟内存管理器的映射做到的。
        虽然每个进程都“相信”自己拥有 4GB 的空间,但实际上它们运行时真正能用到的空间根本没有那么多。内存管理器只是分给进程了一片“假地址”,或者说是“虚拟地址”,让进程们“认为”这些“虚拟地址”都是可以访问的。如果进程不使用这些“虚拟地址”,它们对进程来说就只是一笔“无形的数字财富”;当需要进行实际的内存操作时,内存管理器才会把“虚拟地址”和“物理地址”联系起来。

 PE文件与虚拟内存之间的映射

1)文件偏移地址(File Offset

数据在 PE 文件中的地址叫文件偏移地址,个人认为叫做文件地址更加准确。这是文件在磁盘上存放时相对于文件开头的偏移。

2)装载基址(Image Base)

PE 装入内存时的基地址。默认情况下, EXE 文件在内存中的基地址是 0x00400000 DLL文件是 0x10000000 。这些位置可以通过修改编译选项更改。

3)虚拟内存地址(Virtual AddressVA

PE 文件中的指令被装入内存后的地址。

4)相对虚拟地址(Relative Virtual AddressRVA

相对虚拟地址是内存地址相对于映射基址的偏移量。
虚拟内存地址、装载基址、相对虚拟内存地址三者之间有如下关系。
VA= Image Base+ RVA
如图 1.2.2 所示,在默认情况下,一般 PE 文件的 0 字节将对映到虚拟内存的 0x00400000位置,这个地址就是所谓的装载基址(Image Base)。
文件偏移是相对于文件开始处 0 字节的偏移, RVA (相对虚拟地址)则是相对于装载基址 0x00400000 处的偏移。由于操作系统在进行装载时“基本”上保持 PE 中的各种数据结构,所以文件偏移地址和 RVA 有很大的一致性。

dyuanXu
关注
专栏目录
节表和节——PE文件到内存的映射
跃然实验室
06-11 901
节表和节——PE文件到内存的映射 .data :未初始化的数据 Rsize:只存有用数据 PE文件执行时 ,Windows装载器建立好虚拟地址PE文件之间映射关系 Windows装载器在装载DOS部分、PE文件头部分和节表部分时不进行任何处理 装载节的时候将根据节的属性做不同的处理 内存页的属性 节的偏移...
PE文件的内存映射
做一个快乐学习者
10-13 1933
如果想要理解PE文件虚拟内存之间映射关系,首先要理解一些概念: 1.文件偏移地址(file offset) PE文件数据在硬盘中存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对文件开头的偏移。 2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址...
PE文件虚拟内存间的映射
emerald0106的专栏
02-14 1225
PE文件虚拟内存间的映射 2010-06-02 20:00 (1)静态反汇编工具看到的PE文件中某条指令的位置是相当于磁盘文件而言的,即所谓的文件偏移,我们可能还需要知道这条指令在内存中所处的位置,即虚拟内存地址(VA)。 (2)反之,在调试时看到的某条指令的地址虚拟内存地址,我们也经常需要回到PE文件中找到这条指令对应的机器码。 为此,我们需要弄清楚PE文件地址
虚拟内存--机制说明,地址映射
热门推荐
scoful的专栏
03-15 8万+
目录1. 内存不够用怎么办?1.1 解决方案1:分段1.2 解决方案2:分页2. 虚拟内存地址如何映射到磁盘的?2.1 映射关系存储在页表2.2 使用虚拟内存引发的时间复杂度问题2.2.1 解决方案:TLB2.3 使用虚拟内存引发的空间复杂度问题2.3.1 解决方案:多级页表2.4 聊聊所谓局部性原理2.4.1 用代码验证局部性的存在 1. 内存不够用怎么办? 众所周知, 在早期, 操作系统还没有分时的概念, 当时都是单进程执行, 只有一个进程结束了, 才能执行后一个进程. 但是这样的执行很容易想到的一个
PE文件详解:模块结构与内存映射
加载器通过映射机制将文件中的各个部分映射到虚拟地址空间,就像一个预制的房屋,每个模块都有明确的链接关系,包括与其它模块的连接。对于Win32程序,所有代码、数据、导入表和必要的模块数据结构都存储在一个连续...
windows内存加载PE.rar
08-17
2. **分配内存**:然后,使用MapViewOfFile函数在进程地址空间中分配一块内存区域,这块内存将与之前创建的文件映射对象关联,使得内存中的数据与磁盘上的PE文件内容同步。 3. **解析PE头**:系统读取PE头(位于...
简谈PE文件和内存
写代码的dodo
03-18 3123
关于PE文件(可执行文件,Portable Executale)结构的研究以前也看过,很久没回顾了。前两天看了本书又涉及到这方面的知识,在此分享一下个人心得,毕竟本人是还没出茅庐的菜鸟,可能有错误之处恳请大家指正。 我相信大家在接触PE听到的醉多的就是什么RVA,VA,Offset,Rsize,Vsize啥啥啥乱七八糟的名称,还有计算公式。我只想说,去你妹的!网络上关于这个的解释都是粘过来,复制
内存映射文件&PE内存映像
倒计时
12-01 2519
内存映射文件是指将硬盘上的文件不做修改的装载到内存中,(为什么?)在硬盘上,文件是被分割开存放的,当我们访问时,计算机需要先将不同位置的内容读取到内存,而有了内存文件映射,访问就会变得更轻松和快捷,由于读取磁盘操作放到了一起,读写效率会提高很多,所以许多大型的编辑软件经常会使用内存映射文件存取磁盘文件PE内存映像是指按照一定的规则装载到内存中,装入后的整个文件头内容不会发生变化,但PE文件
实现虚拟内存地址文件偏移地址的转换
as you know, nlp is fantasitc!
03-23 710
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
PE文件映射解析
城南以南花亦开
09-06 9071
解析 PE 文件的内存映射,了解 PE 文件的磁盘和内存对齐方式,编程实现 PE 文件的内存映射加载。
PE文件虚拟内存之间映射
LongStorm的博客
07-25 769
这篇主要来讲讲PE文件虚拟内存之间映射关系,PE是win32平台下可执行文件遵守的数据格式,常见的可执行文件(如 .exe 、.dll)都是典型的PE文件PE文件格式把可执行文件分为若干个数据节(section),下面列举几个主要的section. ...
PE结构 文件布局和内存布局的关联和区别
chenkangfu的专栏
12-01 319
windows pe文件布局和对应的内存布局,用图解方式,详细描述两者间的关系和区别。阅读后留下深刻印象,方便以后修改PE文件
内存 虚拟地址映射与转换
IForFree
07-25 1252
虚拟内存管理技术中所谓地址映射就是把程序的虚拟地址空间映射到物理地址空间,即把用虚拟地址编写的程序放入物理内存中,并将虚拟地址与物理地址 之间的对应关系建立起来。所谓地址变换指的是在程序实际运行时,将程序的虚拟地址转换成物理存储器能识别的物理地址地址映射是依赖于地址转换技术实 现的。 ...
PE文件与内存中的地址映射关系
Breeze的博客
12-05 8857
PE文件与(虚拟)内存中的地址映射 文件偏移地址 PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。 装载地址(Image Base) PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x1000000...
进程地址空间与虚拟存储空间的理解
因热爱而执着,因执着而成功。
01-24 1033
早期的内存分配机制在早期的计算机中,要运行一个程序,会把这些程序全都装入内存,程序都是直接运行在内存上的,也就是说程序中访问的内存地址都是实际的物理内存地址。当计算机同时运行多个程序时,必须保证这些程序用到的内存总量要小于计算机实际物理内存的大小。那当程序同时运行多个程序时,操作系统是如何为这些程序分配内存 的呢?下面通过实例来说明当时的内存分配方法:某台计算机总的内存大小是128M,现在同时...
PE文件格式概述
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
虚拟内存相关知识汇总(程序重定位)
最新发布
weixin_61967363的博客
03-17 401
虚拟地址相关知识,以及程序重定位讲解
Windows PE文件常识
qq_15054345的博客
03-15 414
不同模块的基地址一般式不同的,但是也有特殊情况,如果两个的基地址相同,就有曹子系统来决定这两个模块在虚拟地址空间中的额具体位置。该概念属于操作系统中的概念——每个空间都有独立的4GB(32为环境下)或者2^64B的虚拟地址空间,在这个空间中定位的地址虚拟内存地址,在PE中,进程本身的VA等于:进程的基地址+相对虚拟内存地址。此类地址是一种特殊地址,其计算方法不是从文件头或者内存某个某开的额基地址算起,而是从某个特定的位置算起,这种地址PE结构中很少见,例如在资源表中就出现过这样的地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值