节表和节——PE文件到内存的映射

最新推荐文章于 2022-09-17 13:07:57 发布
最新推荐文章于 2022-09-17 13:07:57 发布
阅读量904 收藏 3
点赞数 2
分类专栏: 安全 PE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyxcome/article/details/91405852
版权

 

节表和节——PE文件到内存的映射 

 

 

.data  :未初始化的数据

Rsize:只存有用数据

 

 

 

PE文件执行时 ,Windows装载器建立好虚拟地址和PE文件之间的映射关系

 

Windows装载器在装载DOS部分、PE文件头部分和节表部分时不进行任何处理

 

装载节的时候将根据节的属性做不同的处理

     内存页的属性

     节的偏移地址

     节的尺寸

     不进行映射的节

 

 

节表和节——节表

 

PE文件头后是节表,在winnt.h下如下定义

typedef struct _IMAGE_SECTION_HEADER {

BYTE Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text”

//IMAGE_SIZEOF_SHORT_NAME=8

union {

DWORD PhysicalAddress;//物理地址

DWORD VirtualSize;//真实长度,这两个值是一个联合结构,可

最低0.47元/天 解锁文章
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
dvlinker的技术专栏
11-28 1万+
PE文件格式总结 - DOS文件头、PE文件头、节表和表详解
WIN32汇编语言程序设计——查看PE文件导出表
最新发布
evagenius的博客
03-24 531
PE文件被执行的时候,Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入,再根据DLL文件中的函数导出信息对被执行文件的IAT表进行修正。在这些包含导出函数的DLL文件中,导出信息被保存在导出表中,通过导出表,DLL文件向系统提供导出函数的名称、序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程。通过打开文件后拿到的句柄,用GetFileSize函数拿到文件的长度。(1) 子程序参数1:已经读取到内存中的文件头的地址。2. 获取数据块的文件偏移地址。
Windows进程通信之PE文件共享节
danny的记事本
08-11 2139
本文由danny发表于 http://blog.csdn.net/danny_share   说明:建议先下载本文配套工程,其中 SectionDLL、SectionMain工程、SectionASub工程,SectionBSub工程分别用于演示进程间通信的DLL工程、主进程和两个子进程 下载地址:http://download.csdn.net/detail/danny_share/77
PE文件与虚拟内存之间的映射
LongStorm的博客
07-25 771
这篇主要来讲讲PE文件和虚拟内存之间的映射关系,PE是win32平台下可执行文件遵守的数据格式,常见的可执行文件(如 .exe 、.dll)都是典型的PE文件PE文件格式把可执行文件分为若干个数据节(section),下面列举几个主要的section. ...
虚拟内存PE文件与虚拟内存之间的映射
dyuanXu的博客
09-17 1056
虚拟内存PE文件与虚拟内存之间的映射
共享可写节包含重定位_PE文件格式---节和节表
weixin_39641334的博客
12-21 219
17.1.4 节表和节从排列位置来看,PE文件在DOS部分和PE文件头部分以后就是节表和多个不同的节(如图17.1中的③和④所示)。要理解什么是节表,什么是节以及它们之间的关系,那就首先要了解Windows是如何将PE文件映射内存的。1. PE文件内存映射在执行一个PE文件的时候,Windows并不在一开始就将整个文件读入内存,而是采用与内存 映射文件类似的机制,也就是说,Windows装...
Windows进程通信之PE文件共享节配套源码
08-13
danny_share博客Windows进程间通信之PE文件共享节配套源码, 分为 SectionDLL、SectionMain和SectionASub和SectionBSub个工程实现使用PE文件共享节通信, 1.不要F5直接运行 2.编译生成debug目录或者release目录以后,手动双击SectionMain.exe点击Test按钮即可
加载PE文件——内存映射文件
跃然实验室
06-10 761
将程序安装内存对齐的方式读取到内存有两种方法: 1、内存映射文件 2、PE加载器模拟法 1、内存映射文件 lpHeader所指内存是只读的,尽管是PAGE_READWRITE // LoadPeWithMap.cpp : Defines the entry point for the console application. // #include "stdafx.h" #...
另类傀儡进程——利用内存映射文件与APC注入实现
qq_41861225的博客
02-25 930
**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程的实现技术有所不同,故学习整理。 一、 傀儡进程 傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。 一般来说傀儡进程的创建流程分别为以下几点: 以挂起的方式进行创建...
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
PE文件内存中的地址映射关系
Breeze的博客
12-05 8871
PE文件与(虚拟)内存中的地址映射 文件偏移地址 PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对于文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。 装载地址(Image Base) PE文件装入内存时的基础地址,一般exe文件内存中的基址是0x00400000,dll文件时0x1000000...
PE文件格式分析
shitdbg的博客
11-09 8368
一、PE的基本概念     PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任何扩展名。     认识PE文件不是作为单一内存映射文件被装入内存是很重要的。Windows加载器(又称PE加载器)遍历PE文件并决定文件的哪一部分被映射,这种映射方式是将文件较高的偏
PE(dll、exe)文件内存加载(手动映射)小记
qq_31314583的博客
09-28 2396
前言 PE文件即Windos操作系统下的可执行文件文件结构名称,其中包含但不限于.dll .exe .sys .ocx等等。内存加载PE顾名思义就是通过内存,而非文件。这里的内存指代的是直接加载源。 这个技术其实很早之前就有了,网上也有很多开源可参考的代码,但是仅做一个伸手党那是绝对不行的,首先这些历史悠久的代码存在或多或少的bug,或莫名的崩溃咯,或32和64不兼容咯,各种问题皆是。当然,这些前辈先贤的代码一定是具有非常大的参考和开拓意义的。 技术用途 ...
PE文件格式详解(3)
Matrix_Designer的专栏
09-13 606
<br />作者:MSDN <br /> 译者:李马 (http://home.nuc.edu.cn/~titilima) <br /><br />预定义段<br /><br />    一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.
滴水--------------PE节表解析
clayoa的博客
12-19 845
上一篇文章我们说到PE头解析,我们这次继续解析节表 先学习一个新的类型【节表中需要用到】 联合体: 什么是联合体? 在C语言中,变量的定义是分配存储空间的过程。一般的,每个变量都具有其独有的存储空间,那么可不可以在同一个内存空间中存储不同的数据类型(不是同时存储)呢?使用联合体就可以达到这样的目的。 这样定义: union 联合名 { 成员表 }; 联合体和结构体的区别: 结构体和共用体的区别在于:结构体的各个成员会占用不同的内存,互相之间没有影响;而共用体的所有成员占用同一.
用Winhex软件解析PE文件
考拉研究僧的博客
11-12 6019
打开user32.dll3C H 处为PE头位置:0x F8 DOS头部分: 转到0x F8处PE文件标志(4H字节):0x 00 00 45 50映像文件头(14H字节):NumberOfSections : 0x 00 06 –> 6 SizeOfOptionalHeader:0x 00 E0 –> 224可选映像头: 部分 SizeOfCode(可执行代码长度): 0x 00 08
Dll注入--修改PE文件
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
PE文件格式详解(下)
08-04 1044
预定义段   一个Windows NT的应用程序典型地拥有9个预定义段,它们是.text、.bss、.rdata、.data、.rsrc、.edata、.idata、.pdata和.debug。一些应用程序不需要所有的这些段,同样还有一些应用程序为了自己特殊的需要而定义了更多的段。这种做法与MS-DOS和Windows 3.1中的代码段和数据段相似。事实上,应用程序定义一个独特的段的方法是使用标
内存映射技术解析:从文件内存的高效操作
文档指出,内存映射文件是一种将磁盘文件直接映射到进程地址空间的技术,避免了传统的I/O操作,尤其适用于处理大数据量的文件。" 内存映射是操作系统提供的一种高效访问文件的技术,它允许程序通过内存操作来间接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值