pe文件运行过程

最新推荐文章于 2024-09-03 20:17:53 发布
最新推荐文章于 2024-09-03 20:17:53 发布
阅读量369 收藏 9
点赞数 7
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enrique11/article/details/133875696
版权

分析vc6 生成的hello world 程序,

 一、pe入口为 _WinMainCRTStartup (ida6.5显示的函数名,下面是ida7.5转的C代码),简单来说,就是先调用HeapCreate建立一个可变大小的堆,在该堆上申请几块内存用于管理小内存变量,如果是变量较大则调用HeapAlloc。

二、实验

        1、    void* p=HeapCreate(0,4096,0);   

                 void * e=HeapAlloc(p,0,16482);

运行之后,p=0x003f0000,e=0x003f07e0,此时堆应该变大了

        2、   void* p1=HeapCreate(0,4096,0);
                void* p2=HeapCreate(0,4096,0);
                void * e=HeapAlloc(p1,0,16482);

运行之后 p1=0x00560000 p2=0x01f30000 e=0x005607e0

总结:HeapCreate 中预留空间,HeapAlloc申请的空间超范围,则扩大Heap

void __noreturn start()
{
  DWORD v0; // eax
  HMODULE v1; // eax
  int nShowCmd; // [esp+Ch] [ebp-6Ch]
  CHAR *lpCmdLine; // [esp+14h] [ebp-64h]
  int Code; // [esp+18h] [ebp-60h]
  struct _STARTUPINFOA StartupInfo; // [esp+1Ch] [ebp-5Ch] BYREF
  CPPEH_RECORD ms_exc; // [esp+60h] [ebp-18h]

  v0 = GetVersion();
  dword_4236E0 = BYTE1(v0);
  dword_4236DC = (unsigned __int8)v0;
  dword_4236D8 = BYTE1(v0) + ((unsigned __int8)v0 << 8);
  dword_4236D4 = HIWORD(v0);
  if ( !_heap_init(0) )
    fast_error_exit(28);
  ms_exc.registration.TryLevel = 0;
  _ioinit();
  dword_42502C = (int)GetCommandLineA();
  dword_4236B8 = __crtGetEnvironmentStringsA();
  _setargv();
  _setenvp();
  _cinit();
  StartupInfo.dwFlags = 0;
  GetStartupInfoA(&StartupInfo);
  lpCmdLine = (CHAR *)_wincmdln();
  if ( (StartupInfo.dwFlags & 1) != 0 )
    nShowCmd = StartupInfo.wShowWindow;
  else
    nShowCmd = 10;
  v1 = GetModuleHandleA(0);
  Code = WinMain(v1, 0, lpCmdLine, nShowCmd);
  exit(Code);
}

麻雀123
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
PE文件windows加载执行过程
weixin_41038905的博客
03-21 1207
Windows进程创建过程 第一阶:打开目标映像文件,创建Section 由CreateProcess函数完成 字符串采用ASCII字符,则使用CreateProcessA函数 字符串采用Unicode字符,则使用CreateProcessW函数 由于windows内部都是Unicode字符,所以CreateProcessA函数只是将ASCII字符转换成Unicode字符后继续调用的CreateProcessW函数 CreateProcess函数步骤: 1.检查PE文件的有效性 2.为PE文件分配Sect
PE文件PE加载的过程
weixin_43742894的博客
03-31 2130
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一可读可写可执行的内存,并填充为0 3、将读取的数据映射到内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
pe文件上添加执行代码
珍惜
04-20 466
PE文件上添加代码所必须的几个步骤: (1)将添加的代码写到目标PE文件中,这代码既可以插入原代码所处的节空隙中(由于每个节保存在文件中时是按照FileAlignMenu的值对齐的,所以节的最后必然会有一引动空余的空间),也可以通过添加一个新的节来附在原文件的尾部。 (2)PE文件原来的入口指针必须保存在添加的代码中,这样,这代码执行完毕以后可以转移到原始文件执行。 (3)PE文件中的入...
PE执行流程
SXXYNHHXX的博客
09-01 313
PE介绍
PE文件加载流程
dohxxx的博客
03-20 4473
PE加载器流程 1.将PE文件用ReadFile读取数据 char szFileName[] = "1.exe"; //打开文件,设置属性可读可写 HANDLE hFile = CreateFileA(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ | FILE_SHARE_WRITE, ...
PEChecksum计算PE文件校验和的工具
10-31
在Windows操作系统中,PE文件格式是可执行文件(如.exe和.dll)的标准结构。PEChecksum软件的主要功能是对这类文件进行校验和计算,以确保文件的完整性和正确性。 PE文件结构是微软在Windows操作系统中引入的一种二...
PE文件格式分析及修改.doc
02-21
同时,还需要了解 Loader 的装入过程PE 文件执行过程PE 文件格式的分析和修改对软件开发和 Reverse Engineering 等领域非常重要。只有通过对 PE 文件格式的深入分析和理解,才能更好地开发和维护软件应用...
VC源码:PE文件格式的判断.rar_pe_pe文件_判断PE文件_文件格式
09-23
压缩包中的"PE文件格式的判断"源码很可能是实现这一过程的示例。它可能会包含以下几个步骤: 1. 打开文件并创建映射视图。 2. 检查DOS头以确保是PE格式。 3. 解析PE头,检查Magic Number、Machine Type等关键字。 ...
pe.rar_PE__pe_pe文件实例
09-14
运行时,PE文件会被加载到进程的地址空间中,映射过程确保了代码和数据在正确的位置执行。"pe_map.c"可能包含了实现这一过程代码示例。 4. **版本信息(Version Information)** "versinfo.c"和"versinfo.h...
微软PE执行文件格式权威文档
03-13
PE文件格式是Windows系统中用于可执行文件、动态链接库(DLLs)和驱动程序的主要格式。COFF文件则是用于静态链接库和对象文件,这些文件在编译和链接过程中使用,但不直接被操作系统执行。这些文件格式在Windows NT...
浅析synchronized锁升级的原理与实现 1
水w的博客
09-01 1187
浅析synchronized锁升级的原理与实现
Java Web开发中,如何保障应用的安全性?请列举常见的安全策略和措施。请解释Spring框架中的事务管理,包括声明式事务和编程式事务。
最新发布
weixin_53180424的博客
09-03 675
在实际开发中,声明式事务管理因其非侵入性和易维护性而更受欢迎。它允许开发者将注意力集中在业务逻辑上,而不是事务管理的细节上。然而,在某些特殊场景下,编程式事务管理可能提供更灵活的控制力。因此,在选择事务管理方式时,应根据实际需求和场景来决定。
计算机毕业设计选题推荐-任务管理系统-项目任务分配系统-Java/Python项目实战
IT研究室的博客
09-03 559
随着信息化技术的迅猛发展,各类企业和组织越来越依赖于高效的任务管理系统以保证其日常运营的顺利进行。根据IDC(国际数据公司)发布的报告显示,全球企业在数字化转型上的投入已达数千亿美元,其中相当一部分资金用于提升企业内部的管理效率。任务管理系统作为企业信息化的重要组成部分,能有效帮助企业分配、监控和反馈任务,从而提高工作效率。然而,尽管市场上已有多种任务管理系统,它们在功能、用户体验和适用性上存在显著差异。
操作系统原子操作
zzt_is_me的博客
08-28 8680
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
MapStruct-Java实体转换利器
m0_63622279的博客
09-02 399
MapStruct 是一个用于生成映射器接口的代码生成库,主要用于简化 Java 对象之间的转换过程。在处理不同模型之间数据转换时,MapStruct 可以自动生成实现类减少手工转换逻辑的工作量。使用场景:各种模型之间的转换。BODTOVOPOJO引入mapstruct的pom依赖定义mapper接口(注意,这里不是MyBatis的Mapper哦),使用@Mapper注解标记,并在接口中声明映射方法。编写映射方法,(从xxxO转换为yyyO,模型之间的转换)在业务层中使用Mapper。
JavaWeb(基于SpringBoot开发)全总结(1)
2302_81420820的博客
09-02 841
再到spring boot中去设置,当我们遇到报错不要紧,我们直接再复制我们在DG上面写的sql语句,到idea那个数据库那里再运行一次,2.由于使用不同开发工具开发出来的略有不同,导致不能够互通,所以国际规定,使用maven创建的项目为统一标准结构,也就是下图所示的结构。还有我们写的案例里面的mapper层写的sql语句的新增,删除,等等操作,都是基于mybatis来实现的。例如:传入的是路径参数,json格式的参数等等,根据不同的参数我们使用不同的注解。
输入三个正整数,找出不大不小的值
laocooon的博客
08-30 1682
/ 找出最大值,找出最小值,然后不是最大值也不是最小值的。// 2、输入三个正整数,找出不大不小的值。
SpringBoot日常:扩展接口之CommandLineRunner和ApplicationRunner
qq_32590535的博客
08-28 544
日常开发中我们可能经常会遇到这样的场景,像启动容器完成后需要去执行一些业务逻辑,SpringBoot给我们提供了两个接口来帮助我们实现这种需求,两个启动加载接口分别是CommandLineRunner和ApplicationRunner。本文简单介绍如何使用该扩展点实现业务。
Java并发编程 进程与线程
m0_56369671的博客
08-28 1385
操作系统中有一个组件叫做任务调度器,将 cpu 的时间片(windows下时间片最小约为 15 毫秒)分给不同的程序使用,只是由于 cpu 在线程间(时间片很短)的切换非常快,人类感觉是 同时运行的。但如果是四核 cpu,各个核心分别使用线程 1 执行计算 1,线程 2 执行计算 2,线程 3 执行计算 3,那么 3 个线程是并行的,花费时间只取决于最长的那个线程运行的时间,即 11ms 最后加上汇总时间只会花费 12ms 注:需要在多核 cpu 才能提高效率,单核仍然时是轮流执行
微软PE执行文件格式详解:官方9.3版规格
在编译过程中,COFF文件通常被用来保存未链接的机器代码和符号信息,以便于链接器将这些部分与其他COFF或PE文件结合在一起形成最终的可执行文件。 文档特别指出,虽然这份文档提供了开发Windows工具和应用的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麻雀123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值