- 博客(4)
- 收藏
- 关注
RSS订阅原创 PE内存映射机制(总结于小甲鱼)
前面讲了DOS,PE头。下面详细讲一下映射到内存后有那些变化前三部分DOS头部,PE头,块表加载到内存不会做任何改变。而后面就会有一定的变动:内存页的属性> 对于磁盘映射文件来说,所有的页都是按照磁盘映射文件函数指定的属性设置的,但是在装载可执行文件时,于节对应的内存页属性要按照节的属性来设置。所以,在同属一个模块的内存中,从不同映射过来的内存页的属性是不同的节的偏移地
2017-11-01 22:27:58
429
原创 PE头部的解析(总结于小甲鱼)
上次讲到DOS现在讲下紧跟在DOS头部后面的PE头:PE头映射的是IMAGE_NT_HEADER结构,里面包含PE装载器用到的重要字段
2017-10-29 12:09:58
1222
原创 PE的DOS头部(总结于小甲鱼)
上次粗略说到PE的结构,这次说下PE结构中的DOS头部;ok请看下图:对呀!DOS头部就是一个结构体,内部成员都是指针;前面的‘+0H’什么的是我加上去的内存地址编号,上次说过每个PE程序映射到内存 地址都是从0开始。你可以把DOS头部看成是打上win的钢印,不然win是不认你的这里重点记住两个成员就可以啦!>e_magic //标记了这是DOS一个可执行文件>
2017-10-29 11:10:10
397
原创 PE详解(根据小甲鱼总结)
PE是win系统下的一种执行文件格式;在win64位系统下叫‘PE+’,只是将32位字段扩展成了64位字段。PE格式的定义主要位于winnt.h头文件中下图PE格式表:PE装载器(又叫win加载器):遍历PE文件并决定那一部分被映射到内存;高的文件地址映射到高的内存地址下图为内存地址映射图:基地址:文件最开始的地址叫做基地址,偏移地址
2017-10-28 22:23:46
487
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人