PE文件地址与内存地址

最新推荐文章于 2022-09-07 15:22:36 发布
最新推荐文章于 2022-09-07 15:22:36 发布
阅读量3k 收藏
点赞数 1
分类专栏: 系统安全 文章标签: image exe dll 磁盘 file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shifters/article/details/7071883
版权

1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。

2.      PE文件地址与VA(virtualAddress)之间的转换。

文件偏移地址(file offset)文件相对于文件开头的偏移

装载基址(image base)PE装入内存时的基地址,EXE在内存中的基地址是0x00400000,DLL的基地址是0x10000000,这些位置可以通过修改编译选项更改

虚拟内存地址 (Virtual Address, VA)PE文件中的指令被装入内存后的地址

相对虚拟地址(Relative Virtual Address,RVA)相对虚拟地址是内存地址相对于映射基地址偏移量

之间的关系是

       VA= Image base+ RVA

3.      PE文件中的数据按照磁盘数据标准存放,以0x200字节为基本单位进行组织,当PE文件装载到内存时,将按照内存数据标准存放,以0x1000字节为基本单位,所以文件偏移地址和相对虚拟内存会有细微的差别,这种差别称为节偏移

它们之间的关系为

  文件偏移地址 = 虚拟内存地址(VA)- 装载基址(ImageBase)- 节偏移

               = RVA –节偏移

shifters
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows平台PE文件内存地址磁盘地址的转换(RVA to RAW),补丁原理
fw72fw72的博客
11-23 1599
内存地址转换为磁盘地址 计算公式为 RAW = RVA(相对虚拟地址) - VirtualAddress(内存中节区起始地址) + PointerToRawData(磁盘文件中节区起始位置) RVA = VA(虚拟地址) - ImageBase(基址) =>RAW = VA - ImageBase - VirtualAddress + PointerToRawData
PE文件结构详解
08-25
PE文件加载到内存后,内存中的版本称为模块(Module)。映射文件的起始地址称为模块句柄(hModule),也称为基地址ImageBase)。文件数据一般512字节(1扇区)对齐,32位内存一般4k(1页)对齐。 DOS部分 DOS头...
PE文件与虚拟内存间的映射
emerald0106的专栏
02-14 1210
PE文件与虚拟内存间的映射 2010-06-02 20:00 (1)静态反汇编工具看到的PE文件中某条指令的位置是相当于磁盘文件而言的,即所谓的文件偏移,我们可能还需要知道这条指令在内存中所处的位置,即虚拟内存地址(VA)。 (2)反之,在调试时看到的某条指令的地址是虚拟内存地址,我们也经常需要回到PE文件中找到这条指令对应的机器码。 为此,我们需要弄清楚PE文件地址
亲手教你改PE文件之加载基址的新玩法
蚁景网安学院
11-29 1080
走过路过,不要错过这个公众号哦!1.文章简介:通过本文,读者可以了解PE文件PE头组成结构,以及动手修改镜像基地址和大小,来理解对整个PE文件的影响,本文通过对系统自带工具calc,...
文件 偏移 基址_PE文件涉及的地址概念
weixin_36352719的博客
01-12 803
本文参考了 @旋风火鸡 的文章,链接如下:旋风火鸡:PE可执行文件格式详解​zhuanlan.zhihu.com虚拟地址(Virtual Address, VA),PE文件被加载开始运行后,进程的可执行代码、数据所在的地址空间称为虚拟地址空间,代码和数据在该空间内的地址称为虚拟地址。相对虚拟地址(Reverse Virtual Address, RVA),相对虚拟地址是虚拟地址相对于映射基址的偏移...
病毒程序的重定位+动态获取API+获取kernel32.dll地址+钩子+驻留内存
chopstics的专栏
07-07 3689
1. 病毒程序:1)宿主:被病毒感染的程序。例如:exe dll office文档   2)重定位:在病毒体中使用绝对位置规定的变量或入口地址,病毒体被插入到宿主程序时,这些规定的绝对位置可以已经被宿主程序使用,从而病毒体无法使用。为保证病毒体在宿主中正常执行,需要在病毒代码中使用重定位的技术。 3)重定位的实现: 病毒代码重定位: call @@1 @@1:pop edx ……….
PE文件的物理地址内存地址互相转换!
09-15
PE文件的物理地址内存地址互相转换!
cvi 解析PE文件获取导出函数表和虚拟地址
09-01
PE文件中,每个节都有自己的虚拟地址,当文件被加载到内存时,函数的虚拟地址就是其在进程地址空间中的位置。通过解析PE头,我们可以得到每个节的基地址,然后结合导出函数表的相对虚拟地址(RVA,Relative ...
PE文件结构详细图pdf
08-17
9. **重定位表**:由于内存地址的不确定性,PE文件需要在加载时进行重定位,即修改代码和数据的地址以适应实际的内存布局。 10. **调试信息**:可能包含用于调试的额外信息,如编译器生成的调试记录。 11. **安全...
PE文件区段.rar
04-06
标题中的“取PE文件区段”指的是在编程领域中处理可执行文件(Portable Executable, PE)时,获取其内存映像的特定部分,通常包括代码、数据等区段。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库...
PE导出表--查找入口地址
跃然实验室
06-10 1190
从序号查找入口地址 (1)定位到PE文件头。 (2)从PE文件头中的IMAGE_OPTIONAL_HEADER32结构中取出数据目录表,并从第一个数据目录中得到导出表的地址。 (3)从导出表的nBase字段得到起始序号。 (4)将需要查找的导出序号减去起始序号,就得到了函数在入口地址表中的索引。 (5)检测索引值是否大于导出表的NumberOfFunctions字段的值,如果大于后...
深入剖析PE文件
lwglucky的专栏
03-15 5682
PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、 基本结构。 上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变的;DOS stub部分的大小是可变的。) 一个PE文件至少需要两个Section,一个是存放代码,一个存放数据。NT上的PE
PE文件格式
weixin_49777720的博客
03-16 446
文章目录PE的基本概念MS-DOS头部PE文件头区块输入表输出表基地址重定位资源 PE的基本概念 PE文件将可执行程序分为不同的块,区块中包含代码和数据,各个区块按页边界对齐。区块没有大小限制,是一个连续的结构。每个块都有他自己在内存中的一套属性,例如这个块是否包含代码,是否只读或可读/写等。 基地址(ImageBase) PE文件通过Windows加载器加载入内存。 模块(Module):内存中的版本。 模块句柄(hModule):映射文件的起始地址(这个地址也可以称为是基地址ImageBase),可以
PE文件与内存中的地址映射关系
Breeze的博客
12-05 8777
PE文件与(虚拟)内存中的地址映射 文件偏移地址 PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对于文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。 装载地址Image Base) PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x1000000...
PE文件头常用字段总结
darthas的专栏
07-18 1913
文件头 3Ch偏移处:PE文件头的地址 PE文件头28h偏移处:入口点的RVA 2Ch:代码段RVA 30h处:data段RVA 34h处:默认装入地址 38h,3Ch:内存中alignment(一般为1000h,一页),文件中alignment(一般为200h) 50h:image尺寸 78h:数据目录表开始 目录表结构: 8bytes,DWORD 保存起始RVA,DWORD保存
PE结构---获取导入表中函数的实际地址
93Storm
12-17 876
系统流程图 流程图简要概述: 第一步:通过枚举模块,后去.exe的加载地址,这个地址就是PE在进程中的加载基址。 第二步:计算出导出表的位置。 第三步:将目标进程中的数据读到本进程中。 示例代码下载地址: http://download.csdn.net/detail/qq_21000273/9362435
实现虚拟内存地址文件偏移地址的转换
as you know, nlp is fantasitc!
03-23 650
写在前面:这是一次实践作业,用c来写似乎好写一点,但我比较熟悉python,也找到了python相关的库,就用python来实现下,用一晚上把前天写的代码变成了图形化界面,自学过程中,学到了许多东西,也把很多学过的都实践了一遍 目标: 实现过程: 原理 上课老师讲了原理,其实很好懂,主要是PE文件的结构我不太熟悉,一直反复看,贴下原理吧 实现思路 1、找python有没有操作 pe 相关的库,有一篇参考文章 ,pefile库可以来完成这次的作业 2、找到相关的变量 ImageBase(基址) Virt
PE文件导入表简介
weixin_43575859的博客
03-12 256
我们在编写程序的时候经常要导入外部的一些函数,通常我们只需要将包含函数的模块导入进来,然后我们直接用函数的名字就可以调用函数了。那么这具体是怎么做到的呢? 当我们使用动态链接库中的函数,只有在程序运行时,库里面的代码才会被调入内存,程序不运行时程序只包含了一些关于要导入的链接库和函数的信息,这些信息就在导入表中。(如果有多个程序使用同一个动态链接库,WIndows在物理内中只留一份库的代码,仅通...
操作系统 | 内存文件映射 —— 文件到内存的映射
最新发布
"You are worthy! You can do it!"
09-07 6546
这么做是为了减少磁盘的IO操作,为了提高性能而考虑的,程序访问一般都带有局部性,局部性原理,在这里主要是指的空间局部性,即我们访问了文件的某一段数据,那么接下去很可能还会访问接下去的一段数据,由于磁盘IO操作的速度比直接访问内存慢了好几个数量级,所以OS根据局部性原理会在一次 read()系统调用过程中预读更多的文件数据缓存在内核IO缓冲区中,当继续访问的文件数据在缓冲区中时便直接拷贝数据到进程私有空间,避免了再次的低效率磁盘IO操作。(页表由页号和块号组成)进程看到的所有地址组成的空间,就是虚拟空间。
PE文件结构详解:区块、地址与DOS头部
2. **内存映射与地址概念** - **基地址ImageBase)**:PE文件在内存中的起始地址,所有其他地址都是基于这个基址计算的。 - **文件偏移地址**:在磁盘上,每个区块相对于PE文件头部的相对位置。 - **虚拟地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值