虚拟内存相关知识汇总(程序重定位)

已于 2024-03-17 20:55:15 修改
阅读量361 收藏 7
点赞数 9
分类专栏: 软件安全 文章标签: 软件安全 程序重定位 反汇编 PE文件格式 虚拟地址
于 2024-03-17 20:53:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61967363/article/details/136789702
版权

前置知识:

Windows的内存可以被分为两个层面:物理内存和虚拟内存。其中,物理内存非常复杂,需要进入到Windows内核级别ring0才能看到。通常在用户模式下,用调试器看到的内存地址都是虚拟地址。

1.虚拟内存的定义

虚拟地址定义:用户编译程序时使用的地址称为虚拟地址或逻辑地址。其对应的存储空间称为虚拟内存或逻辑空间。

物理地址定义:计算机物理内存的访问地址则称为实际地址或物理地址,其对应的存储空间称为物理存储空间或主存空间。

程序重定位概念程序进行虚拟地址到实际地址的转换过程称为程序的重定位

2.PE文件与虚拟内存的映射

在程序重定位(漏洞分析)时,可能通常需要进行以下两种操作:

(1)通过静态反汇编工具看到的PE文件中某条指令的位置是相对于磁盘文件而言的,即文件偏移。但是我们常常还需要知道这条指令在内存中的位置,即虚拟地址。

(2)当我们在调试时看到的某条指令的地址是虚拟内存地址,我们就需要回到PE文件中找到这条指令对应的机器码。

总结:我们在调试漏洞或程序重定位的时候,需要将PE文件格式和反汇编结果联系起来。

3.程序重定位涉及到的重要概念

(1)文件偏移地址(File Offset):数据在PE文件中的地址叫文件偏移地址,这是文件在磁盘上存放时相对于文件开头的偏移。

(2)装载基址(Image Base):PE装入内存是的基址地址。默认情况下,"".exe"文件在内存中的基址是0x00400000,“.dll”文件是0x10000000,这些位置可以通过修改编译选项修改。

(3)虚拟内存地址(Virtual Address)**:PE文件".text“节中的指令被装入内存后的地址。**

(4)相对虚拟地址(Relative Virtual Address)**:相对虚拟地址是内存地址相对于映射基址的偏移量。**(注意:相对虚拟地址是偏移量,不是地址)

虚拟内存地址、映射基址、相对虚拟内存地址的关系:(重要)

相对虚拟内存地址(RVA)=虚拟内存地址(VA)-装载基址(IB)

4.PE文件和内存的映射关系图

通过以上示意图:我们对PE文件映射到内存有了直观的认识,但是我们发现将PE文件中的每个数据节映射到内存后,内存中对应的每个数据节变大了。这是因为PE文件数据的存放单位与内存数据存放单位不同造成的差异。

5.PE文件存储数据与内存存储数据的差异

(1)PE文件中的数据按照磁盘数据标准存放,以0x200字节为单位进行组织。当一个数据节不足0x200字节时,不足地方被0x00填充;当一个数据节大小超过0x200字节,会将下一个0x200字节分配给这个数据节使用。所以在PE文件中节的大小总是0x200的整数倍。

(2)同理,当代码装入内存后,将按照内存数据标准存放,并以0x1000字节为基本单位进行组织,当不足时会不全,当超过0x1000字节,会将下一0x1000块分配给改数据节使用,所以内存中的节总是0x1000的整数倍。

补充:分析PE文件可以使用工具——LordPE软件

原野心存
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一种定位虚拟操作系统内存泄漏的方法
07-26
本文描述了一种定位虚拟操作系统内存泄漏的方法,通过详细记录实时系统发生内存泄漏时,内存申请相关的系统运行状态,并在系统崩溃前将信息保存到硬件存储介质中,可以有效定位内存泄漏的原因。
2022全新版本虚拟资源知识付费小程序源码 激励视频广告+插屏广告+视频广告+横幅广告+格子广告
09-01
要功能: 会员系统,用户登录/注册 购买记录 收藏记录 基本设置 后台控制 导航颜色 字体颜色 标题等设置 流量主广告开关 小程序广告显示隐藏 广告主审核过审核 资源管理 后台可以添加5种类型资源 灵活设置 激励广告解锁资源 vip专享资源 免费资源 积分购买资源 阅读全文资源 公告 会员公告系统 VIP系统 用户可以开通VIP 查看vip专属资源 签到 签到互动二奖励 分类 资源分类 友情连接 跳转小程序 盈利能力:激励视频广告+插屏广告+视频广告+横幅广告+格子广告 =收益神器 适合任何类型的资源分享,手机软件、图片素材、行业文档等等,你的任何互眹网资源都可以套用到本小程序,类型就是你的分享资源类型,小程序是个百搭的框架 每页广告单独设置,高频率的插屏广告(收入超过激励视频),用户观看激励广告,用户解锁观看激励广告,只要你有定位精准的初始量,这个小程序的邀请解锁模式,会为你带来二次流量裂变,只要你的资源有价值,三次裂变四次
2022全新版本虚拟资源知识付费小程序源码
04-30
主要功能: 会员系统,用户登录/注册 购买记录 收藏记录 基本设置 后台控制 导航颜色 字体颜色 标题等设置 流量主广告开关 小程序广告显示隐藏 广告主审核过审核 资源管理 后台可以添加5种类型资源 灵活设置 激励广告解锁资源 vip专享资源 免费资源 积分购买资源 阅读全文资源 公告 会员公告系统 VIP系统 用户可以开通VIP 查看vip专属资源 签到 签到互动二奖励 分类 资源分类 友情连接 跳转小程序 盈利能力:激励视频广告+插屏广告+视频广告+横幅广告+格子广告 =收益神器 适合任何类型的资源分享,手机软件、图片素材、行业文档等等,你的任何互眹网资源都可以套用到本小程序,类型就是你的分享资源类型,小程序是个百搭的框架 每页广告单独设置,高频率的插屏广告(收入超过激励视频),用户观看激励广告,用户解锁观看激励广告,只要你有定位精准的初始量,这个小程序的邀请解锁模式,会为你带来二次流量裂变,只要你的资源有价值,三次裂变四次
变现小程序新源码 虚拟资源变现知识付费小程序/激励广告流量主
09-01
运行环境:php5.6≥+mysql (环境配置为调试时的配置) 域名需配置ssl后才可以通过https访问 主要功能 会员系统,用户登录/注册 购买记录 收藏记录 基本设置 后台控制 导航颜色 字体颜色 标题等设置 流量主广告开关 小程序广告显示隐藏 广告主审核过审核 资源管理 后台可以添加5种类型资源 灵活设置 激励广告解锁资源 vip专享资源 免费资源 积分购买资源 阅读全文资源 公告 会员公告系统 VIP系统 用户可以开通VIP 查看vip专属资源 签到 签到互动二奖励 分类 资源分类 友情连接 跳转小程序 盈利能力:激励视频广告+插屏广告+视频广告+横幅广告+格子广告 =收益神器 >变现能力如何? 每页广告单独设置,高频率的插屏广告(收入超过激励视频),用户观看激励广告,用户解锁观看激励广告,只要你有定位精准的初始量,这个小程序的邀请解锁模式,会为你带来二次流量裂变,只要你的资源有价值,三次裂变四次 >使用场景是哪里? 推荐将资源获取页直接添加到公众号文章页,用户可以在看完资源介绍后直接打开小程序获取资源,从公众号广告到小程序
代码重定位虚拟内存.pptx
08-09
代码重定位虚拟内存.pptx
计算机网络知识汇总(超详细整理)
发光如星
07-02 41万+
为了准备期末考试,同时也是为了之后复习方便,特对计算机网络的知识进行了整理。本篇内容大部分是来源于我们老师上课的ppt。而我根据自己的理解,将老师的PPT整理成博文的形式以便大家复习查阅,同时对于一些不是很清楚的地方,我去查阅了相关资料进行补充,当然也会有部分个人看法夹带其中来帮助大家理解。
日常知识点之内存泄露定位手段(c语言hook malloc相关方式)
yun6853992的博客
01-16 3223
日常闲听公开课,又是自己不会的一个知识点,做笔记整理: 如何确定有内存泄露问题,如何定位到内存泄露位置,如何写一个内存泄漏检测工具? 1:概述 内存泄露本质:其实就是申请调用malloc/new,但是释放调用free/delete有遗漏,或者重复释放的问题。 内存泄露会导致的现象:作为一个服务器,长时间运行,内存泄露会导致进程虚拟内存被占用完,导致进程崩溃吧。(堆上分配的内存) 如何规避或者发现内存泄露呢? ===》1:如何检测有内存泄露?(除了内存监控工具htop,耗时,效果不明显) ===》2:如何定位
操作系统--内存管理知识整理
克克克克业业的学习记录
07-04 1811
操作系统--内存管理超详细整理!操作系统之内存管理程序的装入和链接(确定逻辑地址产生的过程)连续分配管理方式非连续分配管理方式基本分页存储管理方式多级页表TLB基本分段存储管理(这是早于分页的)段页式内存管理 操作系统之内存管理 学完一遍,做题像没学一样,特来整理 借用了小林coding图解帮助记忆,????膜大佬 多个进程同时运行,要避免掉单片机那种绝对物理地址,将进程地址分隔开,获得自己的虚拟地址(逻辑),互不影响。 内存管理的功能: 内存空间的分配和回收 地址转换 内存空间的扩充 存储保护 程
黑客级别的文章:把动态库的内存操作玩出了新花样
IOT物联网小镇
11-02 896
作 者:道哥,10+年嵌入式开发老兵,专注于:C/C++、嵌入式、Linux。 关注,回复【书籍】,获取 Linux、嵌入式领域经典书籍;回复【PDF】,获取所有原创文章( PDF 格式)。 目录 文章目录理论与实践开始新的动态库面临的问题怎么做?ELF概述ELF 文件头SHT(section header table)PHT(program header table)连接视图(Linking View)和执行视图(Execution View).dynamic section动态链接器(li.
Java知识体系最强总结(2021版)
热门推荐
ThinkWon的博客
12-18 109万+
更新于2019-12-15 10:38:00 本人从事Java开发已多年,平时有记录问题解决方案和总结知识点的习惯,整理了一些有关Java的知识体系,这不是最终版,会不定期的更新。也算是记录自己在从事编程工作的成长足迹,通过博客可以促进博主与阅读者的共同进步,结交更多志同道合的朋友。特此分享给大家,本人见识有限,写的博客难免有错误或者疏忽的地方,还望各位大佬指点,在此表示感激不尽。 文章目录...
计算机系统 基础知识汇总,超全!!!
weixin_46486131的博客
09-20 6万+
计算基础知识点合集来啦!!! 更多知识请关注我!!! 第一章 计算机系统 第一章 计算机系统1.概述1.1.1 计算机的发展历程1.1.2 计算机体系结构1.2 计算机硬件系统1.2.1 中央处理器(central processing unit)1.2.2 计算机的基本工作原理1.计算机指令格式2.计算机指令的寻址方式3. 计算机指令系统4. 计算机执行指令的基本过程5.指令执行的时序1.2.3 存储器1.RAM存储器5. 存储器的层次化结构1.2.4 数据的内部表示1.进位计数制及其相互转换2.定点数的
OS知识汇总(考研用)——第三章:内存管理
qq_44709990的博客
09-15 5007
OS知识汇总(考研用)——第三章:内存管理  本文参考于《2021年操作系统考研复习指导》(王道考研),《计算机操作系统教程》 文章目录OS知识汇总(考研用)——第三章:内存管理3.内存管理3.1 内存管理概念 3.1.1 内存管理的基本原理和要求  1.程序装入和链接  2.逻辑地址空间与物理地址空间  3.内存保护 3.1.2 覆盖与交换  1.覆盖 3.内存管理 3.1 内存管理概念  3.1.1 内存管理的基本原理和要求   OS对内存的划分和动态分配,就是内存管理的概念   内存管理的功能有:
计算机408知识汇总,2021计算机考研:408重点知识汇总
weixin_35513543的博客
06-16 3039
统考大纲把计组的考查目标定位为理解单处理器计算机系统中各部件的内部工作原理、组成结构以及相互连接方式,具有完整的计算机系统的整机概念;理解计算机系统层次化结构概念,熟悉硬件与软件之间的界面,掌握指令集体系结构的基本知识和基本实现方法;能够运用计算机组成的基本原理和基本方法,对有关计算机硬件系统中的理论和实际问题进行计算、分析,并能对一些基本部件进行简单设计。计算机软件基础总体上来说是一门识记和理解...
万字深剖虚拟内存
yueliangmua的博客
12-01 947
基于csapp原书讲述逻辑进行口语化重点总结,帮助大家也帮助自己深刻理解虚拟内存
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
【课程设计】实现的金融风控贷款违约预测python源码.zip
05-16
【课程设计】实现的金融风控贷款违约预测python源码.zip
node-v0.10.27-x86.msi
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
课设毕设基于SSM的高校二手交易平台-LW+PPT+源码可运行.zip
05-16
课设毕设基于SSM的高校二手交易平台--LW+PPT+源码可运行
LED程序内存重定位实验的实验目的
07-11
实验目的是通过LED程序内存重定位实验,了解和掌握程序的内存分配和重定位技术。通过实验,可以学习到: ...通过这个实验,可以加深对程序内存管理和重定位技术的理解,为后续开发和优化提供基础知识和实践经验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值