PE文件的内存映射

最新推荐文章于 2024-04-23 09:32:29 发布
最新推荐文章于 2024-04-23 09:32:29 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: Window核心 文章标签: PE RVA VA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzy1448331580/article/details/83038481
版权

如果想要理解PE文件与虚拟内存之间的映射关系,首先要理解一些概念:

1.文件偏移地址(file offset) PE文件数据在硬盘中存放的地址就叫做文件偏移地址。用winhex程序查看文件时的offset就是文件偏移地址了。文件偏移地址就是指文件在磁盘上存放时相对于文件开头的偏移。

2.装载基址(image base) 装载基址就是指pe文件装入内存时的基地址,一般情况下,EXE文件的装载基址都是0x00400000,但是也可以更改的,尤其是dll文件。

3.虚拟内存地址(virtual address,VA) 虚拟内存地址就是指pe文件被装入内存之后的地址。

4.相对虚拟地址(relative virtual address ,RVA) 相对虚拟地址指的是没有加算装载基址情况下的内存地址。

然而虚拟内存地址和装载基址和相对虚拟地址之间的关系如下

虚拟内存地址(VA)=装载基址(image base)+相对虚拟地址(RVA)

下面是我偷来的一张图片

不难看出,PE文件映射到虚拟内存变化很大很大。

在这里还有说明一下文件偏移的第一个字节是从0x00000000处开始的,而虚拟内存地址是从装载基址处开始的,也是就是从0x00400000处开始。

由于操作系统在装载pe文件的时候还是按照pe文件中的各种数据结构来映射的,所以文件偏移地址与相对虚拟地址还是有一定的相似之处的,他们之间的差异是由于数据单位存放位置不同而造成的。

pe文件的数据一般都是按照0x200字节为基本单位进行组织存放的,当一个数据区段不够0x200的时候,没有用到的空间用

最低0.47元/天 解锁文章
ThatAllOver
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PE内存映射机制(总结于小甲鱼)
imHaoHao的博客
11-01 429
前面讲了DOS,PE头。下面详细讲一下映射内存后有那些变化 前三部分DOS头部,PE头,块表加载到内存不会做任何改变。 而后面就会有一定的变动: 内存页的属性> 对于磁盘映射文件来说,所有的页都是按照磁盘 映射文件函数指定的属性设置的,但是在装载可执行文件时,于节对应的内存 页属性要按照节的属性来设置。所以,在同属一个模块的内存中, 从不同映射过来的内存页的属性是不同的 节的偏移地
PE文件与虚拟内存间的映射
阿草
07-31 3317
(1)静态反汇编工具看到的PE文件中某条指令的位置是相当于磁盘文件而言的,即所谓的文件偏移,我们可能还需要知道这条指令在内存中所处的位置,即虚拟内存地址(VA)。 (2)反之,在调试时看到的某条指令的地址是虚拟内存地址,我们也经常需要回到PE文件中找到这条指令对应的机器码。 为此,我们需要弄清楚PE文件地址和虚拟内存地址之间的映射关系。首先,我们先看几个重要的概念。 文件偏移地址(File
虚拟内存PE文件与虚拟内存之间的映射
dyuanXu的博客
09-17 1017
虚拟内存PE文件与虚拟内存之间的映射
探索 PE 文件内存加载器:PEMemoryLoader
最新发布
gitblog_00068的博客
04-23 345
探索 PE 文件内存加载器:PEMemoryLoader 项目地址:https://gitcode.com/aplyc1a/PEMemoryLoader 在软件开发和逆向工程的世界中,PEMemoryLoader 是一个值得探索的开源工具。它允许你在不依赖于传统的文件系统加载方式的情况下,动态地在内存中加载PE(Portable Executable)文件。对于那些想要进行二进制分析、安全研究或者...
PE文件磁盘与内存映像结构图
weixin_33910137的博客
02-19 519
内存映射文件&PE内存映像
倒计时
12-01 2489
内存映射文件是指将硬盘上的文件不做修改的装载到内存中,(为什么?)在硬盘上,文件是被分割开存放的,当我们访问时,计算机需要先将不同位置的内容读取到内存,而有了内存文件映射,访问就会变得更轻松和快捷,由于读取磁盘操作放到了一起,读写效率会提高很多,所以许多大型的编辑软件经常会使用内存映射文件存取磁盘文件PE内存映像是指按照一定的规则装载到内存中,装入后的整个文件头内容不会发生变化,但PE文件
PE文件映射解析
城南以南花亦开
09-06 8983
解析 PE 文件内存映射,了解 PE 文件的磁盘和内存对齐方式,编程实现 PE 文件内存映射加载。
虚拟内存的简单介绍及PE文件内存映射
迪迦 • 奥特曼
11-09 549
虚拟内存的简单介绍 计算机中的内存分为物理内存和虚拟内存,一般情况下,物理内存对于我们是不可见的,而且其原理也非常复杂,需要进入内核层(Ring0)才可能与物理内存打交道。通常我们所看到的全都是虚拟内存,如图2所示。 图2 虚拟内存映射关系,为上图 通过图2不难发现,系统为每一个正在运行的进程都分配了4GB的虚拟内存,在虚拟内存与物理内存之间是虚拟内存管理器控制着它们之间的调度,虚拟内存与进程...
PE文件加载到内存的主要步骤
gzfqh的专栏 →底层代码研究
04-16 7760
1 当PE文件被执行,PE加载器会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载器会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载器读取节表中的信息,然后采用内存文件映射的方法将这些节映射内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射内存后,P
PE文件结构详解
08-25
PE文件内存映射 PE文件在磁盘上的结构和加载到内存后的结构有所不同。PE文件加载到内存后,内存中的版本称为模块(Module)。映射文件的起始地址称为模块句柄(hModule),也称为基地址(ImageBase)。文件数据...
TPE.rar_pe文件
09-24
这涉及到理解二进制文件格式、内存映射以及Windows API的使用。对于任何希望在Windows平台上进行系统级编程或逆向工程的人来说,了解PE文件格式都是至关重要的。 此外,这个项目也可以作为一个学习资源,帮助开发者...
pe.rar_PE__pe_pe文件实例
09-14
"pe_map.exe"和"pe_map.c"可能与PE文件内存映射有关。在运行时,PE文件会被加载到进程的地址空间中,映射过程确保了代码和数据在正确的位置执行。"pe_map.c"可能包含了实现这一过程的代码示例。 4. **版本信息...
PE文件格式分析及修改.doc
02-21
如果 DOS Header 和 PE Header 都正常有效,那么 Loader 就会根据 PE Header 及 Section Table 的指示,将相应的代码和数据映射内存中,然后根据不同的 Section 进行数据的初始化,最后开始执行程序段代码。...
C语言怎么获得进程的PE文件信息
09-02
7. **内存映射**:PE文件的节会在内存中被映射,例如`.text`节通常包含可执行的机器指令,`.data`节包含初始化的数据,`.rdata`节包含只读数据,`.bss`节则用于未初始化的数据。 8. **内存布局**:`VirtualAddress`...
Pe研究之:从内存中加载Pe文件(代码重定位,进程隐藏,代码注入)
热门推荐
Dustfly的专栏
08-17 1万+
  Pe研究之: 从内存中加载Pe文件 作者:Sunline              lisunlin0@yahoo.com.cn 日期:2007年7月关键字:代码重定位,代码注入,远程代码, 加载exe文件, 加载dll文件Remotthread, injectcode, relocation code, load dll from memory, load pe
Windows C++ 将外部exe加载到内存中直接运行
Echo的博客
01-13 2990
Windows C++ 将外部exe加载到内存中直接运行 Windows的PE加载器在启动程序的时候,会将磁盘上的文件加载到内存,然后做很多操作,如函数导入表重定位,变量预处理之类的。这位仁兄等于是自己写了一个PE加载器。直接将内存中的程序启动。记得以前的“红色代码”病毒也有相同的特性。 直接启动内存中的程序相当于加了一个壳,可以把程序加密保存,运行时解密到内存,然后启动,不过对于增加破解难度还要稍微复杂点。否则人家把内存中的进程DUMP出来然后修复导入表就被拖出来了。 代码请自行修改 #include "
加载PE文件——PE加载器模拟法
跃然实验室
06-10 2329
1、找到文件加载到内存的基址 通常为0x0040 0000 2、取得内存对齐粒度 3、加载pe头,按照内存对齐粒度读取到指定起始地址的内存处 4、加载各个节。得到节数目,定位节表,按照内存对齐粒度读取到内存,不足的用0填充。 5、基址不对,需要重定位修复。 // LoadPeWithRead.cpp : Defines the entry point...
PE文件PE加载的过程
weixin_43742894的博客
03-31 2070
1、将PE文件从磁盘中读出 2、根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 3、将读取的数据映射内存中 4、修复导出导入入表 5、修复重定位 6、跳转到PE入口点进行执行 0x00 将PE文件从磁盘中读出 使用ReadFile()读取数据 。 0x01 根据PE结构获取镜像大小,再申请一段可读可写可执行的内存,并填充为0 //获取镜像大小 DWORD SizeOfIma...
PE文件:(2)VA、RVA和FileOffset的理解
weixin_43972499的博客
04-06 1470
PE文件基本概念文件对齐和内存对齐RVA和FileOffsetVA及重定向的概念 基本概念   在PE文件的学习中,我们经常看到RVA,VA,文件偏移,内存偏移这些概念,这些术语到底是什么意思呢?   PE文件主要有两种状态,分别是加载和未加载。未加载时,PE文件内的数据被局限于一个文件内,空间较为有限。而在加载到进程的地址空间之后,PE文件拥有足够的空间来存放文件中的数据,这也就导致了区段存放的空间变大,即每个区段之间的空闲内存变大,因此,区段内的很多数据的地址相对于未加载时就需要往后偏移。   在上一篇
golang实现PE文件解析器
05-22
5. 根据节表中的信息,将PE文件中的代码、数据等部分映射内存中。 6. 解析导入表,获取导入的函数信息,并进行符号解析。 7. 解析导出表,获取导出函数信息,并生成符号表。 8. 处理重定位表,修正代码中的地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值