PE中涉及的地址

最新推荐文章于 2022-07-26 09:51:00 发布
最新推荐文章于 2022-07-26 09:51:00 发布
阅读量981 收藏
点赞数
分类专栏: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/l0g1n/article/details/8249585
版权

PE中涉及的地址有四类:

虚拟内存地址(VA)

用户的PE文件被操作系统加载进内存后,PE对应的进程支配了自己独立的4GB虚拟空间,范围00000000h--0fffffffh。进程本身的VA被解释为:进程的基地址+相对虚拟内存地址。

相对虚拟内存地址(RVA)

进程被加载进虚拟内存后,相关的动态链接库也会被加载,这些文件称为模块。模块都有基地址,不同模块的基地址一般不同。相对虚拟内存地址,是相对于基地址的偏移,是虚拟内存中用来定位某个特定位置的地址,RVA是针对某个模块而存在的。VA是相对于整个地址空间而言的。

文件偏移地址(FOA)

和内存无关,是指某个位置距离文件头的偏移。

特殊地址

计算方法不是从文件头开始的,也不是从内存的某个基地址开始,而是某个特定位置算起。资源表中出现过这种地址,但很少见。
PE地址名词总结及基本概念
u011636170的专栏
10-25 1255
1地址   PE文件涉及地址四类 1虚拟内存地址VA)     PE文件对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址VAVA的范围是4GB。在VAVA=进程基地址+RVA.   2相对虚拟内存地址RVA)    模块:同时加载到进程空间的文件,如一个进程和同时要加载的动态链接库都是模块          每个模块都有一个基地址。如果两个模块的基地
pe系统服务器地址,什么是pe系统_网站服务器运行维护
weixin_39906878的博客
08-03 434
如何强制退出当前应用程序_网站服务器运行维护强制退出当前应用程序的方法:1、首先右键点击任务栏空白处,选择【启动任务管理器】选项;2、然后切换到【应用程序】选项卡,选中需要关闭的应用程序,点击【结束任务】即可。 什么是pe系统?Winpe全称 Windows Preinstall Environment,即“Windows 预安装环境”,是一个用于Windows 安装准备的最小操作系统。基于保护模...
PE学习(三)第三章:PE文件
零点起步
03-18 1298
第三章:PE文件PE涉及地址四类,它们分别为: 虚拟内存地址VA相对虚拟内存地址(RVA) 文件偏移地址(FOA) 特殊地址  没有物理内存对应的页面被标记为dirty的页面,一般存储在一个名为“交换文件”的磁盘文件中。在WINDOWS XP系统中,交换文件为pagefile.sys  进程本身的VA被解释为:进程的基地址+相对虚拟内存地址  RVA相对地址的偏
PE文件与内存中的地址映射关系
Breeze的博客
12-05 8925
PE文件与(虚拟)内存中的地址映射 文件偏移地址 PE文件中的数据的地址,就是在文件内部的地址,也可以理解成在文件系统中相对文件头的偏移地址。在PE文件内部,数据是按数据节存放的,但每一个数据节都是0x200字节的倍数,不足的用0x00补齐。 装载地址(Image Base) PE文件装入内存时的基础地址,一般exe文件在内存中的基址是0x00400000,dll文件时0x1000000...
关于PE格式中的文件地址,虚拟地址相对虚拟地址的理解
残酷な天使
04-21 2702
<br /><br />首先贴上定义<br />1.文件偏移地址 (File Offest)<br />数据在PE文件中的地址文件偏移地址,个人认为叫做文件地址更加准确.这是文件在磁盘上存放时相<br />对文件开头的偏移.<br /><br />2.装载地址 (Image Base)<br />PE装入内存时的基地址.默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件是0x10000000.<br /><br />这些位置可以通过修改编译选项更改.<br /><br />3.虚拟内
RunPE-In-Memory:在内存中运行Exe文件PE模块)(如Application Loader)
02-06
5. **模拟IAT(Import Address Table)**:PE文件依赖于其他DLL文件的函数,这些函数地址存储在IAT中。在内存中运行时,需要动态更新这些地址,指向实际的函数入口点。 6. **设置EP(Entry Point)**:找到PE文件...
可以比较内存或原始 PE 文件中的 PE图像的 UI 应用程序_ C++_代码_下载
06-15
- **比较算法**:核心功能是对比内存中的PE图像与磁盘上的PE文件,这可能涉及到逐字节比较,或者更高级的逻辑,如忽略特定部分的差异(如动态分配的堆)。 - **用户界面**:提供图形界面让用户选择文件,显示比较...
RunPE 内存中直接运行PE文件
02-04
RunPE技术是Windows系统下的一种高级程序执行技巧,它允许PE(Portable Executable)文件在内存中而不是硬盘上被加载和执行。这种技术基于Windows API的动态加载机制,主要用于调试、逆向工程、恶意软件开发等领域。...
pe.rar_PE__pe_pe文件实例
09-14
在运行时,PE文件会被加载到进程的地址空间中,映射过程确保了代码和数据在正确的位置执行。"pe_map.c"可能包含了实现这一过程的代码示例。 4. **版本信息(Version Information)** "versinfo.c"和"versinfo.h...
pe 文件编程:清除文件头中的重定位表.rar_pe_清楚重定位表
09-21
综上所述,“清除文件头中的重定位表”是一项涉及PE文件结构修改的高级技术,它适用于特定的场景和需求。在进行此类操作时,必须充分了解其背后的原理和潜在风险,以免对程序的正常运行造成影响。
程序在内存中的分布
mal327的专栏
09-17 1029
在现代的操作系统中,当我们说到内存,往往需要分两部分来讲:物理内存和虚拟内存。从硬件上讲,虚拟空间是CPU内部的寻址空间,位于MMU之前,物理空间是总线上的寻址空间,是经过MMU转换之后的空间。 一般我们所说的程序在内存中的分布指的就是程序在虚拟内存中的存储方式。 从
PE文件解析
zhang14916的博客
11-22 4105
IMAGE_DOS_HEADER结构(DOS头部) typedef struct _IMAGE_DOS_HEADER {     WORD   e_magic;         // MZ标志     WORD   e_cblp;        WORD   e_cp;          WORD   e_crlc;        WORD   e_cparhdr;     WORD ...
在IP网络中,P、PE、CE代表意思
热门推荐
Dallin0408的博客
12-06 3万+
1、ce , pe属于mpls vpn里的概念。VPN概念中,把整个网络中的路由器分为三类:用户边缘路由器(CE)、运营商边缘路由器(PE)和运营商骨干路由器(P);其中,PE充当IP VPN接入路由器。(1)、PE(Provider Edge),即Provide的边缘设备,服务提供商骨干网的边缘路由器,它相当于标签边缘路由器(LER)。PE路由器连接CE路由器和P路由器,是最重要的网络节点。用户
PE文件地址与内存地址
软件调试的变革
12-14 3177
1.      VC中可以通过#pragmadata_seg()可以将代码中的任意部分编译到PE的任意节中,节名也可以自己定义。如果文件经过了加壳处理,那么PE的节的信息就会变的非常“古怪”。 2.      PE文件地址VA(virtualAddress)之间的转换。 文件偏移地址(file offset)文件相对文件开头的偏移 装载基址(image base)PE装入内存时的基地址
我认识的PE文件相对虚拟地址 + 文件偏移地址
知其所以然
07-11 3139
-------------------------------相对虚拟地址 -------------------------------------------------- 在可执行文件中,有很多地方需要指明内存中的地址,例如:引用全局变量时,需要制定它的地址PE文件的尽管有一个首选的载入地址,但是,它们可以再入到进程的空间的任何地方,所以不能依赖于PE的载入点,由于这个原因,必须有一个方
易语言判断PE格式
07-23
易语言是一种基于中文编程的程序设计...综上所述,易语言判断PE格式涉及文件结构分析、错误处理、数据读取等多个方面,是易语言编程中的一项基础技能。掌握这些知识点有助于开发者进行更高级的Windows应用程序开发。
内存管理中的几种地址类型
02-11 1138
作者:装逼百科链接:https://www.zhihu.com/question/60554200/answer/180303046来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。一、逻辑地址(有时也称虚拟地址)  逻辑地址(Logical Address) 是指由程序产生的与段相关的偏移地址部分。例如在C语言指针编程中,可以读取指针变量本身值(&amp;操作),实际...
理解PE文件相对虚拟地址(RVA)文件偏移的转换
松哥(jccz_zys)的专栏
03-12 1万+
        关于PE文件格式的详细描述在网络上可以找到一大堆,最近有空,我也来研究一把。读了很多参考资料,应该说都讲得非常清晰,尤其是看雪学院的iamgufeng翻译的那篇文章,读来受益非浅。       根据我这个菜鸟的阅读感受与实践来说来看,我觉得根据RVA正确换算出到数据相对文件偏移这个细节这些文章都没有做过多的说明,而这是我唯一化比较多时间来思考的地方。下面我就说说我对此的理解,
PE格式: VA地址与FOA地址
优快云
07-26 6012
PE格式是 Windows下最常用的可执行文件格式,理解PE文件格式不仅可以了解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,而有些技术必须建立在了解PE文件格式的基础上,如文件加密与解密,病毒分析,外挂技术等。
我认识的PE文件之基地址
知其所以然
07-10 2580
什么是PE文件?摆个连接吧,人家比我专业呢 PE文件:http://baike.baidu.com/view/1087038.htm -----------------------------------------------------------------------------------------------------------------------------------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值