Windows PE文件浅析

原创 已于 2024-07-19 07:59:01 修改 · 759 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows

于 2024-07-18 08:08:49 首次发布

1、虚拟地址VA:PE对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址称为虚拟地址VA。在PE中进程本身的VA被解释为:进程的基地址+相对虚拟内存地址。

2、相对虚拟内存地址:一个进程被加载内存空间后,其相关的动态库也会被加载。这些同时加载到进程虚拟地址空间的文件称为模块。每一个模块在加载时都会有一个基地址、不同模块的基地址一般是不同的。但如果两个模块的基地址相同,就有操作系统来决定这两个模块在虚拟空间中的具体位置。

相对虚拟内存地址RVA是相对于基地址的偏移,几RVA是虚拟内存中用来定位某个特定未知的,该地址的值是这个特定位置距离某个模块基地址的偏移量。所以RVA是针对某个模块而存在的。RVA和VA的概念可如下图表示:

RVA是相对于模块而言的,VA是相对于进程而言的

3、文件偏移地址FOA:和内存无关,它是指某个位置距离文件头的偏移。

4、数据目录:Windows下的可执行文件是PE中的一种,这种文件除了包含代码及数据段的相关数据以外还包含了许多与文件执行有关的其他数据。PE中有一个数据结构称为数据目录表,其中记录了所有可能的数据类型,包括导出表、导入表、资源表等。

5、节:无论是结构化程序设计还是面向对象程序设计,都提倡程序与数据的独立性。因此程序中的代码和数据是分开存放的。为了保证程序执行的安全,保证内核的稳定,Windows操作系统通常对不同用途的数据设置不同的访问权限。如代码段中的字节码在程序运行的时候,一般不允许用户进行修改,数据段则允许在程序运行的过程中读和写,常量只能读等。Windows操作系统在加载可执行文件时,会为这些具有不同属性怼的数据分别分配标记有不同属性的页面(当然,相同属性

最低0.47元/天 解锁文章
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2260
资源枚举     写一个例子,枚举一个PE文件的资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
安全小白必看的Windows渗透基础命令大全
05-07 1757
在这里推荐一下我的同名公众号:程序员启航 Windows发展历史 Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。 MS-Dos 版本号 发布时间 Windows1.0 1985.11 Windows2.0 1987.12 Windows2.1 1988 Windows3.0 1990.5 ..
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
Windows PE
02-28
个人最喜欢的Windows PE,保证安全无毒,内部各种工具齐全,运行稳定占用空间少,居家旅行必备,ISO格式可直接烧录也可解压。
windows系统平台下的PE文件格式和数据定义详解(附带详细高清大图)
关注互联网安全的小虾米一枚
11-06 5806
PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。 PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式。Portable 是指对于不同的 Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CP
WINDOWS PE文件结构详细介绍(一)
关注linux内核、c/c++的逆向工程
05-12 2014
<br />因为我们现在的c++是在WIN32平台下面运行的,为了以后的学习,有必要先了解一下WINDOWS PE文件结构,这些相关资料来于<Delphi深入Windows编程>这本书。<br />PE的意思就是Portable Executable (可移值的执行体),是Win32环境自身所带的执行体文件格式。PE的一些特殊性继承自UNIX的COFF(Common Object File Format)文件格式。“Portable Executable”(可移值的执行体)意味着此文件格式是跨Win32平台
windows驱动pcie浅析.pptx
06-21
文件是对windows驱动的入门的简单解析,包括框架的搭建,一些代码的解析等 该文件是对windows驱动的入门的简单解析,包括框架的搭建,一些代码的解析
浅析ELF中的GOT与PLT
热门推荐
_wells的博客
03-28 1万+
一、ELF简介 现在PC平台流行的可执行文件格式主要是Windows 下的PE(portable Executable) 和Linux的ELF(Excutable Linkable Format)。   编译器编译源代码后生成的文件叫做目标文件,从目标文件的结构上讲, 它是已经编译后的可执行文件格式,只是还没有链接的过程,其中可能有些符号或有些地址还没有被调整。其实它本身就
服务器在raid5下做系统ghost备份,转 浅析在RAID5下做系统ghost备份
weixin_32921023的博客
08-12 3396
一、系统介绍RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案, 以三个以上硬盘组成的。RAID5不对存储的数据进行备份,而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据发生损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。RAID 5可以理解为是RAID 0和RAID 1...
PE文件格式详解:深入理解Windows可执行文件结构
weixin_62391735的博客
02-05 963
PE文件格式详解
WindowsPE.iso
10-23
PE安装程序
winPE windowsPE PE精简版 windows PE
08-12
本WinPE集成很多工具,如winpm ,DiskGenius(3.8最新),cpu-z(最新1.613),HDTunePro和ghost工具等,方便大家使用! 如果进入PE后看不到硬盘,先打开winpm,看看winpm里可以看到吗? winpm看不到硬盘请开机进入BIOS,硬盘模式切换成IDE ,PE操作完成后再改成AHCI模式!!
WindowsPE硬盘版
11-03
我已经用它安装了百十部电脑了,高低中配置的都有! local——partition——fromimage 即可! 完全傻瓜版!
Windows PE入门基础知识:Windows PE的作用、命名规则、启动方式、启动原理
weixin_34007291的博客
09-07 691
Windows PE的全名是WindowsPreinstallationEnvironment(WinPE)直接从字面上翻译就 是“Windows预安装环境”。微软的本意是:WinPE仅用做系统维护,并设置了各种限制。可以简单的理解为:PEWindows系统的超级精简版、超级权限版(以系统system账户登录)!对于无法进入系统、修复系统、分区、重装系...
Windows核心编程_PE文件格式解析
17岁boy的博客
06-12 2151
接上一篇的理论知识:PE文件格式 这一篇是实战,其实读取非常简单,WIndows也为我们提供了内存对齐的结构体: //DOS头 PIMAGE_DOS_HEADER //NT头(包括PE标识+Image_File_Header+OptionHeader) PIMAGE_NT_HEADERS //标准PE头 PIMAGE_FILE_HEADER 其实PIMAG...
Windows PE(WinPE
allway2的博客
02-11 7386
Windows 10的Windows PE(WinPE)是一个小型操作系统,用于安装,部署和修复台式机版(家庭版,专业版,企业版和教育版),Windows Server和其他Windows操作系统的Windows 10。从Windows PE,您可以: 在安装Windows之前,请先设置硬盘驱动器。 通过使用来自网络或本地驱动器的应用程序或脚本来安装Windows。 捕获并应用Wind...
Windows PE 背景知识
小哈里的博客
01-27 2040
1、什么是 Windows PE? 1.1 简要介绍 Windows Preinstallation Environment (Windows PE) 是一个为 Windows 安装而设计的最小操作系统.它可以用于启动无操作系统的计算机、对硬盘驱动器分区和格式化、复制磁盘映像以及从网络共享启动 Windows 安装程序. 微软本意是 PE 仅作系统维护,并设置了
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2756
同一份文件在内存中和在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
stm32 启动文件浅析
最新发布
06-27
STM32启动文件是嵌入式开发中非常关键的一部分,它负责在芯片上电或复位后进行初始设置,并跳转到主程序的入口点。该文件通常以汇编语言编写,其功能包括初始化堆栈指针、中断向量表配置、系统时钟设置以及调用C库函数的初始化代码等。 ### 启动文件的主要功能 1. **设置初始堆栈指针** 在芯片上电后,首先需要设置堆栈指针(SP),这是因为在后续的初始化和程序运行过程中会使用到堆栈来保存局部变量、函数调用返回地址等信息。启动文件通过一条指令将一个预定义的地址赋值给堆栈指针寄存器。 2. **定义中断向量表** STM32微控制器支持多种中断源,因此启动文件必须定义中断向量表,其中包括各种异常处理程序和外设中断服务例程的入口地址。例如,复位中断(Reset_Handler)是第一个被执行的处理程序,它负责引导整个系统的初始化过程[^1]。 3. **调用系统初始化函数** 复位处理程序通常会调用`SystemInit()`函数,这个函数用于配置系统时钟(如PLL设置)、AHB/APB总线时钟分频系数等关键参数,确保MCU运行在正确的频率下。 4. **跳转到主程序入口(main函数)** 完成底层硬件初始化之后,启动文件中的代码会调用`main()`函数,从而进入用户应用程序的执行阶段。在此之前,可能还会涉及到`.data`段和`.bss`段的初始化,即把已初始化的数据从Flash复制到RAM中,并将未初始化的数据区域清零[^1]。 5. **提供默认的中断处理程序** 如果某些中断没有被用户显式地实现,则启动文件可以提供一些弱定义(weak symbols)的默认处理程序,防止程序因找不到中断服务例程而崩溃。 6. **支持调试接口配置** 有些启动文件还包含对调试接口(如SWD或JTAG)的支持,以便于开发者进行在线调试。 ### 启动文件的基本结构示例 以下是一个简化的STM32启动文件片段,展示了基本的中断向量表和复位处理程序: ```assembly ; 文件名:startup_stm32f10x_hd.s .section .isr_vector,"a",%progbits .type g_pfnVectors, %object .size g_pfnVectors, .-g_pfnVectors g_pfnVectors: .word _estack ; Initial Stack Pointer .word Reset_Handler ; Reset Handler .word NMI_Handler ; NMI Handler .word HardFault_Handler ; Hard Fault Handler .word MemManage_Handler ; MPU Fault Handler ... .thumb_func .type Reset_Handler, %function Reset_Handler: bl SystemInit ; Call SystemInit before main ldr r0, =_start ; Set the initial PC to main bx r0 ; Branch to main ``` 在这个例子中,`_estack`表示堆栈的起始地址,而`Reset_Handler`则是复位中断的处理程序,它调用了`SystemInit()`并最终跳转到`main()`函数开始执行用户代码。 ### 相关问题 1. STM32启动文件如何影响系统的时钟配置? 2. 如何修改STM32的启动文件以适应不同的硬件平台? 3. 在STM32项目中,为什么需要对.data和.bss段进行初始化? 4. 不同系列的STM32芯片之间启动文件有何差异? 5. 调试STM32应用时,启动文件中的哪些部分可能会导致问题?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值