Windows PE文件浅析

已于 2024-07-19 07:59:01 修改
阅读量697 收藏 12
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 逆向工程 文章标签: windows
于 2024-07-18 08:08:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15054345/article/details/140504003

1、虚拟地址VA:PE对应的进程支配了自己独立的4GB虚拟空间,在这个空间定位的地址称为虚拟地址VA。在PE中进程本身的VA被解释为:进程的基地址+相对虚拟内存地址。

2、相对虚拟内存地址:一个进程被加载内存空间后,其相关的动态库也会被加载。这些同时加载到进程虚拟地址空间的文件称为模块。每一个模块在加载时都会有一个基地址、不同模块的基地址一般是不同的。但如果两个模块的基地址相同,就有操作系统来决定这两个模块在虚拟空间中的具体位置。

相对虚拟内存地址RVA是相对于基地址的偏移,几RVA是虚拟内存中用来定位某个特定未知的,该地址的值是这个特定位置距离某个模块基地址的偏移量。所以RVA是针对某个模块而存在的。RVA和VA的概念可如下图表示:

RVA是相对于模块而言的,VA是相对于进程而言的

3、文件偏移地址FOA:和内存无关,它是指某个位置距离文件头的偏移。

4、数据目录:Windows下的可执行文件是PE中的一种,这种文件除了包含代码及数据段的相关数据以外还包含了许多与文件执行有关的其他数据。PE中有一个数据结构称为数据目录表,其中记录了所有可能的数据类型,包括导出表、导入表、资源表等。

5、节:无论是结构化程序设计还是面向对象程序设计,都提倡程序与数据的独立性。因此程序中的代码和数据是分开存放的。为了保证程序执行的安全,保证内核的稳定,Windows操作系统通常对不同用途的数据设置不同的访问权限。如代码段中的字节码在程序运行的时候,一般不允许用户进行修改,数据段则允许在程序运行的过程中读和写,常量只能读等。Windows操作系统在加载可执行文件时,会为这些具有不同属性怼的数据分别分配标记有不同属性的页面(当然,相同属性

最低0.47元/天 解锁文章

200万优质内容无限畅学
python读取arff文件_ARFF文件格式
weixin_32516009的博客
02-11 3865
Attribute -Relation File Format (ARFF)1、ARFF 头章节包括关系声明和属性声明关系声明(@ralation Declaration)关系声明在ARFF文件的第一行定义。格式如下:@relation 是一个字符串。如果名字包含空格,那么这个字符串必须加引号。属性声明(The @attribute Decarations)属性声明是以一个有序的属性陈列的形式表述...
安全小白必看的Windows渗透基础命令大全
05-07 1687
在这里推荐一下我的同名公众号:程序员启航 Windows发展历史 Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。 MS-Dos 版本号 发布时间 Windows1.0 1985.11 Windows2.0 1987.12 Windows2.1 1988 Windows3.0 1990.5 ..
Windows PE文件结构解析
07-03
解析PE文件结构(开发语言为C++,开发工具为QtCreator),代码完成了PE文件各个头结构的解析,数据目录解析,导出表,导入表,资源表等常见表的解析。代码中难免有BUG,由于时间关系,本人未修复,但是对于那些想了解PE文件结构的小伙伴们这是个不错的参考资料。网上的大多资料都是互相转载,很多错误,本人没少走弯路。PE文件解析工具的开发文档由于对本人还有用处,最近两年内不能公开,有需要的可以私下里联系我QQ:1909631452(路痴),可以给你个人,但是也请不要在两年内公开。
windows系统平台下的PE文件格式和数据定义详解(附带详细高清大图)
关注互联网安全的小虾米一枚
11-06 5636
PE(Portable Executable)格式,是微软Win32环境可移植可执行文件(如exe、dll、vxd、sys和vdm等)的标准文件格式。 PE格式衍生于早期建立在VAX(R)VMS(R)上的COFF(Common Object File Format)文件格式。Portable 是指对于不同的 Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CP
Windows PE系统维护与管理实战指南
最新发布
weixin_42513928的博客
06-21 1276
Win PEWindows Preinstallation Environment),即Windows预安装环境,是一个轻量级的Windows操作系统版本,主要用于计算机的安装、系统维护、数据恢复、备份以及故障排查等任务。它设计上是基于Windows NT内核,但却显著减少了对系统资源的需求,通常以引导光、U或网络启动的方式运行。Win PE系统工具的主要优势包括快速启动、携带方便、兼容性好。
WINDOWS PE文件结构详细介绍(一)
关注linux内核、c/c++的逆向工程
05-12 1980
<br />因为我们现在的c++是在WIN32平台下面运行的,为了以后的学习,有必要先了解一下WINDOWS PE文件结构,这些相关资料来于<Delphi深入Windows编程>这本书。<br />PE的意思就是Portable Executable (可移值的执行体),是Win32环境自身所带的执行体文件格式。PE的一些特殊性继承自UNIX的COFF(Common Object File Format)文件格式。“Portable Executable”(可移值的执行体)意味着此文件格式是跨Win32平台
PE文件格式详解:深入理解Windows可执行文件结构
weixin_62391735的博客
02-05 762
PE文件格式详解
Windows PE入门基础知识:Windows PE的作用、命名规则、启动方式、启动原理
weixin_34007291的博客
09-07 612
Windows PE的全名是WindowsPreinstallationEnvironment(WinPE)直接从字面上翻译就 是“Windows预安装环境”。微软的本意是:WinPE仅用做系统维护,并设置了各种限制。可以简单的理解为:PEWindows系统的超级精简版、超级权限版(以系统system账户登录)!对于无法进入系统、修复系统、分区、重装系...
windows驱动pcie浅析.pptx
06-21
文件是对windows驱动的入门的简单解析,包括框架的搭建,一些代码的解析等 该文件是对windows驱动的入门的简单解析,包括框架的搭建,一些代码的解析等
浅析ELF中的GOT与PLT
热门推荐
_wells的博客
03-28 1万+
一、ELF简介 现在PC平台流行的可执行文件格式主要是Windows 下的PE(portable Executable) 和Linux的ELF(Excutable Linkable Format)。   编译器编译源代码后生成的文件叫做目标文件,从目标文件的结构上讲, 它是已经编译后的可执行文件格式,只是还没有链接的过程,其中可能有些符号或有些地址还没有被调整。其实它本身就
Windows核心编程_PE文件格式解析
17岁boy的博客
06-12 2037
接上一篇的理论知识:PE文件格式 这一篇是实战,其实读取非常简单,WIndows也为我们提供了内存对齐的结构体: //DOS头 PIMAGE_DOS_HEADER //NT头(包括PE标识+Image_File_Header+OptionHeader) PIMAGE_NT_HEADERS //标准PE头 PIMAGE_FILE_HEADER 其实PIMAG...
Windows PE
02-28
个人最喜欢的Windows PE,保证安全无毒,内部各种工具齐全,运行稳定占用空间少,居家旅行必备,ISO格式可直接烧录也可解压。
WindowsPE.iso
10-23
PE安装程序
winPE windowsPE PE精简版 windows PE
08-12
本WinPE集成很多工具,如winpm ,DiskGenius(3.8最新),cpu-z(最新1.613),HDTunePro和ghost工具等,方便大家使用! 如果进入PE后看不到硬,先打开winpm,看看winpm里可以看到吗? winpm看不到硬请开机进入BIOS,硬模式切换成IDE ,PE操作完成后再改成AHCI模式!!
WindowsPE
11-03
我已经用它安装了百十部电脑了,高低中配置的都有! local——partition——fromimage 即可! 完全傻瓜版!
Windows PE(WinPE
allway2的博客
02-11 7071
Windows 10的Windows PE(WinPE)是一个小型操作系统,用于安装,部署和修复台式机版(家庭版,专业版,企业版和教育版),Windows Server和其他Windows操作系统的Windows 10。从Windows PE,您可以: 在安装Windows之前,请先设置硬驱动器。 通过使用来自网络或本地驱动器的应用程序或脚本来安装Windows。 捕获并应用Wind...
Windows PE 背景知识
小哈里的博客
01-27 1857
1、什么是 Windows PE? 1.1 简要介绍 Windows Preinstallation Environment (Windows PE) 是一个为 Windows 安装而设计的最小操作系统.它可以用于启动无操作系统的计算机、对硬驱动器分区和格式化、复制磁映像以及从网络共享启动 Windows 安装程序. 微软本意是 PE 仅作系统维护,并设置了
Windows PE资源表编程(枚举资源树)
天使也掉毛
02-08 2231
资源枚举     写一个例子,枚举一个PE文件的资源表。首先说下资源相关的作为铺垫。 1.资源类型也是PE可选头中数据目录的一种。位于第三个类型。 2.资源目录分为三层。第四层是描述文件相关的。这些结构是按照二叉排序树的结构存的。每一个节点都可以看成是一段连续的数据块(1个资源目录头+n个资源目录项)。 3.整体基本结构: OK,基础知识就简单说这些。如果还是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值