PE格式详细讲解【05】详解区块描述、对齐值以及RAV详解

最新推荐文章于 2024-02-01 13:31:06 发布
最新推荐文章于 2024-02-01 13:31:06 发布
阅读量727 收藏
点赞数
分类专栏: PE资料 文章标签: PE资料
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011513939/article/details/73496019
版权
本文以通俗易懂的方式详解PE文件中的区块描述,包括区块的逻辑关联、命名和作用,如.rdata区块表示只读数据。区块按RVA排列而非字母顺序,区块名称对操作系统并不重要,主要方便人类识别。微软赋予的特色区块名非必需,读取内容应依据数据目录表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

各种区块的描述:

很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~
刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~

通常,区块中的数据在逻辑上是关联的。PE 文件一般至少都会有两个区块:一个是代码块,另一个是数据块。
每一个区块都需要有一个截然不同的名字,这个名字主要是用来表达区块的用途。

例如有一个区块叫.rdata,表明他是一个只读区块。
注意:区块在映像中是按起始地址(RVA)来排列的,而不是按字母表顺序。
另外,使用区块名字只是人们为了认识和编程的方便,而对操作系统来说这些是无关紧要的。

微软给这些区块取了个有特色的名字,但这不是必须的。
当编程从PE 文件中读取需要的内容时,如输入表、输出表,不能以区块名字作为参考,正确的方法是按照数据目录表中的字段来进行定位。

以下是区块命令方式:
这里写图片描述

最低0.47元/天 解锁文章
[系统安全] PE文件格式详解1
H4ppyD0g的博客
12-15 3228
PE文件格式是微软Windows NT内核系列系统和 Win32子集中可执行的二进制文件格式。这种文件格式是微软基于COFF 文件格式的设计思想设计的。 COFF (Common Object File Format,通用目标文件格式)是应用于数种 UNIX系统中的目标文件和可执行文件的格式。 对应的,在linux下的可执行文件格式采用ELF(Executable and Linkable Format)。 MS-DOS头、DOS Sub MS-DOS头存在于每个PE文件中,它的存在完全是出于兼容性的考虑。
PE文件:VA、RVA和FOA
weixin_43742894的博客
03-31 6573
VA: 虚拟内存地址(Virtual Address)PE 文件被操作系统加载进内存后的地址。 RVA: PE文件的相对虚拟地址(Relative Virual Address)是PE文件中的数据、模块等运行在内存中的实际地址相对PE文件装载到内存的基址之间的距离。举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RV...
小甲鱼PE详解区块描述、对齐值以及RVA详解PE详解06)
07-29 3756
上一讲:小甲鱼PE详解区块表(节表)和区块(节)续各种区块描述:很多朋友喜欢听小甲鱼的PE详解,因为他们觉得课堂上老师讲解的都是略略带过,绕得大家云里雾里~刚好小甲鱼文采也没课堂上的教授讲的那么好,只能以比较通俗的话语来给大家描述~通常,区块中的数据在逻辑上是关联的。PE
PE文件结构详解(三)
weixin_30652897的博客
10-19 150
0x01 前言 上一篇讲到了数据目录表的结构和怎找到到数据目录表(DataDirectory[16]),这篇我们我来讲讲数据目录表后面的另一个结构——区块表。 0x01 区块 区块就是PE载入器将PE文件载入后,将PE文件分割成若干块,每块包含不同的信息,由读写数据块.data,代码块.code,只读数据块.rdata等等,一般至少得有读写数据块和代码块。区块的的划分信息保存在一张名...
PE文件结构2 RAV 输入表与输出表 基址重定位 安全分析与恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析
最新发布
chenhao0568的专栏
02-01 1536
当一个PE文件(如DLL或EXE)被加载到内存时,它通常被加载到一个预定义的基址(Base Address)。然而,如果该地址已经被占用,或者由于地址空间布局随机化(ASLR)的原因,操作系统可能会将文件加载到不同的地址。这时,文件中所有基于绝对地址的引用都必须调整,以反映新的加载地址。这个调整过程就是基址重定位。
PE格式深入浅出之RAV,AV,ImageBase之间的关系
fantcy的专栏
08-23 1万+
破解软件系列-PE格式深入浅出之RAV,AV,ImageBase之间的关系(二)    PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。IMAGE_NT_HEADERS STRUCT     Signature dd ?     FileHeader IMAGE_FILE_HEADER     OptionalHeader IMAGE_OP
windows PE文件格式笔记(二)RVAToFOV
一位非著名不专业的Re选手
12-11 911
什么是RVA,FOV RVA是相对虚拟地址,FOV是文件偏移 由于PE文件在磁盘上和在内存中的对齐粒度不同,会导致同一个PE文件在磁盘上和在内存中有两个不同的偏移,即,FOV和RVA. 在PE格式中查看对齐粒度 PE文件在磁盘和在内存的对齐粒度分别为: FileAlignment 和SectionAlignment 他们在PE扩展头中可以找到,PE扩展头的结构体: typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields.
PE结构学习(3)_RVA转换成FOA
xf555er的博客
08-07 885
PE文件有两种状态, 一种是在文件中的状态,另外一种是在内存中展开若我们运行了一个PE文件且知道了某个全局变量的地址, 那么该如何通过这个全局变量地址来获得此变量在文件状态下的地址是什么呢?(relative Virtual Address), 又称为相对虚拟偏移,简单来说就是在内存状态下的偏移地址(File Ofseet Address), 又称为文件偏移地址, 就是在文件状态下的偏移地址下图是PE文件在文件对齐和内存对齐状态下的映像结构图这里文件对齐值是200,内存对齐的值是1000。...
PE格式详细讲解6(下)- 系统篇06|解密系列
weixin_33826268的博客
05-18 148
PE格式详细讲解6(下)-系统篇06 让编程改变世界 Change the world by program 当然我们在Visual C++ 中也可以自己命名我们的区块,用#pragma 来声明,告诉编译器插入数据到一个区块内,格式如下: #pragma data_msg( "FC_data" ) 大家还记得吧,#为宏处理符号,啥是宏?简单的说就是编译器的时候由编译器直接...
PE文件格式的RVA概念
04-14 1390
我们常说的RVA,很容易让我们理解成这是相对于节的RVA,其实不然。要理解RVA的概念,首先还必须理解Section Header结构(由Section Header构成节表)。typedef struct _IMAGE_SECTION_HEADER {    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];    union {            DWORD   
PE格式详细讲解5 - 系统篇05|解密系列
weixin_33733810的博客
05-08 222
PE格式详细讲解5-系统篇05 让编程改变世界 Change the world by program 这一讲我们结合实例来谈谈区块表的定义以及各个属性的含义。 首先,我们先用之前学过的一点知识在二进制文件中手动翻找区块表,这样做的好处是可以使你很快的对PE结构牢记于心。 学来的东西就是能用的东西,不能用的理论是空谈,是瞎扯。 这里我们经过千辛万苦终于找到了我们的...
各证券软件数据格式解析
01-11
各种知名证券行情软件的数据格式解析,非常好的资料。包括同花顺 大智慧 通达信等。
PE文件结构(二) 区块,文件偏移与RVA转换
billvsme的专栏
10-02 3933
PE文件结构(二) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 区块区块表 后面的就是一个一个区块,每个区块占用对齐值的整数倍,一般的文件都有代码块 跟 数据块( 它们的名字一般为.text 跟 .data 但这是可以修改的)。每个区块的数据具有相同的属性。编译器先在obj中生成不同的区块, 链接器再按照一定的规则合并不同obj跟库中的快。例如每个obj中肯定有.text 块, 连接器就会把它们合并成一个单一的.text 块;再如,如果两个区块具有相同的的属性就有可能被合
RVA-相对虚拟地址解释
happylife1527的专栏
10-15 1503
http://www.cnblogs.com/SkyMouse/archive/2012/05/09/2493470.html RVA是相对虚拟地址(Relative Virtual Address)的缩写,顾名思义,它是一个“相对”地址,也可以说是“偏移量”,PE文件的各种数据结构中涉及到地址的字段大部分都是以RVA表示的。 准 确地说,RVA就是当PE文件被装载到内存中后,某个数据的位置相
PE文件结构详解 --(完整版)
热门推荐
freeking101的博客
11-02 3万+
From:https://blog.youkuaiyun.com/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.youkuaiyun.com/qq_30145355/article/details/78859214 PE...
PE文件的相对虚拟地址(RVA)和文件偏移地址(FOA)的转换
12-27 1万+
RVA(相对虚拟地址)和FOA(文件偏移)的具体含义大家可以看看《Windows PE 权威指南》或者是小甲鱼的PE结构详解视频,我相信大家看完之后一定会理解的,我这里就不写这些概念了。之所以会产生两者的转换,是因为同一个文件在硬盘和内存中的对齐方式不一样,我们可以通过IMAGE_OPTIONAL_HEADER结构体的SectionAlignment(内存对齐方式)和FileAlignment(文
PE文件详解区块
知其所以然
09-05 1093
趁热打铁,今天开始对块的学习。      块最重要的结构体是:_IMAGE_SECTION_HEADER 。        PE文件中所有节的属性都被定义在节表中,节表由一系列的IMAGE_SECTION_HEADER结构排列而成,每个结构用来描述一个节,结构的排列顺序和它们描述的节在文件中的排列顺序是一致的。节表总是被存放在紧接在PE文件头的地方;节表中 IMAGE_SECTION_HEA
RAV4 VFD 屏驱动板源码详解与编程指南
总的来说,这个RAV4 VFD驱动板项目是一个典型的嵌入式系统设计案例,它涉及到了多种技术的融合应用,包括微控制器编程、网络通信、硬件设计以及用户接口实现等。这些知识点对于学习和实践嵌入式系统开发具有极高的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值