简谈PE文件和内存

最新推荐文章于 2025-07-02 10:44:06 发布
原创 最新推荐文章于 2025-07-02 10:44:06 发布 · 3.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PE文件 内存 #exe #磁盘 #汇编 #数据

关于PE文件(可执行文件,Portable Executale)结构的研究以前也看过,很久没回顾了。前两天看了本书又涉及到这方面的知识,在此分享一下个人心得,毕竟本人是还没出茅庐的菜鸟,可能有错误之处恳请大家指正。

我相信大家在接触PE听到的醉多的就是什么RVA,VA,Offset,Rsize,Vsize啥啥啥乱七八糟的名称,还有计算公式。网络上关于这个的解释都是粘过来,复制过去,很多描述这些概念的人我相信他们自己都搞不清楚这些。学习PE文件结构其实就是为了掌握磁盘文件和它在内从里的映射关系。这个说简单,其实还是挺麻烦。PE文件就是可执行文件,但不限于exe文件,还有dll,COM,sys都算是PE文件。在此我们只简单地说下exe文件。PE文件被加载到内存中运行的过程是我们关心的。PE文件是如何在内存中被管理的呢,它又被加载到内存的哪里呢?PE文件被加载到内存中的位置,也就是内存地址,是在PE文件中被设置好的,它会告诉系统,将自己加载到某个地址,而且,32位PE中,这个地址往往是0x00400000。我们往往是运行多个可执行文件,那么肯定会冲突。这个我们不用担心,操作系统会进行内存管理,每个文件在自己的虚拟空间里运行,互不影响。这个地址也就是VA(第一个概念,Virtual Address)。要明白VA不是一个地址,它是一段地址空间,我们很关心运行这个PE文件的内存首地址(Image Base,映像基址,第二个概念)。如果说想了解PE文件的内存结构,必须深入理解PE文件的结构。尤其是节区数据,因为节区数据中存储的是汇编指令和操作数,也就是执行的代码和代码使用的变量,常量等数据。ok,贴张图吧,PE文件结构回头再谈,今天只说下PE文件在内存运行的过程和地址转换的概念性东西,这些很枯燥但是相当重要。

最低0.47元/天 解锁文章

200万优质内容无限畅学
如何实现一个(PE 文件内存加载器(来自ChatGPT)
BlackNight168的博客
02-05 758
实现一个内存加载器(通常指的是一个PE Loader,用于在内存加载执行Windows可执行文件)是一项复杂的工作,它涉及对PE文件格式的深入了解以及对Windows操作系统内部工作机制的理解。下面是一个简化版本的概述,用于描述在Windows平台上实现一个内存加载器的一般步骤。
写一个PE的壳_Part 1:加载PE文件内存
可乐松子的博客
05-25 1366
前面都是PE的零散的知识,可以通过给PE文件写一个壳将前面的PE相关知识进行汇总 网上看到了一个英文教程(详细看参考),里面包含了给PE加壳调用LIEF库的操作(这个库很简单);按照教程实现一遍(错误都进行了修正,主要是Part4),对理解PE文件格式脱壳很有帮助 下面是结合自己的实践写的笔记,不是教程的原版翻译 教程主要实现的壳的整体功能: 1.A PE File will be copied as-is (at first) in a custom section. 2.The unpacke.
PE 文件详解
最新发布
m0_57771536的博客
07-02 1499
在实际解析 PE 文件时,一个常见的操作是将 RVA 转换为文件偏移量,因为原始数据是在文件中存储的。加载器会遍历这些条目,并根据新的实际加载基地址计算出正确的偏移量,然后修改这些地址。Windows 操作系统中的加载器是一个复杂而高效的组件,负责将 PE 文件磁盘加载内存并使其可执行。一旦依赖的 DLL 被加载内存加载器会解析这些 DLL 的导出表,找到当前 PE 文件所导入的函数或变量的实际内存地址。:数据PE 文件内部的物理位置,从文件开头(0x0)计算的字节偏移量。
PE文件内存的映射学习总结
bcbobo21cn的专栏
09-04 2674
PE文件内存的映射 http://www.cnblogs.com/qintangtao/archive/2013/01/28/2880606.html 在执行一个PE文件的时候,windows 并不在一开始就将整个文件读入内存的,二十采用与内存映射文件类似的机制。也就是说,windows 装载器在装载的时候仅仅建立好虚拟地址PE文件之间的映射关系。 当且仅当真正执行到某个内存页中的指令或
PE结构 文件布局内存布局的关联区别
chenkangfu的专栏
12-01 398
windows pe文件布局对应的内存布局,用图解方式,详细描述两者间的关系区别。阅读后留下深刻印象,方便以后修改PE文件
PE文件加载内存的主要步骤
gzfqh的专栏 →底层代码研究
04-16 7922
1 当PE文件被执行,PE加载器会首先检查DOS MZ header里的PE header偏移量。如果找到则忽视DOS stub 部分直接跳转到PE header。 2 PE 加载器会检查PE header是否有效,有效则跳到PE header的尾部。3 PE 加载器读取节表中的信息,然后采用内存文件映射的方法将这些节映射到内存,同时按照节表的属性设置内存块的属性。 4 PE 文件映射到内存后,P
应用笔记LAT1239+简谈BlueNRG-LP-LPS的代码空间优化
04-19
### 应用笔记LAT1239:简谈BlueNRG-LP-LPS的代码空间优化 #### 1. 引言 随着物联网技术的发展,越来越多的智能设备需要通过空中下载技术(Over-the-Air, OTA)进行远程升级与维护。然而,在使用BlueNRG-LP/LPS...
客户端GUI测试技术自动化测试架构设计简谈
02-26
因为除了功能逻辑之外,不得不面对各种界面变化,各种环境交互,各种兼容问题以及想不到灰色地带,就算这样,也找不到太多有效的bug。然而即便如此,客户端的自动化必须去做,尤其是GUI的。它的自动化特点是:...
简谈三极管MOS管在开关电源中的应用
10-17
### 三极管MOS管在开关电源中的应用 #### 一、三极管的基础知识及其在开关电源中的应用 三极管是一种常见的电流控制器件,在电子学中扮演着重要角色。它由两个PN结组成,根据这些PN结的不同排列方式,三极管可以...
PE合并节的主要代码实现,详细注释(内存文件对齐相同时的版本)
weixin_42408832的博客
06-24 261
//合并节 //参数:传入拉伸后的imagebuffer LPVOID MergeSection(LPVOID imagebuffer) { PIMAGE_DOS_HEADER pDosHeader4 = NULL; PIMAGE_NT_HEADERS32 pNTHeader4 = NULL; PIMAGE_FILE_HEADER pFileHeader4 = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader4 = NULL; PIMAGE_SEC..
手工解析PE(文件拉伸)
GNAIXGNAHZ的博客
06-03 642
手工模拟文件拉伸
小甲鱼PE详解之区块表(节表)区块(节)(PE详解04)
07-29 3733
上一讲:小甲鱼PE详解之IMAGE_OPTIONAL_HEADER32 结构定义即各个属性的作用到此为止,小甲鱼大家已经学了许多关于 DOS header  PE header 的知识。接下来就该轮到SectionTable (区块表,也成节表)。(视频教程:http://f
PE文件(一)PE结构概述
2301_78838647的博客
04-18 2562
同一份文件内存在硬盘中的内容是一样的,但是他们文件内存起始位置是不一样的,它们分节之间的空白区域大小是一样的,这似乎与我们之前所作的文件硬盘与内存分布图有所不同,这是由于对齐的机制。我们之前在找DOS头时,DOS头以0x000000e0结尾, 指向了左侧地址e0的地方,从图中可知,e0的地方有5045,在最右侧有PE文字,这也正好说明了此处是pe文件真正开始的地方,即NP头开始,但这个e0并不是一直固定的。每一个节,都有一个对应的节表(图中块表)用于记录节的相关信息,如每一个节的概要性信息。
PE文件(四)FileBuffer-ImageBuffer
2301_78838647的博客
05-07 1029
4.复制所有的节:通过第一个节对应节表中的PointerToRawData的值确定该节在FileBuffer的起始地址,然后通过SizeOfRawData的值确定该节在FileBuffer中需要复制的数据的大小,再通过VirtualAddress再加上ImageBase得到此节在ImageBuffer中的起始地址,最后将FileBuffer对应的数据在ImageBuffer中的起始地址位置开始复制,完成第一个节的复制。此时ImageBuffer中的文件数据满足文件运行的条件,但文件仍然不能真正的运行。
PE文件结构
南宫封清的博客
04-19 5590
什么是可执行文件 可执行文件(executable file)指的是可以由操作系统进行加载执行的文件 windows平台:PE(Portable Executable)文件结构 Linux平台:ELF(Executable and Linking Format)文件结构 一些用到的概念 地址空间:这个地址空间指的是PE文件加载内存的空间,是一个虚拟的地址空...
2. PE文件的两种状态
z4ky的博客
06-23 406
PE文件有两种状态,一种是在硬盘中的状态,一种是在内存中的状态 在内存中的状态 其实 就是对在硬盘状态的拉伸 这里可以看到,DOS头,PE文件头,块表是不变的 剩余的段 是按照 内存对齐 文件对齐 来进行拉伸的 文件对齐的目的是 执行速度会快 ...
PE文件结构详解
热门推荐
神棍之路
07-20 1万+
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 6988
From:https://blog.youkuaiyun.com/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.youkuaiyun.com/qq_30145355/article/d...
PE 视频学习笔记
Oops-re的博客
12-20 1460
PE 视频学习 1.认识PE 首先,先介绍什么是可执行文件(executable file):可以由操作系统进行加载执行的文件PE(Portable Executable) 就是windows操作系统的可执行文件结构,一种可移植的可执行文件,即可在任何windows平台上运行 另外 **ELF(Executable and Linking Format)**是Linux系统的可执行文件结构 1.1PE文件格式的运用 病毒与反病毒 外挂与反外挂 加壳与脱壳 无源码修改功能、软件汉化。。。等 1.
简谈 PortableRemoteObject.narrow方法
05-30
PortableRemoteObject.narrow方法是Java RMI中的一个重要方法,用于在客户端中将远程对象引用强制转换为特定的类型。该方法的签名如下: ``` public static Object narrow(Object obj, Class<?> clazz) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值