PE(Portable Execute)文件是WIN32下可运行文件遵循的数据格式,也是反汇编调试不可缺少的文件,常见的pe文件有.exe和.dll文件。本文主要介绍pe文件的结构和虚拟内存地址转换到文件地址的方法。
pe文件的基本结构
主要的pe文件主要包含下面部分:例如以下图
- .text节:由编译器产生,村反击本的二进制机器码,我们调试非常烦会变得而主要对象。
- .data节:数据块,宏定义,全局变量,静态变量等。
- .idata节:可运行文件使用的动态链接库和外来函数信息与文件信息等。
- .rsrc节:承训的资源,图标,菜单等
几个重要概念
上面简介了pe的基本结构,如今结合下图,介绍几个存储地址的基本概念,为后面的地址转换做准备。
- 文件偏移地址:主要指的是文件里内容相对于文件开头的偏移量(a-0)。因此文件地址从开头的0開始依次添加。
- 装载地址(image base):主要指的是程序执行时候装载在内存中时候,非配给该文件的首要内存地址(400000),也就是装载地址位置存放的是文件地址为0处的文件。
- 虚拟内存地址(virtual address,VA):文件被装入内存后的内存地址(b)。
- 相对虚拟地址(relative virtual address,RVA):文件被装入到内存后的地址与装载基址的距离(b-400000),即相对于装载基址的偏移量(内存地址VA-装载基址IMAGE BASE)。
注意:文件偏移地址≠相对虚拟地址,主要原因是:文件偏移地址是相对于在磁盘存放时候的偏移量,而磁盘以0×200(0.5k)为单位,每一个节占用的大小为0×200的倍数(多拆少补0×00),而相对虚拟地址是相对于内存的偏移量,而内存以0×1000(1K)为单位,每一个节占用的大小为0×1000的倍数(多拆少补0×00)。由此产生每一个节的差量称为为节偏移(.text节的节偏移为(d-4000)-(c-0),即为填充部分),映射方式例如以下图:
文件偏移地址与虚拟内存地址的转换
因此如今我们能够通过IDA得到虚拟内存地址(VA)为b,通过LordPE能够得出节偏移(d-c),然后就可以得出a的地址为(a=b-400000-[(d-400000)-(c-0)]),总结成公式即为:
文件偏移地址=VA-Image Base-节偏移
本文出自个人博客:PE文件简单介绍
以上内容基于阅读《0day安全:软件漏洞分析》后个人理解