PE文件格式
- PE 文件格式把可执行文件分成若干个数据节(section),不同的资源被存放在不同的节中。 一个典型的 PE 文件中包含的节如下:
- .text 存放着二进制的机器代码
- .data 初始化的数据块,如宏定义、全局变量、静态变量等。
- .idata 可执行文件所使用的动态链接库等外来函数与文件的信息。
- .rsrc 存放程序的资源,如图标、菜单等。
- 除此以外,还可能出现的节包括“.reloc”、“.edata”、“.tls”、“.rdata”等。
- 某些加壳处理会影响节信息
PE 文件与虚拟内存之间的映射
- 文件偏移地址: 文件中的数据,二进制代码等相对于文件头部的偏移地址
- 装载基址:文件加载进内存时的文件头部的地址
- 默认情况下,EXE 文件在内存中的基地址是 0x00400000,DLL 文件是 0x10000000。这些位置可以通过修改编译选项更改
- 虚拟内存地址: PE中的指令数据等加载进内存后的地址
- 相对虚拟地址: 相对虚拟地址是内存地址相对于映射基址的偏移量。
- 虚拟内存地址 != 装载基址+文件偏移地址
- 相对虚拟地址 = 虚拟内存地址 - 装载基址
- 造成相对相对虚拟地址与文件偏移地址的差异的原因:
- PE 文件中的数据按照磁盘数据标准存放,以 0x200 字节为基本单位进行组织。
- 当代码装入内存后,将按照内存数据标准存放,并以 0x1000 字节为基本单位进行组织
- 不够一个基本单位填充 0x00 ,永远是基本单位的整数倍
使用lord PE可查看修改内存关系
- 文件偏移地址 = 虚拟内存地址(VA)- 装载基址(Image Base)- 节偏移
- 节偏移 = 文件偏移地址- 虚拟内存地址