曲径通幽论坛
标题:
PE格式简介及相关术语
[打印本页]
作者:
beyes
时间:
2010-12-4 23:24
标题:
PE格式简介及相关术语
PE (Portable Executable) 是 Windows 的可执行文件格式,它使用一个平面地址空间存放所有数据和代码。整个文件内容被分割为不同的 section ,这些 section 中包含代码或数据,且每个 section 都有各自的属性(仅包含代码,仅包含数据,可读可写或只读)。
每个 section 都有其名字,常见的命名有 .rdata, .data, .idata, .text, .rsrc 等,其含义如下:
.rdata
运行时只读数据段
.data
初始化数据段
.idata
包括外来的 DLL 中的函数及数据信息,也称为数据表
.text
代码段,期间内容全部为指令代码
.rsrc
包含全部的资源,如图标,菜单,位图等
PE 格式的一个特点就是磁盘上的数据结构与内存中的结构一致。加载一个可执行到内存主要就是将一个 PE 文件的某一部分映射到内存的地址空间中。这样,磁盘中的结构和内存中的结构就一一对应起来。
PE 文件结构大致如下图所示:
[attach]88[/attach]
磁盘到内存映射如下所示:
相关术语:
程序入口点(Entry Point)
:PE 文件执行时的入口点,即程序执行时的第一行代码。在用 LordPE 查看时,如可以看到一个程序的入口点为 000013A0,映像基地址为 40000000;同时,如果在 ollydbg 调试器里设置“第一次暂停在 WinMain“(调试选项-->事件-->设置第一次暂停于..),那么当加载可执行文件时,程序会停在 winMain 的第一条指令地址处(push ebp),这条地址就是 400013A0 。
基地址:
当可执行文件被加载到内存中时,被映射的初始地址即为基地址。
虚拟地址
:在保护模式下,程序所访问的地址都是虚拟地址。如上面的 400013A0 就是虚拟地址。
欢迎光临 曲径通幽论坛 (http://www.groad.net/bbs/)
Powered by Discuz! X3.2