您的位置:威尼斯官方网站 > 威尼斯官方网站 > 位图字体等

位图字体等

发布时间:2019-11-27 17:27编辑:威尼斯官方网站浏览(94)

    《软件漏洞深入分析才具》笔记

    PE文件:

      PE(Portable Executable卡塔 尔(阿拉伯语:قطر‎是win32平台下可实行遵从的多寡格式。平常大规模的譬喻*.exe和*.dll都是PE文件。

      可推行文件:满含二进制代码,字符串,菜单,Logo,位图字体等。

      运营时操作系统会按PE文件的预订定位财富并装载入内存。可奉行文件 ——>拆分——>若干数额节<——分歧的财富。

      标准PE文件经常包蕴:.text(编写翻译器发生,贮存二进制代码, 反汇编和调整的指标卡塔尔国、.data(伊始化数据块卡塔 尔(阿拉伯语:قطر‎、.idata(使用的外来函数如动态链接库与公事音讯)、.rsrc(贮存程序资源卡塔尔国,还包含其余如.reloc、.edata、.tls、.rdata等。

    设想内部存储器:

      Windows内存:1.物理内部存储器层面;2.设想内部存款和储蓄器层面。

      物理内部存款和储蓄器日常内核等级ring0手艺看出;平日客户格局下看到的为Windows顾客态内存映射机制下的虚构内部存款和储蓄器。

      内部存款和储蓄器微机能够使进度在骨子里唯有512MB物理内部存款和储蓄器的图景下使进度“以为”自个儿独具4GB内部存款和储蓄器(此中包涵代码, 栈空间,能源区,动态链接库等卡塔 尔(阿拉伯语:قطر‎。

    威尼斯官方网站 1

      这种意况和实际生活中国际清算银行行行日常,你供给用的钱其实并不等于你富有的能源,银行其实具有的金额数稍低于全部储户的财物和。

      那万大器晚成有客商要求抽取超超过实际际金额数怎么办,操作系统原理中有“设想内部存款和储蓄器”概念, 即在这里种状态下一时会将“部分硬盘空间”一时半刻作为内部存款和储蓄器使用。(两个“设想内部存款和储蓄器“概念对象不相同,不宜同日而语卡塔 尔(阿拉伯语:قطر‎

    PE文件与设想内部存款和储蓄器之间的映照

      (1卡塔尔国.文件偏移地址(File Offset卡塔 尔(阿拉伯语:قطر‎:数据在PE文件中的地址,在磁盘上寄存时相对于文件开端的舞狮。

      (2卡塔 尔(英语:State of Qatar).装载基址(Image Base卡塔尔:PE装入内部存款和储蓄器时的营地址。暗许EXE文件在内部存款和储蓄器中的基地址为0x00400000,DLL为0x10000000。当然地方可由编写翻译选项修改。

      (3卡塔尔.设想内部存款和储蓄器地址(Virtual Address,VA卡塔 尔(阿拉伯语:قطر‎:PE文件中的指令棉被服装入内部存款和储蓄器后之处。

      (4卡塔 尔(阿拉伯语:قطر‎.相对设想地址(Relative Virtual Address,奥迪Q5VA卡塔尔国:内存地址绝对于映射基址(即装载基址卡塔 尔(英语:State of Qatar)的偏移量。

      VA、Image Base、GL450VA之间关系:

            VA = Image Base + RVA;

      可见道为: 实际 = 基点 + 位移.

    威尼斯官方网站,  暗中认可景况下:经常PE文件的0字节 =》虚构内部存款和储蓄器0x00400000职位,即所谓的装载地点。

     

      装载PE文件时,文件偏移地址(磁盘上卡塔尔国与SportageVA(内部存款和储蓄器上卡塔 尔(英语:State of Qatar)有比非常大学一年级致性(操作系统会尽恐怕保险PE中各数据结构卡塔 尔(阿拉伯语:قطر‎,那无差别会有细微差别,由文件数量和内部存款和储蓄器数据的贮存单位不一样变成。

      在PE文件中,以磁盘数据正式贮存(大家理解硬盘以二个section为骨干单位,即512byte卡塔 尔(英语:State of Qatar),0x200字节,当一个数据节不足0x200字节时填充0x00;

      而在内部存款和储蓄器中,则以0x1000字节(4byte卡塔 尔(阿拉伯语:قطر‎为宗旨单位开展集体,别的与前者相仿。

     

      在张开File Offset和VA换算时,会由存款和储蓄单位引起节基址差称为节偏移。例如:

    威尼斯官方网站 2

      则有:

    威尼斯官方网站 3

      那么就足以测算出:

      FileOffset = VA - Image Base -节偏移

            = VA - Image Base - (相对设想偏移量 - 文件偏移量卡塔 尔(英语:State of Qatar)

      按上表,比方总结设想内部存款和储蓄器中0x00404141处的一条指令,要换算出该指令在文件中的偏移量:

          文件偏移量 = 0x00404141 - 0x00400000(暗中同意的Image Base卡塔 尔(英语:State of Qatar)-(0x1000 - 0x400)(代码存于.text文件中卡塔 尔(阿拉伯语:قطر‎ = 0x3541

     

      一些PE工具也提供这类地址转变:Lord PE.

     =_=..

    本文由威尼斯官方网站发布于威尼斯官方网站,转载请注明出处:位图字体等

    关键词:

上一篇:第七章 鼠标(CHECKER3)

下一篇:没有了