-
-
[原创]PE文件格式学习(1)——基本概念
-
发表于: 2020-12-11 23:07
-
Windows系统是大多数CTF选手日常打交道的系统,而我们逆向中常见的文件便是Windows下的可执行文件,我们又称之为PE文件。
记事本(notepad.exe)具有普通PE文件的基本结构,这个系列博客将以记事本为例讲解PE文件结构,欢迎各位CTF选手跟进学习!
PE文件的种类如下表所示:
其中我们接触最多的应该是EXE(可执行文件)和DLL(动态链接库)。
要执行PE文件,需要先将文件从磁盘以一定的规则加载到内存中,PE文件加载到内存中的情形如图所示:
其中,从DOS头(DOS header)到节区头(Section header)是PE头部分,其下的节区合称PE体。
VA指的是进程虚拟内存的绝对地址,RVA ( Relative Virtual Address, 相对虚拟地址)指从某个基准位置( ImageBase )开始的相对地址。 VA与RVA满足下面的换算关系。
最后于 2020-12-12 15:03
被34r7hm4n编辑
,原因:
|
|
|---|---|
