PE加载过程 FileBuffer-ImageBuffer

Sebastian · 2022-9-22 23:13:14

PE加载过程 FileBuffer-ImageBuffe
r一、FileBuffer到ImageBuffer常见的误区
1.文件执行的总过程

我们知道一个硬盘上的文件读入到内存中（FileBuffer），是原封不动的将硬盘上的文件数据复制一份放到内存中
接着如果文件要运行，需要先将FileBuffer中的文件数据"拉伸"，重载到每一个可执行文件的4GB虚拟内存中！此时称文件印象或者内存印象，即ImageBuffer
但是ImageBuffer就是文件运行时真正在内存中状态吗？或者说文件在ImageBuffer中就是表示文件被执行了吗？不！！！！！！
在ImageBuffer中的文件数据由于按照一定的规则被"拉伸"，只是已经无线接近于可被windows执行的文件格式了！但是此时还不代表文件已经被执行了，因为此时文件也只是处在4GB的虚拟内存中，如果文件被执行操作系统还需要做一些事情，将文件真正的装入内存中，等待CPU的分配执行
所以不要理解为ImageBuffer中的状态就是文件正在被执行，后面操作系统还要做很多事情才能让ImageBuffer中的文件真正执行起来的2.SizeOfRawData一定大于Misc.VirtualSize？
SizeOfRawData表示此节在硬盘上经过文件对齐后的大小；Misc.VirtualSize表示此节没有经过对齐的在内存中的大小。那么是不是说SizeOfRawData一定大于Misc.VirtualSize呢？不一定！！！！！！！
我们写C语言的时候知道如果你定义一个数组已经初始化，比如int arr[1000] = {0};，此时编译成.exe文件存放在硬盘上时，这1000个int类型的0肯定会存放在某一个节中，并且分配1000个0的空间，这个空间大小是多少，最后重载到ImageBuffer时还是多少，即Misc.VirtualSize不管文件在硬盘上还是内存中的值都是一致的。所以，SizeOfRawData一般都是大于Misc.VirtualSize的
但是如果我们定义成int arr[1000];，表示数据还未初始化，并且如果程序中没有使用过或初始化过这块内存空间，那么我们平时看汇编会发现其实编译器还没有做任何事情，这就只是告诉编译器需要留出1000个int宽度大小的内存空间。所以如果某一个节中存在已经被定义过但还未初始化的数据，那么文件在硬盘上不会显式的留出空间，即SizeOfRawData中不会算上未初始化数据的空间；但是此节的Misc.VirtualSize为加载到内存中时节的未对齐的大小，那么这个值就需要算上给未初始化留出来空间后的整个节的大小，故在内存中的节本身的总大小可能会大于硬盘中的此节文件对齐后的大小。

二、模拟PE加载过程
PE加载过程 FileBuffer-ImageBuffer - Sebastian_UltraDebug

我们先在硬盘上找一个可执行文件，将文件的数据复制到内存中，即FileBuffer中（前面的练习做过很多次了）
根据SizeOfImage的大小，再使用malloc开辟一块ImageBuffer（SizeOfImage即为文件加载到4GB内存的大小）
因为NT头和节表文件对齐后的这段数据经过PE loader加载到ImageBuffer是不会变的，所以直接可以将NT头和节表文件对齐后的这块数据从FileBuffer中复制到ImageBuffer中
接着就是复制所有节的数据：需要使用循环，先复制第一个节的内容。通过第一个节对应节表中的Point

还有更多的精彩内容，作者设置为付费后可见

账号		自动登录	找回密码
密码			立即注册

[原创] PE加载过程 FileBuffer-ImageBuffer

相关帖子