Pe méret
Ez azt jelenti, a PE fájl?
PE - egy mozaikszó hordozható végrehajtható, azaz hordozható (univerzális) futtatható fájlt =) Ez a formátum jelent meg az utóbbi időben, Windows 3.11, de a jelenlegi eloszlását érkezett az emelkedés a Windows 95 Azt lehet mondani, hogy most már a számítógépek Windows 9x / 2K / XP / Vista / 7 95% -a a futtatható ( exe, dll, illesztőprogramok (sys)) fájlt - ez PE fájlokat.
Tudna röviden, a minimum, írja le a PE fájl formátum?
PE fájl megvan a saját szerkezete. Nagyon röviden, megpróbálom leírni. Kezdetben a fájl egy DOS fejlécet, amely magában foglalja a DOS MZ-fejléc és DOS-csonk. DOS-csonk, sőt, egy teljes exe, különcség fut opepatsionnoy rendszer, amely ismeri a PE-formátumban. Általában ebben az esetben, akkor megjeleníti a pposto vpode a húr „Ez a program nem futtatható DOS módban”, vagy valami ilyesmi =) Ha az operációs rendszer - Windows, DOS-stub nem kerül végrehajtásra. Ezután következik a PE-header (valójában a DOS-fejléc és a PE fejléc van valami, de nem írom le, mert nem szükséges, hogy a kezdeti megértését a PE formátum). PE fejléc kezdődik 4-bájtos aláírását. amely egy 2 byte - egyenlő 0. Ekkor jönnek a különböző adatok, amelyek nem fogom leírni a „PE” (4550h) és 2 bájt. Nagyon sok részlet látható a Standard formátum leírása PE fájlokat. Miután a PE fejlécben van egy táblázat fájlt szakaszok (Object táblázat), amely ismerteti a paramétereket a fájl szakaszok (a kódrészlet, adatok, források, stb), azaz a neve a szakasz, a virtuális méret, RVA. méret a szakasz a fájl offset a szakasz a fájlban, a jellemző részben. A számos ilyen szerkezetek a táblázatban szakaszok száma megegyezik az szakaszok. A szakaszok száma van tárolva a PE fejlécben. A táblázat után szakaszok szakaszok oldalképeket, hogy van, egyszerűen fogalmazva, szakaszok önmagukban egyik a másik után.
És mi az a fejezet, EXE fájlt?
Mi TLS?
TLS (Thread Local Storage, menet helyi tárolás) - Ez a 24 (18h) bájtstruktúra, az utolsó 8 bájt nulla lőtt, de ez nem lényeges. Natív szerkezete ezen a helyen .rdata szakaszok (legalábbis írt programok Delphi). Menet Helyi tárolás kiemelésére területek által használt memória flow (szálak) az adatok tárolására. Egy érdekes tulajdonsága a TLS az a képesség, hogy a program belépési pontja
Mit jelentenek ezek a kifejezések, hogy látjuk a show ProcDump programok, mint a fájl szakaszok. LordPE (a példában ProcDump): Név, virtuális méret, virtuális offset, nyers méret, Nyers Eltolás jellemzők?
Név ebben az esetben - a neve a szakasz. Ez lehet bármilyen (maximális hosszúság - 8 karakter), és a változás általában nem befolyásolja a teljesítményét a program. Kivéve a szakasz nevét .rsrc Virtuális Resources Size - a méret a szakasz a memóriában. Virtuális Offset - Ez ellensúlyozza a szakasz a memóriában tekintetében fényképek Base, más szóval - ez ebben a szakaszban RVA. Nyers Size - a méret a szakasz a fájlt a lemezen. Nyers Offset - Ez ellensúlyozza a szakasz a fájl lemezen tekintetében a fájlt. Jellemzői - Ez a 4-bájtos szám, amely meghatározza a jellemzői a szakasz, annak tulajdonságait. Ez a szám azt jelzi, hogy a szakasz egy részén végrehajtható vagy nem lehet olvasni az adatokat ebben a szakaszban, az adatok rögzítése, hogy ebben a szakaszban, stb