C++ PE:在.txt节末尾添加代码
正如我在C++ PE:在.txt节末尾添加代码,c++,c,windows,exe,portable-executable,C++,C,Windows,Exe,Portable Executable,正如我在PE中所了解的,文件虚拟大小显示加载期间为节分配的空间量,原始大小显示磁盘上的节有多大 我遇到了这个可执行文件,它执行以下操作: 它从原始数据大小(offset 0x10)中减去虚拟大小(offset 0x8),并确保有一些空间(例如100字节)。在文本节头的偏移量0x14处,它在文件中找到了该节本身的偏移量。它增加了虚拟大小,找到了文件中节结束的位置。它将一些外壳代码(最终跳到可执行文件的原始入口点以确保原始可执行文件运行)复制到二进制文件文本部分的末尾 现在我有点困惑了,如果虚拟大小
PEoffset 0x10offset 0x80x14现在我有点困惑了,如果虚拟大小显示了将分配给可执行文件的确切空间,那么在
.txtVirtualSizeSizeOfRawDataSizeOfRawDataVirtualSizeVirtualSize剩下的是故事…这是一个很好的问题,说明了Windows loader如何计算内存大小的一个非常重要的问题(或者你可能会说是怪癖) PE/COFF规范确实将VirtualSize描述为“加载到内存中时节的总大小”。如果将总数视为包含该节的真实数据的总量,这在技术上是正确的,但它不是为该节分配的内存窗口总量。您会发现VirtualSize通常小于Windows为内存中的节分配的量,因为VirtualSize必须向上舍入到最接近的内存对齐值(在PE映像中设置) 换句话说,VirtualSize表示节的未舍入大小,而SizeOfRawData表示图像文件中数据的大小,但舍入到最接近的文件对齐填充值。这就是为什么VirtualSize能够更好地表示内存或磁盘中数据的真实“原始”大小。PE/COFF规范不作此区分。为什么一个在图像文件中被舍入而另一个不被舍入,这可能源于向后兼容性 这正是外壳代码使用VirtualSize查找数据“真实”端的原因,即使它驻留在图像文件中。毫不奇怪,至少在格式良好的PE文件中,您可以通过将VirtualSize四舍五入到文件对齐方式的值来计算SizeOfRawData 外壳代码只是使用VirtualSize查找实际代码的结尾。在there和SizeOfRawData字节之间,只是未使用的填充零,这使得它成为添加新代码的主要位置,而不会影响文件的大小或破坏PE文件中的寻址偏移
总之,Windows加载器本质上获取VirtualSize值并将其向上舍入到内存对齐值,以获得内存分配的实际大小(甚至可以向上舍入到最接近的4k最小内存页)。然后,从文件复制到内存段开头的最大SizeOfRawData字节数。如果小于内存中节的大小,则剩余部分为零填充。感谢您的回复:)但即使添加了代码,在执行right时也只会加载
.txtVirtualSizeVirtualSizeVirtualSize.txt.txtRawDataSizevirtualSizeVirtualSize代表了这一绝对错误的部分的未经修正的大小<代码>虚拟化SizeOfRawData.bssSizeOfRawDatavirtualizeSizeOfRawDataVirtualSize