PE文件

虚拟地址(VA)： 在一个程序运行起来的时候，会被加载到内存中，并且每个进程都有自己的4GB，这个4GB当中的某个位置叫做虚拟地址，由物理地址映射过来的，4GB的空间，并没有全部被用到。

• 基地址(Imagebase):磁盘中的文件加载到内存当中的时候可以加载到任意位置，而这个位置就是程序的基址。EXE默认的加载基址是400000h,DLL文件默认基址是10000000h。需要注意的是基地址不是程序的入口点。
• 相对虚拟地址(RVA):为了避免PE文件中有确定的内存地址，引入了相对虚拟地址的概念。RVA是在内存中相对与载入地址(基地址）的偏移量，所以你可以发现前三个概念的关系：虚拟地址(VA)= 基地址+相对虚拟地址(RVA)
• 文件偏移地址(FOA)：当PE文件储存在某个磁盘当中的时候，某个数据的位置相对于文件头的偏移量。
• 入口点(OEP)：首先明确一个概念就是OEP是一个RVA，然后使用OEP +Imagebase ==入口点的VA，通常情况下，OEP指向的不是main函数。

虚拟内存技术使得每个进程都可以独占整个内存空间，地址从零开始，直到内存上限。 每个进程都将这部分空间（从低地址到高地址）分为六个部分：

1. TEXT段：整个程序的代码，以及所有的常量。这部分内存是是固定大小的，只读的。

2. DATA段，又称GVAR：初始化为非零值的全局变量。

3. BSS段：初始化为0或未初始化的全局变量和静态变量。

4. HEAP（堆空间）：动态内存区域，使用malloc或new申请的内存。

5. 未使用的内存。

6. STACK（栈空间）：局部变量、参数、返回值都存在这里，函数调用开始会参数入栈、局部变量入栈；调用结束依次出栈。

作者：koii
链接：juejin.cn/post/730929…
来源：稀土掘金
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。