xp下用户程序空间分配（4）：加载主程序

这个是主程序，它的模块信息：

对应的内存块：

这些块的类型都是MEM_IMAGE，且分配时的保护标志都是PAGE_EXECUTE_WRITECOPY，MSDN这样解释这 个标志位：

Enables execute, read, and write access to the committed region of image file code pages. The pages are shared read-on-write and copy-on-write.

这几个内存块的分配基址 都是一样的，猜测windows是为整个文件申请了一块大的空间，然后将文件里面的section分别写入到不 同的区域里面去。

用下面的命令行将所有的信息dump出来。

dumpbin /all bash.exe

再把它们和内存里的数据进行比较。

1.1 文件头

先看从原始文件中dump出来的文件头：

FILE HEADER VALUES
14C machine (x86)
5 number of sections
4A910052 time date stamp Sun Aug 23 16:39:46 2009
0 file pointer to symbol table
0 number of symbols
E0 size of optional header
102 characteristics
Executable
32 bit word machine

一共有5个section，但是上 面有6个块，怎么就对应不上呢，想来0x0040 0000这个块应该是文件头信息：

0x00400000　 4d 5a 90 00 03 00 00 00 04 00 00 00 ff ff 00 00　 MZ..............
0x00400010　 b8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00　 ........@.......
0x00400020　 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00　 ................
0x00400030　 00 00 00 00 00 00 00 00 00 00 00 00 e0 00 00 00　 ................
0x00400040　 0e 1f ba 0e 00 b4 09 cd 21 b8 01 4c cd 21 54 68　 ........!..L.!Th
0x00400050　 69 73 20 70 72 6f 67 72 61 6d 20 63 61 6e 6e 6f　 is program canno
0x00400060　 74 20 62 65 20 72 75 6e 20 69 6e 20 44 4f 53 20　 t be run in DOS
0x00400070　 6d 6f 64 65 2e 0d 0d 0a 24 00 00 00 00 00 00 00　 mode....$.......
0x00400080　 b0 80 2d 3c f4 e1 43 6f f4 e1 43 6f f4 e1 43 6f 　 .€-<..Co..Co..Co
0x00400090　 49 ae d5 6f f9 e1 43 6f ea b3 d6 6f ff e1 43 6f　 I..o..Co...o..Co
0x004000A0　 ea b3 c7 6f f3 e1 43 6f ea b3 d0 6f f0 e1 43 6f　 ...o..Co...o..Co
0x004000B0　 f4 e1 42 6f 5f e1 43 6f d3 27 38 6f f3 e1 43 6f　 ..Bo_.Co.''8o..Co
0x004000C0　 ea b3 c0 6f 88 e1 43 6f ea b3 d2 6f f5 e1 43 6f　 ...o..Co...o..Co
0x004000D0　 52 69 63 68 f4 e1 43 6f 00 00 00 00 00 00 00 00　 Rich..Co........
0x004000E0　 50 45 00 00 4c 01 05 00 49 a8 94 4a 00 00 00 00　 PE..L...I..J....
0x004000F0　 00 00 00 00 e0 00 02 01 0b 01 09 00 00 be 05 00　 ................
0x00400100　 00 e2 00 00 00 00 00 00 30 bb 05 00 00 10 00 00　 ........0.......
0x00400110　 00 d0 05 00 00 00 40 00 00 10 00 00 00 02 00 00　 ......@.........
0x00400120　 05 00 00 00 00 00 00 00 05 00 00 00 00 00 00 00　 ................
0x00400130　 00 f0 06 00 00 04 00 00 60 40 07 00 03 00 40 81　 ........`@....@.
0x00400140　 00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00　 ................
0x00400150　 00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00　 ................

这些内存数据和原始文件头里面的数据是完全相同的。

在c运行库里提 供了一个叫__ImageBase的全局变量，存放这个变量的地

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!