我看到对于图像文件中的部分,VirtualSize 字段是加载到内存中时该部分的总大小,而 SizeOfRawData 字段是该部分在磁盘上的初始化数据的大小。
在检查 .idata 部分时,VirtualSize 字段设置为 0x14,而 SizeOfRawData 字段设置为 0x400。
为什么链接器(在本例中为 MinGW ld)会使文件部分如此之大,而加载到内存中的部分只是它的一小部分?
另外,VirtualSize 字段的用途是什么?为什么不总是加载整个部分,即加载 SizeOfRawData 字节?
我在官方 PE 文档中没有看到描述或它们之间的关系。
【问题讨论】:
标签: windows assembly windows-10 portable-executable
SizeOfRawData(图像文件中原始数据部分的大小)总是多个IMAGE_OPTIONAL_HEADER.FileAlignment
文件对齐
图像文件中各个部分的原始数据的对齐方式,以字节为单位。 该值应该是 512 和 64K(含)之间的 2 的幂。这 默认为 512。如果 SectionAlignment 成员小于系统 页面大小,此成员必须与 SectionAlignment 相同。
VirtualSize 字段的用途是需要为部分分配和复制多少内存。没有这个字段 loader 怎么知道这个?
VirtualSize 可以大于或小于 SizeOfRawData。
例如,我们可以在节中只有几个字节的已初始化实际数据并且没有未初始化的数据 - 所以 VirtualSize 将只有几个字节大小,而 SizeOfRawData 512 个字节
在 .data 或 .bss 部分的另一种情况下 - 可以根本没有初始化数据(所以 SizeOfRawData == 0)但 VirtualSize != 0。
所以加载器为部分分配(VirtualSize + SectionAlignment - 1) & ~(SectionAlignment-1)字节并将min(VirtualSize, SizeOfRawData)字节从文件复制到它
【讨论】:
SizeOfRawData = ROUND_TO_SIZE(cbInit, FileAlignment) = 0x200 VirtualSize = cbInit + cbUninit = 0x220 loader copy min(SizeOfRawData,VirtualSize)=min(0x200,0x220)=0x200 bytes - 所以部分覆盖未初始化的数据。但这不是问题,因为链接器用 0 字节填充初始化的数据填充。