16,472
社区成员
发帖
与我相关
我的任务
分享关于PE加载器(PE Loader)
一直有个疑问,用鼠标双击一个EXE文件之后到底发生了什么事情。后来知道了 PE Loader 会加载这个EXE程序并运行。现
在的问题是PE Loader本身是什么东西?也是一个EXE程序吗?它又是由什么别的程序调用的呢?在哪个文件夹能找到它?
...全文
请发表友善的回复…
发表回复
SearchLife 2009-06-10
- 打赏
- 举报
MARK
wesley2005 2009-03-12
- 打赏
- 举报
其实是内核做内存映射时,做的检查
放在MiCreateImageFileMap中
放在MiCreateImageFileMap中
蓝色歌谣 2008-06-29
- 打赏
- 举报
感谢几位朋友的热心解答,已经大概了解,多亏你们了
KeSummer 2008-06-28
- 打赏
- 举报
如果是intel 单核 32位CPU,那么是ntoskrnl.exe这个文件。。
pe loader其实是它的一部分。
当BIOS引导硬盘的时候,MBR程序会加载NTLDR(系统盘下),然后进行初始化工作,例如进入保护模式等等,然后它就会加载ntoskrnl.exe到内存当中。
pe loader其实是它的一部分。
当BIOS引导硬盘的时候,MBR程序会加载NTLDR(系统盘下),然后进行初始化工作,例如进入保护模式等等,然后它就会加载ntoskrnl.exe到内存当中。
alan001 2008-06-28
- 打赏
- 举报
学习
UP一下
UP一下
pigsanddogs 2008-06-28
- 打赏
- 举报
PE Loader 是个抽象的东西, 可以泛指进程创建的过程。
双击鼠标的时候, explorer调用CreateProcess api创建一个进程,
最终通过sysenter进入os内核r0, 内核检测pe的合法性, 然后分配必要的内核资源,并把“进程”挂链。
字面上讲, PE是win32下的一种可执行格式, 是一种协议。
loader则是吧这种格式的文件加载起来。 包括格式分析, 创建必要的内核资源等。。
双击鼠标的时候, explorer调用CreateProcess api创建一个进程,
最终通过sysenter进入os内核r0, 内核检测pe的合法性, 然后分配必要的内核资源,并把“进程”挂链。
字面上讲, PE是win32下的一种可执行格式, 是一种协议。
loader则是吧这种格式的文件加载起来。 包括格式分析, 创建必要的内核资源等。。
蓝色歌谣 2008-06-28
- 打赏
- 举报
explorer怎么样和 ntoskrnl.exe交互? 是不是用一条sysenter 指令就转到ntoskrnl.exe里的代码执行去了??
NTLDR将ntoskrnl.exe加载到内存当中以后,它一直都在运行吗,似乎任务管理器看不见这个进程?
NTLDR将ntoskrnl.exe加载到内存当中以后,它一直都在运行吗,似乎任务管理器看不见这个进程?
珍惜生命远离CPP 2008-06-27
- 打赏
- 举报
在操作系统内核中
