开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Windows上PE文件(exe)的最小文件大小是多少？而最小的内存分配？

Windows上PE文件(exe)的最小文件大小是4KB。最小的内存分配是64KB。

PE文件是Windows操作系统中可执行文件的一种格式，它包含了程序的代码、数据和资源等信息。PE文件的最小文件大小是4KB，这是由于Windows操作系统的文件系统的最小簇大小为4KB，即文件系统以簇为单位进行存储，每个簇的大小为4KB。因此，即使PE文件的实际大小小于4KB，它也会占用4KB的磁盘空间。

最小的内存分配是64KB，这是由于Windows操作系统的内存管理机制。在Windows中，内存以页为单位进行分配，每个页的大小为4KB。而最小的内存分配单位是一个页，即4KB。因此，无论程序实际需要多少内存，Windows操作系统都会分配至少一个页的内存空间，即64KB。

腾讯云相关产品和产品介绍链接地址：

腾讯云云服务器（CVM）：提供可扩展的计算能力，满足各种业务需求。详情请参考：https://cloud.tencent.com/product/cvm
腾讯云云数据库MySQL版：提供高性能、可扩展的MySQL数据库服务。详情请参考：https://cloud.tencent.com/product/cdb_mysql
腾讯云对象存储（COS）：提供安全、稳定、低成本的云端存储服务。详情请参考：https://cloud.tencent.com/product/cos
腾讯云人工智能：提供丰富的人工智能服务，包括图像识别、语音识别、自然语言处理等。详情请参考：https://cloud.tencent.com/product/ai

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Process Doppelganging (Mitre:T1055.013)

尤金·科岗和塔尔·利伯曼在Blackhat EU 2017上展示了一种称为"Process Doppelganging"的入侵检测规避技术，在这种方法中NTFS事务被用来创建一个包含我们的有效负载的虚拟文件，它用我们的有效负载创建一个新的NTFS内存段，然后回滚虚拟文件，使恶意软件只存在于内存中(我们新创建的部分)，然后这个部分可以被加载到一个新的进程中，并在伪装下执行，我们将在实际代码中看到这一点

01

C/C++ 进程隐藏&加载寄生&僵尸进程

众所周知，windows下可执行文件必须符合一定的格式要求，微软官方称之为PE文件（关于PE文件的详细介绍这里就不赘述了，google一下可以找到大把）；用户在界面双击exe时，有个叫做explorer的进程会监测并接受到这个事件，然后根据注册表中的信息取得文件名，再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe；PC中用户一般都是这样运行exe的，所以很多用户态的exe都是exlporer的子进程。

02

2.11 PE结构：添加新的节区

在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。

01

2.11 PE结构：添加新的节区

在可执行PE文件中，节（section）是文件的组成部分之一，用于存储特定类型的数据。每个节都具有特定的作用和属性，通常来说一个正常的程序在被编译器创建后会生成一些固定的节，通过将数据组织在不同的节中，可执行文件可以更好地管理和区分不同类型的数据，并为运行时提供必要的信息和功能。节的作用是对可执行文件进行有效的分段和管理，以便操作系统和加载器可以正确加载和执行程序。

02

[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

作者前文介绍了PE文件格式，熟悉各种PE编辑查看工具，针对目标EXE程序新增对话框等；这篇文章将介绍Windows PE病毒，包括PE病毒原理、分类及感染方式详解，并通过案例进行介绍。这些基础性知识不仅和系统安全相关，同样与我们身边的APP、常用软件及操作系统紧密联系，希望这些知识对您有所帮助，更希望大家提高安全意识，安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章，并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

01

操作系统实验五

- 什么是分页过程当 Windows 求助于硬盘以获得虚拟内存时，这个过程被称为分页 (paging) 。具体是通过MMU（Memory Management Unit 内存管理单元）将硬盘上的虚拟地址映射为物理内存地址。优点是使大内存占用程序不至于异常退出。缺点是虚拟内存要远慢于物理内存（访问虚拟内存大约要4-10毫秒，访问物理内存只要60 us） - 什么是内存共享共享内存是被多个进程共享的一部分物理内存。共享内存是进程间共享数据的一种最快的方法，一个进程向共享内存区域写入了数据，共享这个内存区域的所有进程就可以立刻看到其中的内容。 - 什么是“未分页合并内存”和“分页合并内存” Windows规定有些虚拟内存可以交换到文件中，这类内存被称为分页内存，有些虚拟内存永远不会交换到文件中，这些内存叫非分页内存。比如用于处理页故障的代码和数据结构必须常驻内存，这些就是未分页内存。 - Windows xp 中未分页合并内存的最大限制是多少 256MB - Windows xp 分页文件默认设置的最小容量和最大容量是多少 Windows xp 使用内存数量的 1.5 倍作为分页文件的最小容量，这个最小容量的两倍作为最大容量。（这里似乎有个问题，但还是按指导书上来了。虚拟内存应该最大可设置为盘符最大可用空间）

02

PE文件格式详解,第二讲,NT头文件格式,以及文件头格式

这是一篇关于技术社区内容编辑的招聘文章，主要介绍了职位要求、工作内容以及社区的优势。该职位需要具备一定的技术背景和经验，熟悉各种编辑工具，并能够快速响应社区的需求。工作内容主要包括技术内容编辑、技术专栏维护、技术社区运营等。加入该社区可以接触最先进的技术和理念，与优秀的同行一起工作，并有机会参与社区管理，打造国内顶尖的技术社区。

06

MR调优实战

参数1-6是针对yarn的设置。参数1是告诉集群本节点有多少内存资源。2和3设置单个container能够申请到的最小最大内存。4是是否物理开启内存监控，监控container实际占用内存是否超标，超标则直接kill掉。5和6分别设置虚拟内存监控开关以及虚拟内存大小。

06

windows虚拟内存机制

在windows系统中个，每个进程拥有自己独立的虚拟地址空间(Virtual Address Space)。这一地址空间的大小与计算机硬件、操作系统以及应用程序都有关系。

03

记一次详细的勒索病毒分析

第一次写病毒分析的文章，之前表哥丢给我一个样本断断续续分析了好几天才搞明白，如有任何错误，还请各位多加指点

01

APT之旅 - PE静态内容结构

PE 是一种文件格式，在Windows操作系统上的执行可执行文件（.exe）、动态链接库（.dll）、驱动程序以及其他可执行文件类型都是 PE 格式。了解其格式对恶意分析及使用高级的攻击手法有很大的帮助，很多高级的攻击手段都需要对 PE、PEB 有详细的了解。

02

C/C++ 读取文件16进制格式

比如我想要找到内存里 KiProcessExpiredTimerList+0x102 的位置：

01

PE格式：实现PE文件特征码识别

PE文件就是我们常说的EXE可执行文件，针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的，前提是要有特征库，PE特征识别有多种形式，第一种是静态识别，此方法就是只针对磁盘中文件的特征码字段进行检测来判断编译器版本，此种方式优点是快，缺点是识别不准确，第二种则是动态识别，当程序被装入内存解码后在尝试对其进行识别，此方法最为准确，我们经常使用的PEID查壳工具是基于静态检测的方法。

00

PE格式：实现PE文件特征码识别

PE文件就是我们常说的EXE可执行文件，针对文件特征的识别可以清晰的知道该程序是使用何种编程语言实现的，前提是要有特征库，PE特征识别有多种形式，第一种是静态识别，此方法就是只针对磁盘中文件的特征码字段进行检测来判断编译器版本，此种方式优点是快，缺点是识别不准确，第二种则是动态识别，当程序被装入内存解码后在尝试对其进行识别，此方法最为准确，我们经常使用的PEID查壳工具是基于静态检测的方法。

02

文件上传测试：Windows 创建指定大小的文件

『我们测试文件上传时需要上传指定大小的文件，Windows 如何创建指定大小的文件，有比较便捷的操作方法吗？』

03

[re入门]PE文件结构

EXE和DLL文件之间的区别完全是语义上的，他们使用完全相同的PE格式。唯一的区别就是用一个字段标识出这个文件是EXE还是DLL。还有许多DLL的扩展，如OCX控件和控制面板程序（.CPL文件）等都是DLL，它们有一样的实体。

01

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

02

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

04

2.1 PE结构：文件映射进内存

PE结构是Windows系统下最常用的可执行文件格式，理解PE文件格式不仅可以理解操作系统的加载流程，还可以更好的理解操作系统对进程和内存相关的管理知识，在任何一款操作系统中，可执行程序在被装入内存之前都是以文件的形式存放在磁盘中的，在早期DOS操作系统中，是以COM文件的格式存储的，该文件格式限制了只能使用代码段，堆栈寻址也被限制在了64KB的段中，由于PC芯片的快速发展这种文件格式极大的制约了软件的发展。

01

别被谭浩强的《C程序设计》带偏了！

这个问题展开可以聊的东西非常多，从编程语言到可执行文件，从堆栈空间到虚拟内存，可以帮助面试官快速了解候选人这部分的知识储备。

01

[系统安全] 七.逆向分析之PE病毒原理、C++文件加解密及OllyDbg逆向

娜璋AI安全之家于2020年8月18日开通，将专注于Python和安全技术，主要分享Web渗透、系统安全、CVE复现、威胁情报分析、人工智能、大数据分析、恶意代码检测等文章。真心想把自己近十年的所学所做所感分享出来，与大家一起进步。

04

MapReduce性能优化大纲

检测系统瓶颈性能调优创建一项基线，用来评估系统的首次运行性能（即集群默认配置）分析Hadoop计数器，修改，调整配置，并重新执行任务，与基线进行比较重复执行第2步，直到最高效率识别资源瓶颈内存瓶颈当发现节点频繁出现虚拟内存交换时表示出现了内存瓶颈 CPU瓶颈通常情况下，处理器负载超过90%，在多处理器系统上整体负载超过50% 判断是否是单个特定线程独占了CPU IO瓶颈磁盘持续活动率超过85%（也有可能是由CPU或内存导致）网络带宽瓶颈在输出结果或shuffle阶段从map拉取数据时

01

c++windows内核编程笔记day12 硬盘逻辑分区管理、文件管理、内存管理[通俗易懂]

GetSystemDirectory();//获取系统路径 GetWindowsDirectory();//获取windows路径 GetCurrentDirectory();//获取当前工作文件夹 SetCurrentDirectory();//改动当前工作文件夹 CreateFile/ReadFile/WriteFile/GetFileSize/SetFilePointer //返回文件大小的低32位 DWORD GetFileSize( HANDLE hFile,// handle to file LPDWORD lpFileSizeHigh //输出參数:返回文件大小的高32位 ); //创建文件并写入文本代码演示样例 HANDLE hf=CreateFile(“file.txt”,GENERIC_WRITE,FILE_SHARE_READ,NULL, OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL); char txt[]=”hello file to write”; DWORD len=0;//返回实际写入的长度 WriteFile(hf,txt,strlen(txt),&len,NULL); CloseHandle(hf); //读代替码演示样例 HANDLE hf=CreateFile(“file.txt”,GENERIC_READ,FILE_SHARE_READ, NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL); CHAR txt[1000]={0}; DWORD len=0;//实际读到的长度 ReadFile(hf,txt,sizeof(txt),&len,NULL); printf(“读取到的字符串：%s\n”,txt); CloseHandle(hf);

02

误删除文件磁盘格式化勒索加密数据恢复指南

R-Studio这个软件是Windows电脑和Windows服务器上都能运行的、可以恢复Windows文件系统的绝好软件，我试过了5种以上的恢复软件，就这个软件的恢复效率和结果最好。我先普及一些背景再介绍R-Studio怎么用。文档比较长，但是你看完的话肯定不虚此行。怕你看不完，我把最重要的一句话先说下，一旦发生误操作，赶快停下、关机，不要破坏原现场、不要破坏原现场、不要破坏原现场，先冷静下来然后仔细看完这篇文档。(建议先收藏，文档用时方恨没收藏，我保证不删除)

夺取应用程序的 “制空权”：内存数据

在病毒查杀，应用安全对抗，静态逆向应用，动态逆向应用，最重要的对象就是，应用程序的内存数据。

02

[re入门]PE文件小知识

那是一个沙尘暴都能上热搜的清晨，我揉了揉眼睛从床上爬起来，顶着一路的艰难险阻来到了实验室，开机，hello 酷狗，登录PC微信，蓝屏。全剧终。

01

pe 详解(包括参数说明哦)

PE 的意思就是 Portable Executable（可移植的执行体）。PE文件结构的总体层次分布图： -------------- |DOS MZ Header | |--------------| |DOS Stub | |--------------| |PE Header | |--------------| |Section Table | |--------------| |Section 1 | |--------------| |Section 2 | |--------------| |Section ... | |--------------| |Section n | -------------- 一、PE文件格式的概要

02

Win32汇编：汇编版PE结构解析器

PE格式是Windows系统下最常用的可执行文件格式,有些应用必须建立在了解PE文件格式的基础之上,如可执行文件的加密与解密,文件型病毒的查杀等,熟练掌握PE文件结构,有助于软件的分析，本文章文字描述提取自《琢石成器-Win32汇编语言程序设计》一书中的重点内容。

02

10.3 调试事件转存进程内存

我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。

02

10.3 调试事件转存进程内存

我们继续延申调试事件的话题，实现进程转存功能，进程转储功能是指通过调试API使获得了目标进程控制权的进程，将目标进程的内存中的数据完整地转存到本地磁盘上，对于加壳软件，通常会通过加密、压缩等手段来保护其代码和数据，使其不易被分析。在这种情况下，通过进程转储功能，可以将加壳程序的内存镜像完整地保存到本地，以便进行后续的分析。

01

PE 病毒与 msf 奇遇记

通俗的讲，PE 病毒就是感染 PE 文件的病毒，通过修改可执行文件的代码中程序入口地址，变为恶意代码的的入口，导致程序运行时执行恶意代码。

00

exFAT和FAT32之间的区别

伙伴们，开始本文之前给大家说个事情：由于最近坚持更新公众号文章，向大家推送学习内容，居然收到了微信客服的致电和来信，给开通了留言功能。有点小小的意外和开森！以后发布的文章大家就可以随时留言，希望大家多多留言提出宝贵意见哦！！！

01

win32应用程序性能测试-内存篇

本文主要讲述windows平台下应用程序性能测试的内存相关的知识，通过本文了解内存基本原理和分析内存占用问题。一、内存是什么？ 1内存分为物理内存和虚拟内存物理内存指通过物理内存条而获得的内存空间，虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存（一个连续完整的地址空间）。 2两者都有系统约定的最大值进程占用的内存一般是指物理内存，其中操作系统为每个进程的工作集定义了一个最小和最大工作集。每个进程的工作集有最小工作集（20-50M）最大是45-345M 虚拟内存：每个

08

360全球首家发现国家级网络攻击行动，目标直指俄罗斯总统办公室！

近年来，乌克兰和俄罗斯两国之间围绕领土问题的争执不断，发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时，在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击，使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬，城市陷入恐慌损失惨重，而相应的俄罗斯所遭受的APT攻击，外界却极少有披露。

03

负载恶意软件HawkEye的VB Inject样本分析

恶意软件HawkEye的利用大多都是通过钓鱼邮件分发，利用office直接启动HawkEye主体或者一些经过加密的程序，本文中的VB Inject属于后者，也把重心放在了调试这个VB程序上。

01

实战 | 进程启动技术的思路和研究

通过常用的api来创建进程是常规启动进程的方式，最常用的几个api有WinExec、ShellExecute、CreateProcess，我们一个一个来看一下

05

PE格式第五讲,手工添加节表

本文介绍了如何通过汇编修改PE文件，并手工添加节表，进而实现任意文件写入磁盘的功能。首先，作者通过编写一个简单的程序生成一个标准PE文件，然后通过修改PE文件中的节表，实现任意文件的写入。最后，作者详细介绍了修改节表的方法和步骤，并给出了具体的示例代码。通过本文的学习，读者可以掌握PE文件的基本结构和修改方法，并能够利用PE文件实现任意文件的写入操作。

08

Hudi小文件问题处理和生产调优个人笔记

Apache Hudi提供的一个关键特性是自我管理文件大小，这样用户就不需要担心手动维护表。

02

超详细之dll劫持+打包钓鱼详细教程

图片 1.dll劫持产生条件 1.dll能否被劫持：不再'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs'注册表中 2.其dll是EXE程序首先加载的DLL，而不是依赖其他DLL加载的。 3.DLL确实被加载进内存中 2.判断dll是否可以劫持。 2.1手动方法利用进程查看软件，查看dll是否存'KnownDlls'注册表中。进程查看工具：ProcessExplorer/ProcessMonit

05

2.14 PE结构：地址之间的转换

在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了VA，RVA，FOA三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。

03

2.14 PE结构：地址之间的转换

在可执行文件PE文件结构中，通常我们需要用到地址转换相关知识，PE文件针对地址的规范有三种，其中就包括了VA，RVA，FOA三种，这三种该地址之间的灵活转换也是非常有用的，本节将介绍这些地址范围如何通过编程的方式实现转换。

02

用二进制写程序，提升装 X 境界

用二进制来写程序这么反人类的事情，的确是很装的事情，但是它不但是一件很装的事情，也是掌握底层知识的基础能力之一。听我慢慢道来。

02

结合多种系统api来理解堆栈的概念

数据结构中栈具有后进先出的特点，我们提到堆和栈空间的时候，指的是数据在内存中的概念，对栈空间，基本的认知包括：

02

eclipse.ini内存设置

-vmargs -Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M 这里有几个问题： 1. 各个参数的含义什么？ 2. 为什么有的机器我将-Xmx和-XX:MaxPermSize都设置为512M之后Eclipse可以启动，而有些机器无法启动？ 3. 为何将上面的参数写入到eclipse.ini文件Eclipse没有执行对应的设置？下面我们一一进行回答 1. 各个参数的含义什么？参数中-vmargs的意思是设置JVM参数

06

eclipse.ini配置

-vmargs -Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M 这里有几个问题： 1. 各个参数的含义什么？ 2. 为什么有的机器我将-Xmx和-XX:MaxPermSize都设置为512M之后Eclipse可以启动，而有些机器无法启动？ 3. 为何将上面的参数写入到eclipse.ini文件Eclipse没有执行对应的设置？下面我们一一进行回答 1. 各个参数的含义什么？

06

浅析C++内存布局

简单总结下C++变量在内存中的布局和可执行文件相关的知识。暂未涉及虚函数，虚函数表，类的继承和多态等C++对象的内存模型。对象的内存模型推荐经典书籍《深度探索C++对象模型》，豆瓣评分9.1。

04

红队｜ Windows注入的一些方式

在渗透过程中有时候为了权限维持或者其他等一些操作，比如以前的搜狗输入法可以替换dll文件当用户切换输入法就会去加载我们替换的dll文件，dll文件可以自己编写一些net user或者其他的一些方法，也可以通过msf等来生成dll文件进行替换。

03

干货！Apache Hudi如何智能处理小文件问题

Apache Hudi是一个流行的开源的数据湖框架，Hudi提供的一个非常重要的特性是自动管理文件大小，而不用用户干预。大量的小文件将会导致很差的查询分析性能，因为查询引擎执行查询时需要进行太多次文件的打开/读取/关闭。在流式场景中不断摄取数据，如果不进行处理，会产生很多小文件。

02

《程序员的自我修养》笔记

vma是指的不同段的地址入口，可以看到虽然段有很多，但是type类型大部分都一样，比如代码段类型分为了两个段描述更加细致；数据段更夸张用了五个段存储初始化了的变量

01

2.4 PE结构：节表详细解析

节表（Section Table）是Windows PE/COFF格式的可执行文件中一个非常重要的数据结构，它记录了各个代码段、数据段、资源段、重定向表等在文件中的位置和大小信息，是操作系统加载文件时根据节表来进行各个段的映射和初始化的重要依据。节表中的每个记录则被称为IMAGE_SECTION_HEADER，它记录了一个段的各种属性信息和在文件中的位置和大小等信息，一个文件可以由多个IMAGE_SECTION_HEADER构成。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭